Care este diferența dintre atacurile DDoS de Layer 7 și Layer 3/4, și de ce diferă metodele de atenuare?

Question

Accepted Answer

Diferența se rezumă la **care parte a stack-ului este abuzată de atac**, și asta determină cum detectezi și oprești atacul. Atacurile Layer 3/4 sunt despre **volum brut**; atacurile Layer 7 sunt despre **cereri costisitoare și care arată realist**.

## Layer 3/4 — atacuri volumetrice / de rețea

Aceste atacuri vizează **straturile de rețea și transport** și încearcă să satureze lățimea de bandă sau epuizeze starea conexiunilor, nu logica aplicației tale.

- **SYN flood** — deschide handshake-uri TCP dar nu le finalizează niciodată, umplând tabela de conexiuni până când clienții legitimi nu pot conecta.
- **UDP flood** — trimite pachete UDP la porturi aleatoare, forțând gazda să proceseze și să răspundă.
- **Amplificație / reflecție** (DNS, NTP, memcached) — falsifică IP-ul victimei pentru ca întrebări mici să declanșeze răspunsuri uriașe direcționate către victimă, multiplicând lățimea de bandă a atacatorului de 50-500x.

**Atenuarea** este despre absorbția sau filtrarea pachetelor: **SYN cookies** (pentru ca serverul să nu păstreze stare până când handshake-ul se completează), **anycast + centre de curățare** pentru a răspândi și curăța inundația pe capacitate globală, și **filtrare upstream/ISP** pentru a arunca pachete falsificate sau inutile înainte să te atingă. Pachetele în sine sunt evident malformate sau nesolicitate, deci filtrarea este mecanică.

## Layer 7 — atacuri de aplicație

Aceste atacuri vizează **stratul de aplicație (HTTP)** cu cereri care arată complet legitime.

- **HTTP flood** — inundă endpoint-uri reale (`GET /search?q=...`, `POST /login`) pentru ca fiecare cerere să forțeze o interogare de bază de date, randare sau verificare de autentificare.

Pericolul este **asimetria**: o cerere mică te poate costa o interogare grea, deci mult mai puțină lățime de bandă te poate duce jos. Și deoarece fiecare cerere este bine formată, filtrarea pachetelor nu poate să o distingă de un utilizator real.

**Atenuarea** trebuie să fie mai inteligentă decât filtrarea: un **WAF** pentru a se potrivi cu modele rău intenționate, **rate limiting** per IP/utilizator/token, și **analiză comportamentală** (pagini de provocare, JS/CAPTCHA, fingerprinting) pentru a separa boții de oameni.

## De ce diferă detecția

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## De ce este important

Nu poți apăra ambele cu un singur instrument. Un centru de curățare care zdrobește o inundație UDP de 1 Tbps va lăsa să treacă o inundație HTTP de 50.000 de cereri pe secundă, pentru că fiecare cerere arată valabil. Inginerii senior identifică mai întâi stratul, apoi apelează la controlul corespunzător — curățare la nivel de pachet și anycast pentru atacuri volumetrice, WAF la nivel de cerere, rate limiting și provocări comportamentale pentru inundații de aplicație.