Какова разница между DDoS-атаками на Layer 7 и Layer 3/4, и почему методы защиты отличаются?

Question

Accepted Answer

Разница сводится к **какой части стека атакует**, и это определяет, как вы её обнаруживаете и останавливаете. Атаки Layer 3/4 — это о **сыром объёме**; атаки Layer 7 — о **дорогостоящих, правдоподобных запросах**.

## Layer 3/4 — объёмные / сетевые атаки

Они нацелены на **сетевой и транспортный уровни** и пытаются насытить полосу пропускания или исчерпать состояние соединений, а не вашу логику приложения.

- **SYN flood** — открывает TCP handshakes, но никогда их не завершает, заполняя таблицу соединений, пока законные клиенты не смогут подключиться.
- **UDP flood** — отправляет потоки UDP-пакетов на случайные порты, заставляя хост обрабатывать и отвечать.
- **Amplification / reflection** (DNS, NTP, memcached) — подделывает IP адрес жертвы, чтобы небольшие запросы вызывали огромные ответы, направленные на жертву, умножая пропускную способность злоумышленника в 50–500 раз.

**Смягчение** заключается в поглощении или фильтрации пакетов: **SYN cookies** (сервер не хранит состояние до завершения handshake), **anycast + scrubbing centers** для распределения и очистки флуда по глобальной ёмкости, и **upstream/ISP filtering** для отбрасывания поддельных или мусорных пакетов, прежде чем они доберутся до вас. Сами пакеты явно сформированы неправильно или не запрошены, поэтому фильтрация механистична.

## Layer 7 — атаки на уровне приложения

Они нацелены на **уровень приложения (HTTP)** с запросами, которые выглядят совершенно законными.

- **HTTP flood** — наводняет реальные endpoints (`GET /search?q=...`, `POST /login`), так что каждый запрос форсирует запрос к БД, рендеринг или проверку аутентификации.

Опасность в **асимметрии**: крошечный запрос может стоить вам тяжёлого запроса, поэтому намного меньше пропускной способности вас роняет. И поскольку каждый запрос хорошо сформирован, фильтрация пакетов не может отличить его от реального пользователя.

**Смягчение** должно быть умнее простой фильтрации: **WAF** для совпадения вредоносных паттернов, **rate limiting** по IP/пользователю/токену, и **поведенческий анализ** (страницы-вызовы, JS/CAPTCHA, fingerprinting) для различия ботов от людей.

## Почему это важно

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Почему это важно

Вы не можете защищаться обоими инструментами одновременно. Scrubbing center, который подавляет 1 Tbps UDP flood, пропустит 50,000 запросов в секунду HTTP flood, потому что каждый запрос выглядит действительным. Опытные инженеры сначала определяют уровень, потом переходят к подходящему контролю — packet-level scrubbing и anycast для объёмных атак, request-level WAF, rate limiting и поведенческие вызовы для потоков приложений.