Kaj je razlika med napadi DDoS na Layer 7 in Layer 3/4 ter zakaj se zaščite razlikujejo?

Question

Accepted Answer

Razlika je v **katerem delu stack-a napad zlorablja**, in to določa, kako ga zaznaš in zaustaviš. Napadi na Layer 3/4 so o **surovem količinstvu**; napadi na Layer 7 so o **dragih, realistično izglledajočih zahtevah**.

## Layer 3/4 — volumetrični / omrežni napadi

Te napadi ciljajo na **omrežne in transportne plasti** ter se poskušajo nasititi pasovne širine ali izčrpati stanje povezave, ne pa logike tvoje aplikacije.

- **SYN flood** — odpira TCP rokopise, vendar jih nikoli ne zaključi, kar zapolni tabelo povezav, dokler se zakoniti odjemalci ne morejo povezati.
- **UDP flood** — bombardira UDP pakete na naključna vrata, kar prisili gostitelja, da jih procesira in odgovori.
- **Amplifikacija / odboj** (DNS, NTP, memcached) — poziva IP naslov žrtve, tako da majhne poizvedbe sprožijo ogromne odgovore, ki so namenjeni žrtvi, in pomnožijo pasovno širino napadalca 50-500x.

**Zaščita** je v absorpciji ali filtriranju paketov: **SYN piškotki** (tako da strežnik ne hrani stanja, dokler se rokopis ne zaključi), **anycast + čistilni centri** za razširitev in čiščenje poplave po globalni zmogljivosti, in **nadaljnje/ISP filtriranje** za zavrnitev poneverenih ali neuporabnih paketov, preden te dosežejo. Sami paketi so očitno malformed ali nerekverirani, zato je filtriranje mehansko.

## Layer 7 — napadi na aplikacijo

Te napadi ciljajo na **aplikacijski sloj (HTTP)** z zahtevami, ki so videti popolnoma zakonite.

- **HTTP flood** — preplavlja prave končne točke (`GET /search?q=...`, `POST /login`), tako da vsaka zahteva prisili poizvedbo v bazo podatkov, rendering ali preverjanje avtentičnosti.

Nevarnost je v **asimetriji**: majhna zahteva te lahko stane drage poizvedke, zato te veliko manjša pasovna širina sesuje. In ker je vsaka zahteva dobro oblikovana, filtriranje paketov je ne more razlikovati od pravega uporabnika.

**Zaščita** mora biti pametnejša od filtriranja: **WAF** za ujemanje škodljivih vzorcev, **omejitev hitrosti** na IP/uporabnika/žeton, in **analiza vedenja** (izzivne strani, JS/CAPTCHA, prstni odtiski) za ločevanje botov od ljudi.

## Zakaj se zaznavanje razlikuje

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Zakaj je to pomembno

Ne moreš braniti oboje z enim orodjem. Čistilni center, ki udari 1 Tbps UDP poplave, bo prešel čez 50.000-zahtev-na-sekundo HTTP poplave, ker je vsaka zahteva videti veljavna. Starejši inženirji najprej prepoznajo plast, nato pa posegajo po ustreznem nadzoru — filtriranje na ravni paketov in anycast za volumetrične napade, WAF na ravni zahtevka, omejevanje hitrosti in vedenjski izzivi za poplave aplikacij.