Cila është ndryshimi midis sulmeve DDoS të Shtresës 7 dhe Shtresës 3/4, dhe pse ndryshojnë zbutjet?

Question

Accepted Answer

Ndryshimi vjen poshtë në **cili pjesë e grumbullit sulmon sulmi**, dhe kjo përcakton se si e zbuloni dhe e ndaloni atë. Sulmmet e Shtresës 3/4 janë rreth **vëllimit të papërpunuar**; sulmmet e Shtresës 7 janë rreth **kërkesave të shtrenjta, që duken reale**.

## Shtresa 3/4 — sulmme volumetrike / rrjeti

Këto përqibllin **shtresat e rrjetit dhe transportit** dhe përpiqen të ngopin gjerësinë e brezit ose të lodhhin gjendjen e lidhjes, jo logjikën e aplikacionit tuaj.

- **SYN flood** — hap pajtuesjet TCP por nuk i përfundon kurrë ato, duke mbushur tabelën e lidhjes derisa klientët legjitimë nuk mund të lidhen.
- **UDP flood** — përcjell paketat UDP në porta të rastësishme, duke i detyruar pritësin të përpunojë dhe përgjigjet.
- **Amplifikimi / reflektimi** (DNS, NTP, memcached) — falsifikon IP-në e viktimës në mënyrë që pyetje të vogla shkaktojnë përgjigje të obshirat të drejtuara drejt viktimës, duke shumëzuar gjerësinë e brezit të sulmuesit 50-500x.

**Zbutja** është rreth përthithjes ose filtrimit të paketave: **cookies SYN** (në mënyrë që serveri të mos mbajë gjendjen derisa pajtuesja të përfundojë), **anycast + qendra të pastruara** për të përhapur dhe pastruar përmbytjen në të gjithë kapacitetin global, dhe **filtrimi lart/ISP** për të hequr paketat e falsifikuara ose të kotëshme përpara se të arrijnë tek ju. Vetë paketat janë qartësisht të keqformuara ose të paaftë, kështu që filtrimi është mekanik.

## Shtresa 7 — sulmme të aplikacionit

Këto përqibllin **shtresën e aplikacionit (HTTP)** me kërkesa që duken plotësisht legjitim.

- **HTTP flood** — përmbytjet e pikave të duhura (`GET /search?q=...`, `POST /login`) në mënyrë që çdo kërkesë të detyrojë një pyetje bazash të dhënash, renderim ose kontroll autentifikimi.

Rreziku është **asimetria**: një kërkesë e vogël mund ta kushtojë një pyetje të rëndë, kështu që shumë më pak gjerësi brezi ju ul. Dhe për shkak se çdo kërkesë është e përbërë mirë, filtrimi i paketave nuk mund ta dallojë atë nga një përdorues i vërtetë.

**Zbutja** duhet të jetë më e zgjuar sesa filtrimi: një **WAF** për të përputhur modelet e dhunshme, **kufizimi i normës** sipas IP/përdoruesit/tokenin, dhe **analiza e sjelljes** (faqet me sfida, JS/CAPTCHA, gjurmimi i gishtave) për të ndarë robotët nga njerëzit.

## Pse zbulimi ndryshon

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Pse ka rëndësi

Nuk mund të mbronni të dyja me një mjet. Një qendër pastruese që shtyp përmbytje UDP 1 Tbps do të kalojë përmes përmbytjeje HTTP 50,000-kërkese-për-sekondë, sepse çdo kërkesë duket e vlefshme. Inxhinierët e moshuar identifikojnë shtresën e parë, pastaj arrijnë për kontrollin përkatës — pastrimin në nivel paketash dhe anycast për sulmme volumetrike, WAF në nivel kërkese, kufizimin e normës, dhe sfidat e sjelljes për përmbytjet e aplikacionit.