Skillnaden kommer ner till vilken del av stacken som attacken utnyttjar, och det avgör hur du detekterar och stoppar den. Layer 3/4-attacker handlar om rå volym; Layer 7-attacker handlar om dyra, realistiskt utseende begäranden.
Skillnaden kommer ner till vilken del av stacken som attacken utnyttjar, och det avgör hur du detekterar och stoppar den. Layer 3/4-attacker handlar om rå volym; Layer 7-attacker handlar om dyra, realistiskt utseende begäranden.
Dessa riktar sig mot nätverks- och transportlagren och försöker mätta bandbredden eller uttömma anslutningsstatus, inte din applikationslogik.
Åtgärder handlar om att absorbera eller filtrera paket: SYN cookies (så servern inte håller tillstånd tills handskakingen är slutförd), anycast + scrubbing centers för att sprida och rensa flödet över global kapacitet, och upstream/ISP-filtrering för att släppa förfalskade eller skräppaket innan de når dig. Paketen själva är uppenbart felformade eller oönskade, så filtrering är mekanisk.
Dessa riktar sig mot applikationslagret (HTTP) med begäranden som ser helt legitima ut.
GET /search?q=..., POST /login) så varje begäran tvingar en databaskfråga, rendering eller autentiseringskontroll.Faran är asymmetri: en liten begäran kan kosta dig en tung fråga, så mycket mindre bandbredd tar dig ner. Och eftersom varje begäran är väl utformad kan paketfiltrering inte skilja den från en riktiga användare.
Åtgärder måste vara smartare än filtrering: en WAF för att matcha skadliga mönster, rate limiting per IP/användare/token, och beteendeanalys (utmaningssidor, JS/CAPTCHA, fingerprinting) för att skilja robotar från människor.
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
Du kan inte försvara båda med ett enda verktyg. Ett scrubbing center som krossar en 1 Tbps UDP-flood kommer att vinka igenom en 50 000-förfrågor-per-sekund HTTP-flood, eftersom varje begäran ser giltig ut. Erfarna ingenjörer identifierar lagret först och når sedan för den matchande kontrollen — paketniväs scrubbing och anycast för volumetriska attacker, begärandeniväs WAF, rate limiting och beteendeutmaningar för applikationsflöden.