Vad är skillnaden mellan Layer 7 och Layer 3/4 DDoS-attacker, och varför skiljer sig åtgärderna?

Question

Accepted Answer

Skillnaden kommer ner till **vilken del av stacken som attacken utnyttjar**, och det avgör hur du detekterar och stoppar den. Layer 3/4-attacker handlar om **rå volym**; Layer 7-attacker handlar om **dyra, realistiskt utseende begäranden**.

## Layer 3/4 — volumetriska / nätverksattacker

Dessa riktar sig mot **nätverks- och transportlagren** och försöker mätta bandbredden eller uttömma anslutningsstatus, inte din applikationslogik.

- **SYN flood** — öppnar TCP-handskakningar men slutför dem aldrig, fyller anslutningstabellen tills legitima klienter inte kan ansluta.
- **UDP flood** — skickar UDP-paket i massor mot slumpmässiga portar, vilket tvingar värden att bearbeta och svara.
- **Amplifikation / reflektion** (DNS, NTP, memcached) — förfalskar offrets IP så små frågor utlöser enorma svar riktade mot offret, vilket multiplicerar attackerens bandbredd 50-500x.

**Åtgärder** handlar om att absorbera eller filtrera paket: **SYN cookies** (så servern inte håller tillstånd tills handskakingen är slutförd), **anycast + scrubbing centers** för att sprida och rensa flödet över global kapacitet, och **upstream/ISP-filtrering** för att släppa förfalskade eller skräppaket innan de når dig. Paketen själva är uppenbart felformade eller oönskade, så filtrering är mekanisk.

## Layer 7 — applikationsattacker

Dessa riktar sig mot **applikationslagret (HTTP)** med begäranden som ser helt legitima ut.

- **HTTP flood** — överöser verkliga slutpunkter (`GET /search?q=...`, `POST /login`) så varje begäran tvingar en databaskfråga, rendering eller autentiseringskontroll.

Faran är **asymmetri**: en liten begäran kan kosta dig en tung fråga, så mycket mindre bandbredd tar dig ner. Och eftersom varje begäran är väl utformad kan paketfiltrering inte skilja den från en riktiga användare.

**Åtgärder** måste vara smartare än filtrering: en **WAF** för att matcha skadliga mönster, **rate limiting** per IP/användare/token, och **beteendeanalys** (utmaningssidor, JS/CAPTCHA, fingerprinting) för att skilja robotar från människor.

## Varför detektionen skiljer sig

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Varför det spelar roll

Du kan inte försvara båda med ett enda verktyg. Ett scrubbing center som krossar en 1 Tbps UDP-flood kommer att vinka igenom en 50 000-förfrågor-per-sekund HTTP-flood, eftersom varje begäran ser giltig ut. Erfarna ingenjörer identifierar lagret först och når sedan för den matchande kontrollen — paketniväs scrubbing och anycast för volumetriska attacker, begärandeniväs WAF, rate limiting och beteendeutmaningar för applikationsflöden.