ความแตกต่างระหว่างการโจมตี DDoS ระดับ Layer 7 และ Layer 3/4 คืออะไร และทำไม mitigation จึงต่างกัน?

Question

Accepted Answer

ความแตกต่างอยู่ที่ **ส่วนไหนของ stack ที่การโจมตีใช้ในทางที่ผิด** และนั่นกำหนดวิธีที่คุณตรวจจับและหยุดมัน การโจมตี Layer 3/4 เกี่ยวกับ **ปริมาณดิบ** ส่วนการโจมตี Layer 7 เกี่ยวกับ **คำขอที่มีต้นทุนสูงและดูสมจริง**

## Layer 3/4 — การโจมตีแบบ volumetric / network

สิ่งเหล่านี้มุ่งเป้าที่ **network และ transport layer** และพยายามทำให้ bandwidth อิ่มตัวหรือทำให้ connection state หมด ไม่ใช่ที่ application logic ของคุณ

- **SYN flood** — เปิด TCP handshake แต่ไม่เคยทำให้เสร็จ ทำให้ connection table เต็มจน client ที่ชอบธรรมเชื่อมต่อไม่ได้
- **UDP flood** — ระดมยิง UDP packet ไปยัง port แบบสุ่ม บังคับให้ host ประมวลผลและตอบกลับ
- **Amplification / reflection** (DNS, NTP, memcached) — ปลอม IP ของเหยื่อเพื่อให้ query เล็ก ๆ ทริกเกอร์ reply ขนาดใหญ่ที่พุ่งใส่เหยื่อ ทวีคูณ bandwidth ของผู้โจมตี 50-500 เท่า

**Mitigation** เกี่ยวกับการซับหรือกรอง packet: **SYN cookie** (เพื่อให้เซิร์ฟเวอร์ไม่เก็บ state จนกว่า handshake จะเสร็จ), **anycast + scrubbing center** เพื่อกระจายและทำความสะอาด flood ไปทั่ว capacity ทั่วโลก และ **upstream/ISP filtering** เพื่อทิ้ง packet ที่ปลอมหรือเป็นขยะก่อนที่มันจะถึงคุณ ตัว packet เองผิดรูปแบบหรือไม่ได้ร้องขออย่างชัดเจน ดังนั้นการกรองจึงเป็นเชิงกลไก

## Layer 7 — การโจมตี application

สิ่งเหล่านี้มุ่งเป้าที่ **application layer (HTTP)** ด้วยคำขอที่ดูชอบธรรมโดยสมบูรณ์

- **HTTP flood** — ระดม endpoint จริง (`GET /search?q=...`, `POST /login`) เพื่อให้แต่ละคำขอบังคับให้เกิด database query, render, หรือ auth check

อันตรายคือ **ความไม่สมมาตร**: คำขอเล็ก ๆ อาจทำให้คุณเสีย query หนัก ๆ ดังนั้น bandwidth ที่น้อยกว่ามากก็ทำให้คุณล่มได้ และเพราะแต่ละคำขอมีรูปแบบที่ดี การกรอง packet จึงบอกความแตกต่างจากผู้ใช้จริงไม่ได้

**Mitigation** ต้องฉลาดกว่าการกรอง: **WAF** เพื่อจับคู่รูปแบบที่เป็นอันตราย, **rate limiting** ต่อ IP/user/token, และ **behavioral analysis** (challenge page, JS/CAPTCHA, fingerprinting) เพื่อแยก bot ออกจากมนุษย์

## ทำไมการตรวจจับจึงต่างกัน

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## ทำไมจึงสำคัญ

คุณไม่สามารถป้องกันทั้งสองด้วยเครื่องมือเดียวได้ scrubbing center ที่บดขยี้ UDP flood ขนาด 1 Tbps จะปล่อย HTTP flood ขนาด 50,000 คำขอต่อวินาทีผ่านไป เพราะแต่ละคำขอดูถูกต้อง วิศวกรระดับ senior ระบุชั้นก่อน แล้วจึงเอื้อมไปหา control ที่ตรงกัน — packet-level scrubbing และ anycast สำหรับการโจมตี volumetric, request-level WAF, rate limiting, และ behavioral challenge สำหรับ application flood