Layer 7 ile Layer 3/4 DDoS saldırıları arasındaki fark nedir ve neden azaltma yöntemleri farklıdır?

Question

Accepted Answer

Fark **yığının hangi bölümünün saldırıya uğradığında** yatmaktadır ve bu, bunu nasıl tespit edip durdurduğunuzu belirler. Layer 3/4 saldırıları **ham hacim** hakkındadır; Layer 7 saldırıları **pahalı, gerçekçi görünümlü istekler** hakkındadır.

## Layer 3/4 — hacimsel / ağ saldırıları

Bunlar **ağ ve taşıma katmanlarını** hedefledi ve bant genişliğini doyturmaya veya bağlantı durumunu tüketmeye çalışırlar, uygulama mantığınızı değil.

- **SYN flood** — TCP el sıkışmalarını açar ancak asla tamamlanmaz, meşru istemciler bağlanamayıncaya kadar bağlantı tablosunu doldurur.
- **UDP flood** — rastgele bağlantı noktalarına UDP paketleri gönderir, ana bilgisayarı işlem yapmaya ve yanıt vermeye zorlar.
- **Yükseltme / yansıtma** (DNS, NTP, memcached) — kurbanın IP'sini sahte kullanır, böylece küçük sorgular kurban tarafından hedeflenen devasa yanıtları tetikler ve saldırganın bant genişliğini 50-500x çoğaltır.

**Azaltma** paketleri absorbe etme veya filtreleme hakkındadır: **SYN cookies** (sunucu el sıkışma tamamlanana kadar hiçbir durumu tutmaz), **anycast + temizleme merkezleri** seli küresel kapasite arasında yayıp temizlemek için ve **upstream/ISP filtrelemesi** sahtekâr veya gereksiz paketleri size ulaşmadan önce düşürmek için. Paketlerin kendileri açıkça hatalı biçimlendirilmiş veya istenmeyen olduğundan, filtreleme mekanik bir işlemdir.

## Layer 7 — uygulama saldırıları

Bunlar **uygulama katmanını (HTTP)** tamamen meşru görünen isteklerle hedef alırlar.

- **HTTP flood** — gerçek uç noktaları (`GET /search?q=...`, `POST /login`) sel içine alır, böylece her istek bir veritabanı sorgusunu, render işlemini veya kimlik doğrulama denetimini zorlar.

Tehlike **asimetridir**: küçük bir istek sizi ağır bir sorguya mal olabilir, bu nedenle çok daha az bant genişliği sizi devre dışı bırakır. Ve her istek iyi biçimlendirilmiş olduğundan, paket filtrelemesi bunu gerçek bir kullanıcıdan ayırt edemez.

**Azaltma** filtrelemekten daha akıllı olmalıdır: kötü niyetli desenleri eşleştirmek için **WAF**, IP/kullanıcı/token başına **oran sınırlaması** ve botları insanlardan ayırmak için **davranışsal analiz** (meydan okuma sayfaları, JS/CAPTCHA, parmak izi) .

## Neden tespit farklıdır

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Neden önemli

Her iki saldırıyı bir araçla savunamazsınız. 1 Tbps UDP seli ezip atacak bir temizleme merkezi, saniye başına 50.000 istek HTTP seline dalga geçecektir, çünkü her istek geçerli görünür. Kıdemli mühendisler önce katmanı belirler, sonra eşleşen kontrole uzanırlar — hacimsel saldırılar için paket düzeyinde temizleme ve anycast, uygulama sellerinin için istek düzeyinde WAF, oran sınırlaması ve davranışsal meydan okumalar.