Fark yığının hangi bölümünün saldırıya uğradığında yatmaktadır ve bu, bunu nasıl tespit edip durdurduğunuzu belirler. Layer 3/4 saldırıları ham hacim hakkındadır; Layer 7 saldırıları pahalı, gerçekçi görünümlü istekler hakkındadır.
Fark yığının hangi bölümünün saldırıya uğradığında yatmaktadır ve bu, bunu nasıl tespit edip durdurduğunuzu belirler. Layer 3/4 saldırıları ham hacim hakkındadır; Layer 7 saldırıları pahalı, gerçekçi görünümlü istekler hakkındadır.
Bunlar ağ ve taşıma katmanlarını hedefledi ve bant genişliğini doyturmaya veya bağlantı durumunu tüketmeye çalışırlar, uygulama mantığınızı değil.
Azaltma paketleri absorbe etme veya filtreleme hakkındadır: SYN cookies (sunucu el sıkışma tamamlanana kadar hiçbir durumu tutmaz), anycast + temizleme merkezleri seli küresel kapasite arasında yayıp temizlemek için ve upstream/ISP filtrelemesi sahtekâr veya gereksiz paketleri size ulaşmadan önce düşürmek için. Paketlerin kendileri açıkça hatalı biçimlendirilmiş veya istenmeyen olduğundan, filtreleme mekanik bir işlemdir.
Bunlar uygulama katmanını (HTTP) tamamen meşru görünen isteklerle hedef alırlar.
GET /search?q=..., POST /login) sel içine alır, böylece her istek bir veritabanı sorgusunu, render işlemini veya kimlik doğrulama denetimini zorlar.Tehlike asimetridir: küçük bir istek sizi ağır bir sorguya mal olabilir, bu nedenle çok daha az bant genişliği sizi devre dışı bırakır. Ve her istek iyi biçimlendirilmiş olduğundan, paket filtrelemesi bunu gerçek bir kullanıcıdan ayırt edemez.
Azaltma filtrelemekten daha akıllı olmalıdır: kötü niyetli desenleri eşleştirmek için WAF, IP/kullanıcı/token başına oran sınırlaması ve botları insanlardan ayırmak için davranışsal analiz (meydan okuma sayfaları, JS/CAPTCHA, parmak izi) .
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
Her iki saldırıyı bir araçla savunamazsınız. 1 Tbps UDP seli ezip atacak bir temizleme merkezi, saniye başına 50.000 istek HTTP seline dalga geçecektir, çünkü her istek geçerli görünür. Kıdemli mühendisler önce katmanı belirler, sonra eşleşen kontrole uzanırlar — hacimsel saldırılar için paket düzeyinde temizleme ve anycast, uygulama sellerinin için istek düzeyinde WAF, oran sınırlaması ve davranışsal meydan okumalar.