Layer 7 اور Layer 3/4 DDoS حملوں میں کیا فرق ہے، اور تدارک مختلف کیوں ہیں؟

Question

Accepted Answer

فرق یہ ہے کہ **stack کا کون سا حصہ حملے کا نشانہ بنتا ہے**، اور یہ آپ کی شناخت اور اسے روکنے کے طریقے کو متعین کرتا ہے۔ Layer 3/4 حملے **خام حجم** کے بارے میں ہیں؛ Layer 7 حملے **مہنگے، حقیقی نظر آنے والی درخواستوں** کے بارے میں ہیں۔

## Layer 3/4 — volumetric / نیٹ ورک حملے

یہ **نیٹ ورک اور ٹرانسپورٹ layers** کو نشانہ بناتے ہیں اور بینڈوڈتھ کو سیر کرنے یا اتصال کی حالت کو ختم کرنے کی کوشش کرتے ہیں، نہ کہ آپ کی ایپلیکیشن logic کو۔

- **SYN flood** — TCP handshakes کھولتے ہیں لیکن کبھی انہیں مکمل نہیں کرتے، اتصال ٹیبل کو بھر دیتے ہیں یہاں تک کہ جائز کلائنٹس connect نہیں کر سکتے۔
- **UDP flood** — بے ترتیب ports پر UDP packets بھیجتے ہیں، میزبان کو ان کو process اور جواب دینے پر مجبور کرتے ہیں۔
- **Amplification / reflection** (DNS, NTP, memcached) — شکار کے IP کو جعلی بناتے ہیں تاکہ چھوٹی درخواستیں بہت بڑے جوابات کو متحرک کریں جو شکار کی طرف ہوں، حملہ آور کی بینڈوڈتھ کو 50-500x بڑھاتے ہوئے۔

**تدارک** packets کو جذب کرنے یا filter کرنے کے بارے میں ہے: **SYN cookies** (تاکہ سرور handshake مکمل ہونے تک کوئی حالت نہ رکھے)، **anycast + scrubbing centers** تاکہ سیلاب کو پھیلایا اور صاف کیا جائے عالمی صلاحیت میں، اور **upstream/ISP filtering** تاکہ جعلی یا بیکار packets کو آپ تک پہنچنے سے پہلے drop کیا جائے۔ packets خود واضح طور پر غلط تشکیل شدہ یا غیر درخواستہ ہیں، اس لیے filtering میکانکی ہے۔

## Layer 7 — ایپلیکیشن حملے

یہ **ایپلیکیشن layer (HTTP)** کو مکمل طور پر جائز نظر آنے والی درخواستوں کے ساتھ نشانہ بناتے ہیں۔

- **HTTP flood** — حقیقی endpoints (`GET /search?q=...`, `POST /login`) کو سیل دیتے ہیں تاکہ ہر درخواست database query، render، یا auth check کو مجبور کرے۔

خطرہ **عدم توازن** ہے: ایک چھوٹی سی درخواست آپ کو بھاری query کی قیمت دے سکتی ہے، اس لیے بہت کم بینڈوڈتھ آپ کو ختم کر سکتی ہے۔ اور کیونکہ ہر درخواست اچھی تشکیل شدہ ہے، packet filtering اسے حقیقی صارف سے نہیں بتا سکتا۔

**تدارک** filtering سے زیادہ ذہین ہونا چاہیے: ایک **WAF** تاکہ malicious patterns کو ملایا جائے، **rate limiting** ہر IP/user/token کے لیے، اور **behavioral analysis** (challenge pages، JS/CAPTCHA، fingerprinting) تاکہ bots کو انسانوں سے الگ کیا جائے۔

## شناخت کیوں مختلف ہے

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## اہمیت

آپ ایک ٹول سے دونوں کا دفاع نہیں کر سکتے۔ ایک scrubbing center جو 1 Tbps UDP flood کو crush کرتا ہے وہ 50,000-request-per-second HTTP flood کو wave through کرے گا، کیونکہ ہر درخواست درست نظر آتی ہے۔ سینئر engineers پہلے layer کی شناخت کرتے ہیں، پھر matching control تک پہنچتے ہیں — volumetric حملوں کے لیے packet-level scrubbing اور anycast، application floods کے لیے request-level WAF، rate limiting، اور behavioral challenges۔