Sự khác biệt giữa tấn công DDoS Layer 7 và Layer 3/4 là gì, và tại sao cách giảm thiểu lại khác nhau?

Question

Accepted Answer

Sự khác biệt nằm ở **phần nào của stack bị tấn công lạm dụng**, và điều đó quyết định cách bạn phát hiện và chặn nó. Tấn công Layer 3/4 nói về **thể tích thô**; tấn công Layer 7 nói về **các request tốn kém, trông như thật**.

## Layer 3/4 — tấn công thể tích / mạng

Chúng nhắm vào **tầng network và transport** và cố làm bão hòa băng thông hoặc vắt kiệt connection state, không phải logic ứng dụng của bạn.

- **SYN flood** — mở các bắt tay TCP nhưng không bao giờ hoàn tất, làm đầy bảng kết nối cho tới khi client hợp lệ không thể kết nối.
- **UDP flood** — bắn các gói UDP vào những cổng ngẫu nhiên, buộc host phải xử lý và trả lời.
- **Amplification / reflection** (DNS, NTP, memcached) — giả mạo IP của nạn nhân để các truy vấn nhỏ kích hoạt phản hồi khổng lồ nhắm vào nạn nhân, nhân băng thông kẻ tấn công lên 50-500 lần.

**Giảm thiểu** là về hấp thụ hoặc lọc gói: **SYN cookies** (để server không giữ state nào cho tới khi bắt tay hoàn tất), **anycast + scrubbing center** để trải và làm sạch flood khắp năng lực toàn cầu, và **lọc upstream/ISP** để drop các gói giả mạo hoặc rác trước khi chúng chạm tới bạn. Bản thân các gói rõ ràng dị dạng hoặc không được yêu cầu, nên việc lọc mang tính cơ học.

## Layer 7 — tấn công ứng dụng

Chúng nhắm vào **tầng ứng dụng (HTTP)** bằng các request trông hoàn toàn hợp lệ.

- **HTTP flood** — làm ngập các endpoint thật (`GET /search?q=...`, `POST /login`) để mỗi request buộc một truy vấn database, render, hay kiểm tra auth.

Mối nguy là **sự bất đối xứng**: một request tí hon có thể tốn của bạn một truy vấn nặng, nên ít băng thông hơn nhiều cũng đủ hạ gục bạn. Và vì mỗi request đúng định dạng, lọc gói không thể phân biệt nó với user thật.

**Giảm thiểu** phải thông minh hơn lọc: một **WAF** để khớp các mẫu độc hại, **rate limiting** theo IP/user/token, và **phân tích hành vi** (trang thử thách, JS/CAPTCHA, fingerprinting) để tách bot khỏi người.

## Tại sao việc phát hiện khác nhau

```text
Layer 3/4 : phát hiện bằng THỂ TÍCH + bất thường giao thức -> lọc/hấp thụ gói (dễ nhận ra)
Layer 7   : phát hiện bằng HÀNH VI (trông như traffic thật) -> cần trí tuệ ở mức request
```

## Tại sao điều này quan trọng

Bạn không thể phòng cả hai bằng một công cụ. Một scrubbing center nghiền nát một UDP flood 1 Tbps sẽ cho qua một HTTP flood 50.000 request mỗi giây, vì mỗi request trông hợp lệ. Kỹ sư senior xác định tầng trước, rồi với tới biện pháp tương ứng — scrubbing ở mức gói và anycast cho tấn công thể tích, WAF ở mức request, rate limiting, và các thử thách hành vi cho flood ứng dụng.