Полная защита от DDoS: L3, L4 и L7 атаки

Когда вы слышите "Сайт под DDoS", это всего лишь симптом. Чтобы лечить болезнь, нужно понимать, на каком уровне модели OSI происходит атака. Защита, которая спасет от UDP-флуда (L3), будет бесполезна против медленного парсинга XML (L7). В NineLab мы используем эшелонированную оборону.

Анатомия атаки по уровням OSI

Представьте ваш сервер как средневековый замок. Враг может попытаться снести ворота тараном (L3/L4) или притвориться гонцом и отравить колодец (L7).

L3: Сетевой уровень (Network Layer)

Цель: Забить канал связи ("трубу"), чтобы легитимные пакеты просто не пролезли.

• Типы атак: UDP Flood, ICMP Flood, IP Fragmentation.
• Защита: Только на уровне провайдера (ISP) или Scrubbing Centers (Qrator, Cloudflare). Локальным фаерволом это не отбить — канал ляжет раньше, чем трафик дойдет до сервера.

L4: Транспортный уровень (Transport Layer)

Цель: Исчерпать ресурсы таблицы соединений сервера (RAM/CPU).

• Типы атак: SYN Flood (атакующий шлет запросы на открытие соединения, но не завершает их).
• Защита: SYN Cookies, ограничение числа коннектов с одного IP.

L7: Прикладной уровень (Application Layer)

Цель: Перегрузить логику приложения (CPU/Database).

• Типы атак: HTTP Flood, Slowloris, тяжелые SQL-запросы.
• Защита: WAF, поведенческий анализ, Challenge-Response (JS/Captcha), кэширование.

Стратегия NineLab: "Луковица безопасности"

Мы не верим в "серебряные пули". Эффективная защита всегда многослойна:

1. Внешний периметр: BGP Anycast сеть рассеивает L3/L4 атаки по миру.
2. Входной контроль: WAF фильтрует 99% ботов на L7.
3. Ядро: Оптимизированный код и авто-масштабирование (Auto-Scaling) переваривают просочившийся трафик.

Резюме: Защита — это не продукт, это архитектура. Если вы защищены только на L3, вас "убьют" на L7. Если только на L7 — вам забьют канал на L3. Закрывайте все двери.