परत 3, परत 4, और परत 7 हमले
परत 3 हमले नेटवर्क परत (IP, ICMP) को लक्षित करते हैं — उदाहरण ICMP बाढ़ और IP विखंडन हमले हैं। परत 4 हमले परिवहन परत (TCP, UDP) को लक्षित करते हैं — उदाहरण SYN बाढ़, UDP प्रवर्धन, और DNS प्रवर्धन हैं। परत 7 हमले एप्लिकेशन परत (HTTP, HTTPS) को लक्षित करते हैं — उदाहरण HTTP GET/POST बाढ़ और Slowloris हैं। प्रत्येक परत को अलग शमन की आवश्यकता होती है।
परत 3 और 4 पर वॉल्यूमेट्रिक हमले नेटवर्क पाइप को संतृप्त करने का प्रयास करते हैं। सबसे बड़े सार्वजनिक रूप से प्रकट किए गए हमले मल्टी-टेराबिट-प्रति-सेकंड सीमा को पार कर चुके हैं — Cloudflare ने मई 2025 में 7.3 Tbps हमले को कम करने की रिपोर्ट दी, और AWS Shield ने फरवरी 2020 में 2.3 Tbps हमले की रिपोर्ट दी। ये हमले काम करते हैं क्योंकि प्रवर्धन प्रोटोकॉल (DNS, NTP, memcached, CLDAP) एक छोटी स्पूफ़ की गई क्वेरी को पीड़ित को भेजी गई बहुत बड़ी प्रतिक्रिया को ट्रिगर करने देते हैं — DNS के लिए 50x, NTP के लिए 200x, और memcached के लिए 50,000x के प्रवर्धन कारक प्रलेखित किए गए हैं। परत 4 पर प्रोटोकॉल हमले — SYN बाढ़, ACK बाढ़, खंडित पैकेट हमले — बैंडविड्थ को संतृप्त करने के बजाय फ़ायरवॉल और लोड बैलेंसर पर कनेक्शन-ट्रैकिंग स्थिति को समाप्त करते हैं। परत 7 हमले बाइट्स के अनुसार सबसे छोटे हैं लेकिन फ़िल्टर करने में सबसे कठिन हैं: 100,000-नोड बॉटनेट से HTTP बाढ़ बिट-दर-बिट वास्तविक उपयोगकर्ताओं की तरह दिखती है, और केवल एप्लिकेशन-जागरूक तर्क ही उन्हें अलग बता सकता है।
BGP ब्लैकहोल और रिमोट-ट्रिगर्ड ब्लैक होल (RTBH)
BGP ब्लैकहोलिंग अंतिम उपाय का क्रूर-लेकिन-प्रभावी शमन है: नेटवर्क ऑपरेटर हमला किए गए IP के लिए एक /32 मार्ग को एक विशेष 'ब्लैकहोल' BGP समुदाय में विज्ञापित करता है, सभी अपस्ट्रीम पीयरों को उस IP तक ट्रैफ़िक को पूरी तरह से छोड़ने के लिए कहता है। लक्ष्य ऑफ़लाइन रहता है, लेकिन शेष नेटवर्क चालू रहता है। RTBH RFC 5635 में मानकीकृत है और हर Tier 1 कैरियर द्वारा समर्थित है।
RTBH RFC 5635 (अगस्त 2009) में प्रलेखित है और एक मार्ग को एक समुदाय विशेषता के साथ टैग करके काम करता है जिसे अपस्ट्रीम पीयर 'इस उपसर्ग के लिए नियत सभी ट्रैफ़िक को छोड़ दें' के रूप में व्याख्या करते हैं। शमन कुल है — संरक्षित IP पूरे इंटरनेट से अप्राप्य हो जाता है, वैध उपयोगकर्ताओं सहित — लेकिन यह शेष ग्राहक बेड़े को संपार्श्विक क्षति से बचाता है। यह कितना कुंद है इसके कारण, RTBH उपयुक्त है जब एक एकल IP को मल्टी-सौ-गीगाबिट हमले द्वारा संतृप्त किया जा रहा है और एक व्यापक आउटेज की लागत उस एक IP को ऑनलाइन रखने से अधिक है। कई कम-स्तरीय 'DDoS-संरक्षित' VPS योजनाओं का वास्तव में ठीक यही मतलब है: हमले के तहत प्रदाता आपके IP को नल-रूट करेगा ताकि अपने बेड़े को सुरक्षित रखा जा सके। यह परिभाषा के अनुसार सेवा-से-इनकार शमन है, लेकिन संरक्षित संसाधन प्रदाता का नेटवर्क है, आपका नहीं।
स्क्रबिंग सेंटर और ट्रैफ़िक डायवर्ज़न
एक स्क्रबिंग सेंटर एक कठोर नेटवर्क साइट है जहाँ हमला ट्रैफ़िक फ़िल्टर किया जाता है और साफ़ ट्रैफ़िक मूल को अग्रेषित किया जाता है। ट्रैफ़िक को BGP घोषणा (हमेशा-चालू या ऑन-डिमांड) या DNS पॉइंटिंग के माध्यम से वहाँ डायवर्ट किया जाता है। प्रति-Tbps स्क्रबिंग क्षमता हेडलाइन मीट्रिक है — सबसे बड़े प्रदाता 200+ Tbps कुल स्क्रबिंग संचालित करते हैं, जबकि विशेष होस्टिंग प्रदाता आमतौर पर 1-10 Tbps विज्ञापित करते हैं।
स्क्रबिंग सेंटर विशेष उपकरण चलाते हैं — Arbor TMS, Radware DefensePro, A10 Thunder, NSFOCUS ADS, या बड़े पैमाने पर कस्टम Linux/DPDK पाइपलाइनें — जो हर पैकेट का निरीक्षण करते हैं, सौम्य बनाम दुर्भावनापूर्ण पैटर्न का वर्गीकरण करते हैं, और केवल साफ़ अंश को मूल को अग्रेषित करते हैं। डायवर्ज़न आमतौर पर BGP द्वारा किया जाता है: एक हमले के दौरान ग्राहक के उपसर्ग की घोषणा स्क्रबिंग प्रदाता के एनीकास्ट नेटवर्क से की जाती है, सभी ट्रैफ़िक को निकटतम स्क्रबिंग साइट की ओर खींचती है। सफाई के बाद, ट्रैफ़िक को मूल सर्वर पर वापस सुरंगित (GRE, IPSec, समर्पित क्रॉस-कनेक्ट, या प्रत्यक्ष पीयरिंग) किया जाता है। स्क्रबिंग लेटेंसी आमतौर पर क्षेत्र में 1-3 ms है, साथ ही जो भी अतिरिक्त रास्ता डायवर्ज़न जोड़ता है। हमेशा-चालू स्क्रबिंग डायवर्ज़न को स्थायी रखती है, एक निरंतर लेटेंसी कर की लागत पर शमन स्टार्टअप समय को समाप्त करती है। ऑन-डिमांड स्क्रबिंग केवल पता लगाए गए हमलों के दौरान डायवर्ट करती है, जो सस्ता है लेकिन एक 30-180 सेकंड सक्रियण विंडो प्रस्तुत करता है जिसके दौरान हमला उतरता है।
हमेशा-चालू बनाम ऑन-डिमांड शमन
हमेशा-चालू शमन सभी ट्रैफ़िक को 24/7 स्क्रबिंग परत के माध्यम से रूट करता है — शून्य सक्रियण विलंब, लेकिन हर पैकेट एक छोटा लेटेंसी कर देता है (1-5 ms विशिष्ट)। ऑन-डिमांड शमन केवल तब सक्रिय होता है जब एक हमले का पता चलता है, स्थिर-स्थिति लेटेंसी को समाप्त करता है लेकिन सक्रियण विंडो के दौरान मूल को उजागर करता है (आमतौर पर 30-180 सेकंड)। हाइब्रिड सेटअप दोनों को जोड़ते हैं: HTTP/HTTPS के लिए हमेशा-चालू, कच्चे IP ट्रैफ़िक के लिए ऑन-डिमांड।
हमेशा-चालू और ऑन-डिमांड के बीच चयन करना स्थिर-स्थिति लेटेंसी और हमले-विंडो भेद्यता के बीच एक व्यापार-बंद है। लेटेंसी-संवेदनशील सेवाएँ — मल्टीप्लेयर गेम सर्वर, कम-लेटेंसी ट्रेडिंग, आवाज़/वीडियो — आम तौर पर ऑन-डिमांड चुनती हैं और सक्रियण अंतराल को स्वीकार करती हैं क्योंकि स्थिर-स्थिति RTT का हर मिलीसेकंड उन्हें खर्च करता है। सार्वजनिक-सामना वाली वेब सेवाएँ, API, और SaaS ऐप आम तौर पर हमेशा-चालू या एक पूरी तरह से प्रॉक्सीड CDN-जैसी टोपोलॉजी चुनते हैं जहाँ मूल IP सार्वजनिक रूप से ज्ञात भी नहीं है, हमले की विंडो को पूरी तरह से समाप्त करती है। आधुनिक क्लाउड-एज प्रदाता (Cloudflare, Fastly, AWS Shield Advanced, Google Cloud Armor) डिफ़ॉल्ट रूप से हमेशा-चालू की ओर झुकते हैं क्योंकि उनका नेटवर्क पहले से ही सैकड़ों एज स्थानों पर ट्रैफ़िक समाप्त करता है और 'चक्कर' अनिवार्य रूप से शून्य है।
दर सीमित करना, WAF, और एप्लिकेशन-परत रक्षा
दर सीमित करना प्रति स्रोत IP, प्रति सत्र, या प्रति URL अनुरोधों को सीमित करता है, वैध ट्रैफ़िक को प्रभावित किए बिना परत-7 बाढ़ को कुंद करता है। एक Web Application Firewall (WAF) HTTP अनुरोधों का नियमों के विरुद्ध निरीक्षण करता है — OWASP Top 10 सुरक्षा, कस्टम दर नियम, भू-अवरोधन, JS चुनौतियाँ, और CAPTCHA। साथ में वे उन परत-7 हमलों को संभालते हैं जिन्हें वॉल्यूमेट्रिक स्क्रबिंग अकेले नहीं कर सकती।
वॉल्यूमेट्रिक स्क्रबिंग IP-और-पोर्ट सीमा पर रुकती है। एक HTTP बाढ़ को रोकने के लिए जो वास्तविक Chrome ट्रैफ़िक की तरह दिखती है, आपको ऐसे नियमों की आवश्यकता है जो URL, हेडर, कुकीज़, और व्यवहार पर काम करें। दर सीमित करना सबसे सरल और सबसे प्रभावी परत-7 नियंत्रण है: एक एकल IP को, मान लीजिए, /login पर 60 अनुरोध प्रति मिनट पर सीमित करें, बाकी को छोड़ दें। एक WAF सामग्री-जागरूक नियमों के साथ आगे जाता है: SQL-इंजेक्शन पैटर्न, असामान्य उपयोगकर्ता एजेंट, गुम संदर्भकर्ता, आपके सेवा क्षेत्र के बाहर भौगोलिक मूल, या वैध सीमा से बहुत बाहर पेलोड आकार वाले अनुरोधों को ब्लॉक करें। आधुनिक WAF (AWS WAF, Cloudflare WAF, Fastly Next-Gen WAF, OWASP Core Rule Set के साथ ModSecurity) JavaScript चुनौतियाँ, hCaptcha, और बॉट-फ़िंगरप्रिंट हेयुरिस्टिक्स भी चलाते हैं जो वास्तविक ब्राउज़रों को असुविधा दिए बिना एक बॉटनेट की हिट दर को 99%+ तक गिरा देते हैं।
होस्टिंग प्रदाता आमतौर पर क्या शामिल करते हैं बनाम क्या अतिरिक्त शुल्क लेते हैं
मुफ़्त या शामिल स्तर आमतौर पर बुनियादी दर सीमित करने और BGP ब्लैकहोल का उपयोग करके एक निश्चित गीगाबिट-प्रति-सेकंड सीमा (अक्सर 10-100 Gbps) तक परत 3-4 वॉल्यूमेट्रिक हमलों को कवर करते हैं। सशुल्क ऐड-ऑन में आमतौर पर हमेशा-चालू स्क्रबिंग, WAF, परत-7 शमन, कस्टम नियम लेखन, और SLA-समर्थित शमन गारंटी शामिल हैं। अनुबंध पढ़ें — 'असीमित DDoS सुरक्षा' का अक्सर मतलब है 'हम X Gbps से ऊपर आपको नल-रूट करेंगे।'
होस्टिंग-प्रदाता DDoS मार्केटिंग बेतहाशा भिन्न होती है। वास्तव में उपयोगी सुरक्षा में तीन चीज़ें शामिल हैं: (1) Gbps या Tbps में एक स्पष्ट कथित क्षमता, (2) HTTP-बाढ़ शमन सहित परत-3 से परत-7 कवरेज, और (3) शमन प्रारंभ-समय और ट्रैफ़िक-हानि प्रतिबद्धताओं के साथ एक लिखित SLA। कम उपयोगी सुरक्षा बिना क्षमता संख्या के एक एकल 'DDoS संरक्षित' बैज है, जिसका आमतौर पर मतलब केवल BGP ब्लैकहोल है — आपका IP हमले के तहत नल-रूट हो जाता है और आप अवधि के लिए ऑफ़लाइन हैं। मूल्यांकन करते समय, पूछें: प्रति IP कथित क्षमता क्या है? क्या यह हमेशा-चालू है या ऑन-डिमांड? क्या यह परत 7 को कवर करता है? शमन सक्रियण समय SLA क्या है? आपके स्तर की सीमा से अधिक हमले के बाद क्या होता है? उत्तर बताते हैं कि क्या आप वास्तविक सुरक्षा खरीद रहे हैं या एक मार्केटिंग लेबल।