L3, L4 en L7 worden vaak als commerciële labels gebruikt, maar ze beschermen niet hetzelfde deel van het trafficpad. Deze gids legt de echte verschillen uit tussen netwerk-, transport- en applicatiefiltering en hoe u een coherent Anti-DDoS-ontwerp kiest met beschermde IP-transit, tunnels, reverse proxy of router-VM.
L3 L4 L7 Anti-DDoS-bescherming
L3 Anti-DDoS, L4 Anti-DDoS, L7 Anti-DDoS, laag 3 4 7, netwerk- en applicatiefiltering, beschermde IP-transit.
Koop geen “L7”-marketing als het echte probleem L3/L4-verzadiging is.
Peeryx combineert beschermde IP-transit, netwerkfiltering, schone delivery, reverse proxy en router-VM.
Bij het vergelijken van Anti-DDoS-aanbiedingen komen L3, L4 en L7 overal terug. Veel providers gebruiken ze als commerciële vinkjes, maar ze betekenen niet “meer” of “minder” bescherming. Ze beschrijven verschillende punten in het trafficpad: IP-netwerk, TCP/UDP-transport en applicatie.
Dit onderscheid voorkomt verkeerde keuzes. Als een UDP flood de link vult, komt L7 te laat. Als traffic op TCP-niveau normaal lijkt maar een API of gameprotocol misbruikt, is L3/L4 alleen niet genoeg. Het juiste ontwerp hangt af van dienst, poorten, BGP, delivery-model en zichtbaarheid.
Peeryx combineert L3/L4-filtering, beschermde IP-transit, schone delivery en applicatiecomponenten wanneer de dienst dit vraagt.
L3 gaat over IP: prefixes, routing, protocol, pakketgrootte, spoofing en capaciteit om traffic op te vangen voordat het uw infrastructuur bereikt. Een L3-aanval kan een link of volledig prefix verzadigen.
L4 gaat over transport: TCP, UDP, poorten, flags, SYN, ACK, verbindingsstatus, PPS en sessiegedrag. Hier zitten veel floods die publieke diensten breken: SYN flood, UDP flood op gamepoorten of ACK flood.
L7 gaat over de applicatie: HTTP, API, login, endpoint, payload, game-handshake, bots of kostbare acties. L7 heeft meer context nodig, maar vervangt geen netwerkbescherming als de link al vol zit.
IP-netwerk, prefixes, routing, capaciteit en ingang van traffic in mitigatie.
TCP/UDP, poorten, flags, states, PPS en transportgedrag.
HTTP, API, bots, gameprotocollen en applicatielogica.
Een verkeerde diagnose leidt vaak tot een verkeerde aankoop. Een website onder dure HTTP-requests heeft mogelijk applicatieregels, rate limiting of reverse proxy nodig. Maar bij een UDP- of TCP flood die de poort verzadigt, is eerst L3/L4 nodig: upstream capaciteit, netwerkfiltering, BGP, tunnels of beschermde IP-transit.
Omgekeerd kan L3/L4 de link stabiel houden maar applicatierequests doorlaten die op transportniveau normaal lijken. Voor API, panel, login of gameprotocol kan een laag dichter bij de dienst nodig zijn.
Operationeel moet L3/L4 snel, stabiel en schaalbaar zijn. L7 is contextueler, maar kost CPU, latency en complexiteit.
Traffic komt eerst binnen op netwerk, daarna transport en pas daarna applicatie. Elke laag ziet andere signalen.
| Laag | Wat ze ziet | Aanvalvoorbeelden | Passende reactie |
|---|---|---|---|
| L3 | Bron/doel-IP, IP-protocol, pakketgrootte, route, prefix, linkcapaciteit. | Volumetrische floods, spoofed traffic, transitverzadiging, aanval op prefix. | Beschermde IP-transit, upstream scrubbing, BGP, selectieve blackhole, mitigatiecapaciteit. |
| L4 | TCP/UDP, poorten, flags, SYN/ACK, states, PPS en sessiegedrag. | SYN flood, UDP flood, ACK flood of flood op gamepoort. | Transportfiltering, poort/protocolregels, intelligente limieten, schone delivery via tunnel of cross-connect. |
| L7 | URL, HTTP-methode, host, payload, handshake, account, applicatieactie. | HTTP flood, loginbots, API-misbruik, dure requests, handshake spam. | Reverse proxy, applicatieregels, challenge, endpoint rate limiting en protocolfiltering. |
Bij grote L3/L4-aanvallen is het vaak het schoonst om de traffic-ingang naar mitigatie-infrastructuur te verplaatsen. De klant annonceert prefixes met BGP of gebruikt een beschermd IP en ontvangt schone traffic via cross-connect, GRE, IPIP, VXLAN of router-VM.
Voor web, API of games met eigen logica kan een reverse proxy de netwerklaag aanvullen. Die begrijpt het protocol beter, maar moet bij verzadigende aanvallen achter een sterke L3/L4-laag staan.
Vaak is een hybride model het sterkst: beschermde IP-transit voor L3/L4 en applicatiefiltering of reverse proxy voor L7-misbruik.
Beschermt prefixes, houdt operatorcontrole en levert schone traffic terug.
Bestaande server of netwerk behouden en alleen gefilterde traffic ontvangen.
Behandelt applicatiegedrag voor web, API, FiveM, Minecraft of specifieke diensten.
Beëindigt tunnels, routeert schoon en behoudt controle tussen Peeryx en productie.
Peeryx verkoopt niet alleen een label “L3/L4/L7”. Eerst bepalen we waar de dienst breekt: link, PPS, poort, TCP/UDP-state, protocol of applicatiegedrag.
Daarna kiezen we het model: beschermde IP-transit, beschermd IP, BGP, GRE, IPIP, VXLAN, cross-connect, reverse proxy of combinatie. Belangrijk is waar traffic binnenkomt, hoe hij gefilterd wordt en hoe hij schoon terugkeert.
Een gamingplatform krijgt eerst een UDP flood op de publieke poort. Spelers zien latency, timeouts en joinproblemen. Het hoofdprobleem is L3/L4: capaciteit, PPS en transportfiltering.
Later verandert de aanval. De link blijft online, maar bots imiteren delen van de client en misbruiken het protocol. Dan wordt het probleem meer L7 en kan reverse proxy of specifieke logica nodig zijn. Beide lagen moeten samenwerken.
Peeryx is gebouwd als gespecialiseerde netwerklaag voor blootgestelde diensten: beschermde IP-transit, BGP, tunnels, cross-connect, gaming reverse proxy en router-VM volgens scenario.
Voor L3/L4-aanvallen filtert Peeryx voordat traffic de server bereikt. Voor applicatieve behoeften brengen reverse proxy en dedicated designs bescherming dichter bij de echte dienst.
L3 kijkt naar IP, prefixes, routes en capaciteit. L4 kijkt naar TCP/UDP, poorten, flags, states en transportgedrag.
Nee. L7 heeft meer context, maar komt later. Bij linkverzadiging is eerst sterke L3/L4 nodig.
Vooral L3/L4 met schone delivery. Het kan worden aangevuld met reverse proxy.
Vaak beide. L4 absorbeert floods en beschermt poorten; L7 helpt bij protocolmisbruik.
Ja, vaak wordt traffic bij Peeryx gefilterd en teruggeleverd via tunnel, cross-connect of router-VM.
L3-, L4- en L7-bescherming zijn niet uitwisselbaar. Ze lossen verschillende problemen op in het trafficpad. Een serieus Anti-DDoS-ontwerp begint met het identificeren van het echte breekpunt: link, poort, TCP/UDP-state, protocol of gebruikersgedrag.
Voor blootgestelde diensten combineert het sterkste model vaak upstream L3/L4-bescherming met schone delivery en voegt het L7 toe wanneer de dienst dit vraagt. Dat is de waarde van een Peeryx-ontwerp.
Deel uw poorten, protocol, huidige hoster, aanvalssymptomen en gewenste delivery-model. Peeryx helpt kiezen tussen beschermde IP-transit, tunnel, reverse proxy, cross-connect of router-VM.
