Die Kernherausforderung von L7-DDoS-Angriffen ist ihre Protokollkonformität. Der Angreifer sendet gültige HTTP-Anfragen; jede einzelne Anfrage sieht aus wie etwas, das ein legitimer Benutzer tun würde. Ein System, das nur auf Traffic-Aggregation schaut, erkennt den Angriff entweder spät (nach dem Schaden) oder muss legitimen Traffic blockieren.
Slowloris und R.U.D.Y. treiben das Problem an die Grenze. Der Angreifer öffnet viele halb-offene Verbindungen und sendet auf jeder nur wenige Bytes pro Sekunde. Der Anfragen-pro-Sekunde-Schwellenwert wird nie ausgelöst; inzwischen füllt sich der Worker-Thread-Pool des Servers. Klassischer Schutz sieht es nicht.
Cache-Busting- und rekursive GET-Angriffe umgehen die Cache-Schicht; jede Anfrage hat einen anderen URL-Parameter, der Cache wird übersprungen und das Backend berechnet neu. Zu sagen "es gibt zu viele Anfragen" reicht nicht; das strukturelle Muster des Verhaltens ist entscheidend.
Bot-DDoS-Kampagnen kommen aus einem verteilten IP-Pool, jede Quelle mit niedriger Rate, aber aggregiert mit hoher Fehlerrate oder gezielter Endpoint-Dichte. Der Angriff erscheint nicht in einem einzelnen Signal; er muss mit AND/OR/NOT-Kombinationen mehrerer Signale erfasst werden.
Das L7 DDoS-Add-on läuft auf Verhaltens-Scoring + kombinierter Bedingungslogik + adaptiven Aktionen + pro-vService-Granularität. Anstelle klassischer "Anfragen pro Sekunde"-Schwellenwerte schaut es auf das strukturelle Angriffsmuster.
Nicht ein Signal — Verbindungsrate, Session-Lebensdauer, Anfrage-/Antwortverhältnis, Pfaddichte, IP-Reputation, Bot-Score und Fehlerrate werden gleichzeitig ausgewertet. Angriffsmodelle werden durch strukturelle Muster, nicht durch Volumen, erfasst.
Pro vService kann eine kombinierte Bedingung definiert werden. Beispiel: "hohe Anfragerate UND steigende SSL-Verbindungen UND /api/login-Pfaddichte UND niedrige IP-Reputation". Nicht ein Signal — das strukturelle Angriffsmuster wird zum Auslöser.
Das System beobachtet das Traffic-Verhalten, erstellt eine Basislinie und präsentiert sie dem Operator. Der Operator prüft, genehmigt oder modifiziert; aktiviert als Richtlinie. Wenn sich das Profil weiterentwickelt, präsentiert Smart Learning einen neuen Vorschlag.
Bei Angriffserkennung wird die Aktion nach Angriffsmodell gewählt: Deny (offener Angriff), Redirect (alternativer Pfad), kontrollierte Inhaltsauslieferung, lokales CAPTCHA (Bot-/Mensch-Unterscheidung), Rate-Limit. Anstatt einheitlich — eine abgestufte Reaktion.
Das L7 DDoS-Add-on behandelt die komplexesten Angriffsvektoren auf Anwendungsschicht innerhalb der WAAP-Richtlinienkette.
Ein Angreifer sendet Tausende von echt aussehenden HTTP-Anfragen pro Sekunde. Die Anfragerate allein kann legitimem Kampagnen-Traffic ähneln. TR7s Verhaltens-Scoring-Engine wertet die Anfragerate zusammen mit Session-Lebensdauer, IP-Reputation und Zielpfad-Dichte aus; sobald das strukturelle Angriffsmuster erkannt wird, wird die Aktion angewendet.
Ein Angreifer öffnet viele halb-offene HTTP-Verbindungen und sendet auf jeder nur wenige Bytes pro Sekunde. Der Anfragen-pro-Sekunde-Schwellenwert wird nie ausgelöst. TR7 wertet abnormale Session-Lebensdauer + niedriges Anfrage-/Antwortverhältnis + hohe aktive Verbindungen gemeinsam aus; Angriffsverbindungen werden gefiltert.
Der Angreifer startet eine POST-Anfrage; Content-Length ist groß deklariert, aber der Body trifft mit 1 Byte pro Sekunde ein. Worker-Threads warten stundenlang. TR7 erkennt Slow-Body-Sender durch Content-Length-Inkonsistenz und Thread-Wartezeit.
Der Angreifer fügt jeder Anfrage einen anderen URL-Parameter hinzu; der Cache wird umgangen und das Backend berechnet jede Anfrage neu. TR7 beobachtet Cache-Hit/Miss-Verhältnis und URL-Parameter-Diversitätsverhalten; wenn das Cache-Busting-Strukturmuster erkannt wird, wird die Aktion angewendet.
Der Angreifer trifft sequentiell alle Sub-URLs einer großen Seite, um das Backend zu erschöpfen. Die Verhaltens-Engine erkennt das rekursive Muster — sequentielle hochdichte Anfragen aus derselben Session + konsistenter User-Agent.
Der Angreifer sendet Low-Rate-Anfragen von Tausenden von IPs; das Aggregat zeigt ein strukturelles Muster, aber jede IP sieht gewöhnlich aus. TR7 erfasst den Bot-Pool über kombinierte Bedingungen aus IP-Reputation + Bot-Score + Pfaddichte; abgestufte Aktion (CAPTCHA → Block) wird angewendet.
Der Angreifer sendet eine kompromittierte Credential-Liste an das Login-Formular von verteilten IPs. Hohe 4xx-Fehlerrate + Login-Pfaddichte + IP-Reputation + verteilte Quelle werden gemeinsam ausgewertet; die Angriffswelle wird an ihrem Beginn gestoppt.
Bots, die auf moderne APIs zielen, senden Anfragen mit menschenähnlicher Rate. Bot-Erkennung aus einem einzelnen Verbindungssignal ist schwierig. TR7 erfasst strukturelle Bots über kombinierte Auswertung von Bot-Score + Verhaltens-Fingerabdruck + Pfaddichte.
Wenn ein Angriff strukturell erkannt wird, kann eine lokale CAPTCHA-Challenge ausgelöst werden. Sie läuft als Teil der TR7-Plattform; kein Drittanbieter-reCAPTCHA oder ähnlicher Dienst erforderlich. Daten-Lokalität bleibt erhalten.
Jeder Anwendungsdienst hat ein anderes Traffic-Profil; separate Verhaltensbasislinie und Mitigation-Richtlinie pro vService. Ein Angriff auf einen vService beeinflusst keinen anderen; der normale Traffic eines vService könnte dem Angriffsprofil eines anderen ähneln. Kapazitätsstufen: 1, 10, 25, 100, 1.000 vServices oder Unlimited Protection.
Das L7 DDoS-Add-on bietet ein integriertes Betriebsmodell: Verhaltens-Scoring + ddosCond-kombinierte Bedingungen + Smart Learning + adaptive Aktion + Audit-Trail.
Smart Learning beobachtet das Traffic-Verhalten, erstellt eine pro-vService-Basislinie und präsentiert sie dem Operator. Der Operator prüft, genehmigt oder modifiziert; aktiviert als Richtlinie. Wenn sich das Profil weiterentwickelt, wird ein neuer Vorschlag präsentiert.
Verhaltensignale können mit AND/OR/NOT kombiniert werden. Verbindungsrate, Session-Lebensdauer, Anfrage-/Antwortverhältnis, Pfaddichte, HTTP-Methodenverteilung, Body-Größen-Verhalten, IP-Reputation, Bot-Score, Fehlerrate — alle sind Eingaben zur Bedingungsdefinition.
Deny, Redirect, Content-Delivery, lokales CAPTCHA, Rate-Limit. Nach Angriffsmodell kann der Operator eine abgestufte Aktion definieren: erster Schwellenwert CAPTCHA, zweiter Schwellenwert Rate-Limit, dritter Schwellenwert Block.
L7-DDoS-ddosCond-Bedingungen laufen innerhalb derselben WAAP-Richtlinienkette. Bot-Management-Scores und API-Angriffskontext fließen als Eingabe in ddosCond; bei Angriffserkennung fließen Ereignisse in dieselbe Audit-Kette wie das WAAP-Angriffs-Reporting.
Läuft als Teil der TR7-Plattform. Kein Drittanbieter-reCAPTCHA oder ähnlicher SaaS-Dienst erforderlich; Client-Daten fließen nicht in eine andere Cloud. Visuelle, numerische, verhaltensbasierte Challenge-Optionen.
Jeder erkannte Angriff, durchgeführte Aktion, Quell-IP-Pool-Geografie, Ziel-vService und Dauer werden in den Audit-Trail geschrieben. Wenn das L7 Reporting-Add-on aktiviert ist, visualisiert es im Dashboard; wenn SIEM-Streaming konfiguriert ist, fließt es ins Enterprise-SIEM.
Ein Angreifer öffnet 5.000 halb-offene Verbindungen; jede erhält 2 Bytes pro Sekunde. Der Anfragen-pro-Sekunde-Schwellenwert wird nie ausgelöst, aber der Worker-Pool des Servers füllt sich. TR7 erkennt die kombinierte Bedingung aus abnormaler Session-Lebensdauer + niedrigem Anfrage-/Antwortverhältnis; Angriffsverbindungen werden gefiltert, legitime Benutzer bleiben sichtbar.
Ein Angreifer sendet kompromittierte Credentials von 50.000 IPs an das Login-Formular. Jede IP läuft mit 1–2 Anfragen pro Sekunde; ein einzelnes IP-Profil enthüllt das Botnet nicht. ddosCond: hohe 4xx-Rate UND Login-Pfaddichte UND niedrige IP-Reputation → abgestufte Aktion (CAPTCHA → Block).
Ein KI-Agent-gesteuerter Angreifer sendet Anfragen mit menschenähnlicher Rate an API-Endpoints. Bot-Erkennung aus einem einzelnen Verbindungssignal ist schwierig. Die kombinierte Auswertung von Bot-Score + Verhaltens-Fingerabdruck + Pfaddichte erfasst das strukturelle Muster des KI-Agenten; Rate-Limit oder lokales CAPTCHA wird angewendet.
Beim Start einer E-Commerce-Kampagne steigt der Traffic um das 10-Fache. Ein statischer Schwellenwert führt entweder zu einer leeren Seite oder blockiert legitimen Traffic, was Umsatz kostet. TR7 Smart Learning hat auch die Kampagnentag-Erwartung erlernt (wöchentlicher Zyklus); der Schwellenwert ist dynamisch. Legitimer Traffic wird nicht beeinflusst; Bot-/Angreifer-Traffic wird unterschieden.
Lassen Sie uns ddosCond-kombinierte Bedingungen, Smart-Learning-Vorschläge und die adaptive Aktionsbibliothek live in Ihrer Umgebung anschauen — eine Deployment-Session auf einem Pilot-vService.