El desafío central de los ataques L7 DDoS es su conformidad con el protocolo. El atacante envía solicitudes HTTP válidas; cada solicitud por sí sola parece algo que haría un usuario legítimo. Un sistema que solo mira la agregación de tráfico o capta el ataque tarde (después de que se ha producido el daño) o tiene que bloquear tráfico legítimo.
Slowloris y R.U.D.Y. llevan el problema al extremo. El atacante abre muchas conexiones semiabiertas y envía unos pocos bytes por segundo en cada una. El umbral de solicitudes por segundo nunca se activa; mientras tanto, el pool de hilos de trabajo del servidor se llena. La protección clásica no lo detecta.
Los ataques de cache-busting y recursive GET eluden la capa de caché; cada solicitud tiene un parámetro URL diferente, se salta la caché y el backend recalcula. Decir «hay demasiadas solicitudes» no es suficiente; importa el patrón estructural del comportamiento.
Las campañas bot DDoS provienen de un pool de IPs distribuidas, cada fuente a baja tasa, pero con una alta tasa de errores agregada o densidad de endpoint objetivo. El ataque no aparece en una única señal; debe capturarse con combinaciones AND/OR/NOT de múltiples señales.
El add-on L7 DDoS funciona con puntuación conductual + lógica de condiciones combinadas + acciones adaptivas + granularidad por vService. En lugar de umbrales clásicos de «solicitudes por segundo», mira el patrón estructural del ataque.
No una señal — tasa de conexiones, duración de sesión, ratio solicitud/respuesta, densidad de rutas, IP reputation, puntuación de bot y tasa de errores evaluadas simultáneamente. Los modelos de ataque se capturan por patrón estructural, no por volumen.
Se puede definir una condición combinada por vService. Ejemplo: «alta tasa de solicitudes Y aumento de conexiones SSL Y densidad de ruta /api/login Y baja IP reputation». No una señal — el patrón estructural del ataque se convierte en el disparador.
El sistema observa el comportamiento del tráfico, genera una línea base y la presenta al operador. El operador revisa, aprueba o modifica; activa como política. A medida que el perfil evoluciona, Smart Learning presenta una nueva sugerencia.
Al detectarse un ataque, la acción se selecciona por modelo de ataque: deny (ataque abierto), redirect (ruta alternativa), entrega de contenido controlado, CAPTCHA local (distinción bot/humano), rate-limit. En lugar de una respuesta única, una respuesta graduada.
El add-on L7 DDoS maneja los vectores de ataque de capa de aplicación más sofisticados dentro de la cadena de política WAAP.
Un atacante envía miles de solicitudes HTTP de apariencia real por segundo. La tasa de solicitudes por sí sola puede parecerse al tráfico legítimo de campaña. El motor de puntuación conductual de TR7 evalúa la tasa de solicitudes junto con la duración de sesión, la IP reputation y la densidad de ruta objetivo; una vez reconocido el patrón estructural del ataque, se aplica la acción.
Un atacante abre muchas conexiones HTTP semiabiertas, enviando solo unos pocos bytes por segundo en cada una. El umbral de solicitudes por segundo nunca se activa. TR7 evalúa conjuntamente la duración de sesión anormal + bajo ratio solicitud/respuesta + alto número de conexiones activas; las conexiones de ataque se filtran.
El atacante inicia una solicitud POST; el Content-Length se declara grande pero el cuerpo llega a 1 byte por segundo. Los hilos de trabajo esperan durante horas. TR7 captura a los emisores de cuerpo lento mediante la inconsistencia de Content-Length y el tiempo de espera de hilos.
El atacante añade un parámetro URL diferente a cada solicitud; la caché se elude y el backend recalcula en cada solicitud. TR7 observa el ratio de aciertos/fallos de caché y el comportamiento de diversidad de parámetros URL; cuando se captura el patrón estructural de cache-busting, se aplica la acción.
El atacante golpea secuencialmente todas las sub-URLs de una página grande para agotar el backend. El motor conductual captura el patrón recursivo — solicitudes de alta densidad secuencial desde la misma sesión + user-agent coherente.
El atacante envía solicitudes de baja tasa desde miles de IPs; el agregado muestra un patrón estructural, pero cada IP parece ordinaria. TR7 captura el pool de bots mediante condiciones combinadas de IP reputation + puntuación de bot + densidad de rutas; se aplica la acción graduada (CAPTCHA → bloqueo).
El atacante envía una lista de credenciales comprometidas al formulario de login desde IPs distribuidas. Alta tasa de errores 4xx + densidad de ruta de login + IP reputation + origen distribuido evaluados conjuntamente; la oleada de ataque se detiene desde su inicio.
Los bots dirigidos a API modernas envían solicitudes a tasa similar a la humana. La detección de bots a partir de una única señal de conexión es difícil. TR7 captura los bots estructurales mediante la evaluación combinada de puntuación de bot + huella conductual + densidad de rutas.
Cuando un ataque es reconocido estructuralmente, puede activarse un desafío CAPTCHA local. Se ejecuta como parte de la plataforma TR7; no se requiere ningún servicio reCAPTCHA de terceros ni similar. Se preserva la localidad de datos.
Cada servicio de aplicación tiene un perfil de tráfico diferente; línea base conductual y política de mitigación separadas por vService. Un ataque en un vService no afecta a otro; el tráfico normal de un vService podría parecerse al perfil de ataque de otro. Niveles de capacidad: 1, 10, 25, 100, 1000 vServices, o Protección Ilimitada.
El add-on L7 DDoS ofrece un modelo operacional integrado: puntuación conductual + condiciones combinadas ddosCond + Smart Learning + acción adaptiva + registro de auditoría.
Smart Learning observa el comportamiento del tráfico, genera una línea base por vService y la presenta al operador. El operador revisa, aprueba o modifica; activa como política. A medida que el perfil evoluciona, se presenta una nueva sugerencia.
Las señales de comportamiento pueden combinarse con AND/OR/NOT. Tasa de conexiones, duración de sesión, ratio solicitud/respuesta, densidad de rutas, distribución de métodos HTTP, comportamiento de tamaño de cuerpo, IP reputation, puntuación de bot, tasa de errores — todas son entrada para la definición de condiciones.
deny, redirect, entrega de contenido, CAPTCHA local, rate-limit. Por modelo de ataque, el operador puede definir una acción graduada: primer umbral CAPTCHA, segundo umbral rate-limit, tercer umbral bloqueo.
Las condiciones ddosCond de L7 DDoS se ejecutan dentro de la misma cadena de política WAAP. Las puntuaciones de gestión de bots y el contexto de ataque API alimentan ddosCond como entrada; al detectarse un ataque, los eventos fluyen hacia la misma cadena de auditoría que el informe de ataques WAAP.
Se ejecuta como parte de la plataforma TR7. No se requiere ningún servicio SaaS de reCAPTCHA de terceros ni similar; los datos del cliente no fluyen a otra nube. Opciones de desafío visual, numérico y conductual.
Cada ataque detectado, acción tomada, geografía del pool de IP de origen, vService objetivo y duración se escriben en el registro de auditoría. Si el add-on L7 Reporting está habilitado, se visualiza en el panel; si el streaming SIEM está configurado, fluye al SIEM empresarial.
Un atacante abre 5.000 conexiones semiabiertas; cada una recibe 2 bytes por segundo. El umbral de solicitudes por segundo nunca se activa pero el pool de trabajadores del servidor se llena. TR7 captura la condición combinada de duración de sesión anormal + bajo ratio solicitud/respuesta; las conexiones de ataque se filtran, los usuarios legítimos permanecen visibles.
Un atacante envía credenciales comprometidas desde 50.000 IPs al formulario de login. Cada IP funciona a 1-2 solicitudes por segundo; el perfil de una sola IP no revela la botnet. ddosCond: alta tasa de errores 4xx Y densidad de ruta de login Y baja IP reputation → acción graduada (CAPTCHA → bloqueo).
Un atacante impulsado por agente IA envía solicitudes a tasa similar a la humana hacia endpoints de API. La detección de bots a partir de una única señal de conexión es difícil. La evaluación combinada de puntuación de bot + huella conductual + densidad de rutas captura el patrón estructural del agente IA; se aplica rate-limit o CAPTCHA local.
Al lanzarse una campaña de e-commerce, el tráfico se multiplica por 10. Un umbral estático o muestra la página en blanco o bloquea tráfico legítimo, generando pérdidas de negocio. Smart Learning de TR7 ha aprendido también la expectativa del día de campaña (ciclo semanal); el umbral es dinámico. El tráfico legítimo no se ve afectado; el tráfico de bots/atacantes se distingue.
Veamos en vivo las condiciones combinadas ddosCond, las sugerencias de Smart Learning y la biblioteca de acciones adaptivas en su entorno — una sesión de despliegue en un vService piloto.