L'atténuation DDoS classique tombe dans l'un de deux problèmes. Premier : les services de scrubbing cloud routent le trafic vers un autre réseau. Cela ajoute de la latence et expose vos données à un tiers lors de l'analyse d'attaque. Les calculs de coût facturent souvent aussi le trafic d'attaque.
Deuxième : les appliances DDoS dédiées on-prem nécessitent un réglage par des experts DDoS pour la bonne réponse. Les seuils sont définis manuellement ; à mesure que la topologie change, les seuils deviennent obsolètes ; l'équipe opérationnelle doit constamment les mettre à jour.
Côté attaquant, les vecteurs changent constamment. Le SYN flood démarre, évolue en UDP flood en quelques minutes, puis l'amplification DNS arrive. Les campagnes orchestrées utilisant des botnets IoT combinent différents vecteurs pendant des heures. Les défenses à vecteur unique vieillissent à chaque nouvelle campagne.
L'add-on TR7 L4 DDoS aborde les trois ensemble : le filtrage de paquets au niveau kernel traite tous les vecteurs courants dans un seul moteur, la baseline adaptive retire l'opérateur du réglage manuel et l'atténuation reste sur votre propre hardware.
L'add-on L4 DDoS fonctionne selon quatre principes : performance au niveau kernel, couverture multi-vecteur, apprentissage de baseline adaptive et granularité par table de routage.
La détection et le filtrage s'appliquent au niveau paquet — avant la couche applicative. Les floods à haut volume sont abandonnés avant d'atteindre les threads applicatifs ; la consommation de ressources reste minimale.
SYN/UDP/ICMP/ACK flood, attaques par fragmentation, amplification DNS/NTP/SSDP/Memcached — tous reconnus dans le même moteur de filtrage. Les changements de vecteur en cours de campagne n'interrompent pas l'atténuation.
Le système observe le profil normal de votre trafic, génère périodiquement une baseline et demande à l'opérateur « dois-je traiter au-delà de ce niveau comme une attaque ? ». L'opérateur approuve ; la baseline s'active et s'affine au fil du temps.
Le périmètre d'atténuation évolue par table de routage. Le même ADC peut héberger différents profils de protection L4 pour différents segments ; les petits déploiements utilisent une table de routage, les entreprises multi-clients ou multi-segments en utilisent 25+.
L'add-on TR7 L4 DDoS traite les vecteurs de couche réseau les plus courants des campagnes d'attaque modernes dans un moteur unique.
Un attaquant utilise des centaines de milliers de connexions TCP semi-ouvertes pour saturer le pool de connexions du serveur. Les systèmes classiques doivent rejeter des requêtes légitimes une fois le pool rempli. TR7 L4 DDoS évalue les paquets SYN par rapport à la baseline ; lorsqu'une diversité de sources anormale ou un ratio SYN/ACK est détecté, les cookies SYN et la gestion agressive TIME_WAIT s'activent. Les connexions légitimes ne sont pas affectées.
La nature sans connexion d'UDP donne à l'attaquant un accès facile au flood. TR7 détecte les floods UDP via la validation d'adresse source, la distribution de taille des paquets et les profils de densité par port. Le trafic à volume élevé inattendu depuis des sources inhabituelles est évalué par rapport à la baseline ; une fois l'attaque reconnue, une limitation spécifique au protocole s'applique.
Les ping floods et l'amplification ICMP echo sont des vecteurs volumétriques classiques. TR7 compare le trafic ICMP à la baseline ; le trafic conforme au protocole mais anormalement volumineux est abandonné via un rate-limit par source. Le trafic de test d'ingénierie réseau n'est pas affecté.
L'attaquant envoie des paquets ACK aléatoires ; le serveur est forcé dans la recherche d'état et le CPU est consommé. TR7 détecte les ACK floods via les profils de densité de requêtes de table d'état ; les paquets d'attaque sont rejetés au niveau kernel.
Les paquets fragmentés épuisent le pool de réassemblage sur le serveur cible. TR7 inspecte le trafic fragmenté avant réassemblage ; les patterns de fragments manquants ou se chevauchant sont abandonnés à la détection.
L'attaquant utilise des résolveurs DNS mal configurés pour transformer de petites requêtes en grandes réponses. TR7 compare le trafic de réponses DNS par rapport à l'historique des requêtes ; les paires requête-réponse non correspondantes sont reconnues comme attaques réflecteur et abandonnées.
Au-delà du DNS, les vecteurs d'amplification classiques : NTP monlist, SSDP discovery, Memcached UDP, SNMP getbulk. Chacun a un profil de trafic spécifique au protocole ; les réponses à amplification élevée inattendues sont filtrées avant d'atteindre la source.
Les campagnes d'attaque modernes changent de vecteur en cours de campagne. TR7 observe continuellement le mix de vecteurs actifs ; la politique d'atténuation s'adapte automatiquement. Aucune intervention de l'opérateur n'est requise.
Le profil de trafic est appris sur des cycles horaires, quotidiens et hebdomadaires. L'opérateur révise d'abord la baseline, approuve ; ensuite la baseline s'affine d'elle-même. À mesure que le trafic croît, les seuils s'élargissent ; à mesure qu'il diminue, ils se resserrent.
L'atténuation est définie par table de routage. Le même ADC protège différents segments clients, différents groupes applicatifs ou différentes topologies réseau avec des profils de protection L4 séparés. Niveaux de capacité — 1, 2, 5, 10, 25 tables de routage ; l'entreprise obtient illimité.
L'add-on L4 DDoS n'est pas seulement un filtre technique — l'apprentissage de baseline, le flux opérateur, la mise à l'échelle granulaire et les enregistrements d'audit forment ensemble un modèle opérationnel complet.
Le profil de trafic est observé sur des échelles horaires, quotidiennes et hebdomadaires. Le système soumet « dois-je traiter au-delà de ce niveau comme une attaque ? » à l'opérateur ; l'opérateur révise, approuve ou modifie. Après activation, si le profil de trafic évolue, le système soumet une nouvelle suggestion de baseline.
Les nouvelles baselines ou changements de politique passent par l'approbation de l'opérateur avant activation. La chaîne d'approbation est configurable ; les changements à fort impact peuvent nécessiter une double approbation.
Les règles d'atténuation sont définies au niveau table de routage. Si le même ADC sert plusieurs segments, chacun obtient sa propre baseline indépendante et son profil d'atténuation.
Selon le vecteur d'attaque détecté, l'action est sélectionnée automatiquement : drop, rate-limit, liste noire source, limitation spécifique au protocole. Les opérateurs peuvent personnaliser via la politique.
Le trafic d'attaque volumétrique n'apparaît pas sur votre facture. Les fournisseurs classiques comptent le trafic d'attaque bloqué contre la bande passante ; TR7 l'exclut dès le départ.
Chaque vecteur d'attaque détecté, action d'atténuation appliquée, géographie source et durée sont écrits dans la piste d'audit et streamés vers le SIEM. Chaîne de preuves complète pour l'investigation forensique et le reporting de conformité.
Le trafic d'une infrastructure bancaire est élevé le jour, faible la nuit. Un attaquant lance un SYN flood la nuit ; un seuil statique défini pour la journée est trop grand pour la nuit, et un défini pour la nuit bloque du trafic légitime. La baseline adaptive TR7 connaît le profil nocturne ; l'attaque est détectée au moment où elle dépasse la ligne normale-nuit.
Un attaquant utilise 10 000+ résolveurs DNS ouverts dans le monde pour saturer le lien WAN de l'organisation. Le trafic ressemble à des réponses DNS « normales ». La détection de réflecteur TR7 détecte le trafic ne correspondant pas à une requête préalable ; l'attaque est stoppée à la périphérie réseau de l'organisation, pas en amont.
Un attaquant mène une campagne de plusieurs heures avec un botnet IoT : commence par un SYN flood, passe au UDP flood, puis ajoute l'amplification DNS. La défense classique à vecteur unique nécessite un re-réglage à chaque changement. TR7 observe le mix de vecteurs continuellement ; la politique d'atténuation s'adapte automatiquement.
Un MSP veut une protection L4 pour 25 clients différents sur le même ADC. Le profil de trafic de chaque client est différent ; la baseline d'un client pourrait ressembler à l'attaque d'un autre. TR7 exécute des profils de baseline et d'atténuation indépendants par client au niveau table de routage.
Voyons le flux d'apprentissage de baseline, la confirmation opérateur et l'atténuation multi-vecteur en direct dans votre environnement — une session de déploiement sur une table de routage pilote.