Le défi central des attaques L7 DDoS est leur conformité au protocole. L'attaquant envoie des requêtes HTTP valides ; chaque requête seule ressemble à quelque chose qu'un utilisateur légitime ferait. Un système regardant uniquement l'agrégation du trafic détecte soit l'attaque trop tard (après que les dommages sont faits), soit doit bloquer du trafic légitime.
Slowloris et R.U.D.Y. poussent le problème à l'extrême. L'attaquant ouvre de nombreuses connexions semi-ouvertes et envoie quelques octets par seconde sur chacune. Le seuil de requêtes par seconde ne se déclenche jamais ; pendant ce temps, le pool de threads worker du serveur se remplit. La protection classique ne le voit pas.
Les attaques cache-busting et recursive GET contournent la couche de cache ; chaque requête a un paramètre d'URL différent, le cache est ignoré et le backend recalcule. Dire « il y a trop de requêtes » ne suffit pas ; le pattern structurel du comportement importe.
Les campagnes bot DDoS proviennent d'un pool d'IP distribuées, chaque source à faible taux, mais agrégat de taux d'erreur élevé ou de densité d'endpoint ciblé. L'attaque n'apparaît pas dans un seul signal ; elle doit être détectée avec des combinaisons AND/OR/NOT de signaux multiples.
L'add-on L7 DDoS fonctionne sur le scoring comportemental + la logique de conditions combinées + les actions adaptatives + la granularité par vService. Au lieu des seuils classiques de « requêtes par seconde », il examine le pattern structurel d'attaque.
Pas un seul signal — taux de connexion, durée de session, ratio requête/réponse, densité de chemin, réputation IP, score bot et taux d'erreur évalués simultanément. Les modèles d'attaque sont détectés par le pattern structurel, pas par le volume.
Une condition combinée peut être définie par vService. Exemple : « taux de requêtes élevé ET connexions SSL en hausse ET densité de chemin /api/login ET réputation IP faible ». Pas un seul signal — le pattern structurel d'attaque devient le déclencheur.
Le système observe le comportement du trafic, génère une baseline et la soumet à l'opérateur. L'opérateur révise, approuve ou modifie ; active comme politique. À mesure que le profil évolue, Smart Learning soumet une nouvelle suggestion.
À la détection d'une attaque, l'action est sélectionnée selon le modèle d'attaque : deny (attaque ouverte), redirect (chemin alternatif), livraison de contenu contrôlée, CAPTCHA local (distinction bot/humain), rate-limit. Au lieu d'une approche uniforme, une réponse graduée.
L'add-on L7 DDoS traite les vecteurs d'attaque de couche applicative les plus sophistiqués dans la chaîne de politique WAAP.
Un attaquant envoie des milliers de requêtes HTTP d'apparence réelle par seconde. Le taux de requêtes seul peut ressembler à du trafic de campagne légitime. Le moteur de scoring comportemental de TR7 évalue le taux de requêtes avec la durée de session, la réputation IP et la densité de chemin cible ; une fois le pattern structurel d'attaque reconnu, l'action s'applique.
Un attaquant ouvre de nombreuses connexions HTTP semi-ouvertes, n'envoyant que quelques octets par seconde sur chacune. Le seuil de requêtes par seconde ne se déclenche jamais. TR7 évalue ensemble la durée de session anormale + le faible ratio requête/réponse + le nombre élevé de connexions actives ; les connexions d'attaque sont filtrées.
L'attaquant démarre une requête POST ; Content-Length est déclaré grand mais le corps arrive à 1 octet par seconde. Les threads worker attendent des heures. TR7 détecte les expéditeurs à corps lent via l'incohérence du Content-Length et le temps d'attente des threads.
L'attaquant ajoute un paramètre d'URL différent à chaque requête ; le cache est contourné et le backend recalcule chaque requête. TR7 observe le ratio hit/miss du cache et le comportement de diversité des paramètres d'URL ; lorsque le pattern structurel de cache-busting est détecté, l'action s'applique.
L'attaquant frappe séquentiellement toutes les sous-URL d'une grande page pour épuiser le backend. Le moteur comportemental détecte le pattern récursif — requêtes séquentielles à haute densité depuis la même session + user-agent cohérent.
L'attaquant envoie des requêtes à faible taux depuis des milliers d'IP ; l'agrégat montre un pattern structurel, mais chaque IP semble ordinaire. TR7 détecte le pool de bots via les conditions combinées de réputation IP + score bot + densité de chemin ; une action graduée (CAPTCHA → blocage) s'applique.
L'attaquant envoie une liste d'identifiants compromis au formulaire de connexion depuis des IP distribuées. Taux d'erreur 4xx élevé + densité de chemin de connexion + réputation IP + source distribuée évalués ensemble ; la vague d'attaque est stoppée dès son début.
Les bots ciblant les API modernes envoient des requêtes à un taux ressemblant à celui d'un humain. La détection bot depuis un seul signal de connexion est difficile. TR7 détecte les bots structurels via l'évaluation combinée du score bot + empreinte comportementale + densité de chemin.
Lorsqu'une attaque est structurellement reconnue, un challenge CAPTCHA local peut se déclencher. Il s'exécute comme partie de la plateforme TR7 ; aucun reCAPTCHA tiers ou service similaire requis. La localité des données est préservée.
Chaque service applicatif a un profil de trafic différent ; baseline comportementale et politique d'atténuation séparées par vService. Une attaque sur un vService n'affecte pas un autre ; le trafic normal d'un vService peut ressembler au profil d'attaque d'un autre. Niveaux de capacité : 1, 10, 25, 100, 1 000 vServices ou protection illimitée.
L'add-on L7 DDoS offre un modèle opérationnel intégré : scoring comportemental + conditions combinées ddosCond + Smart Learning + action adaptive + piste d'audit.
Smart Learning observe le comportement du trafic, génère une baseline par vService et la soumet à l'opérateur. L'opérateur révise, approuve ou modifie ; active comme politique. À mesure que le profil évolue, une nouvelle suggestion est soumise.
Les signaux comportementaux peuvent être combinés avec AND/OR/NOT. Taux de connexion, durée de session, ratio requête/réponse, densité de chemin, distribution des méthodes HTTP, comportement de taille de corps, réputation IP, score bot, taux d'erreur — tous sont des entrées pour la définition des conditions.
deny, redirect, livraison de contenu, CAPTCHA local, rate-limit. Selon le modèle d'attaque, l'opérateur peut définir une action graduée : premier seuil CAPTCHA, deuxième seuil rate-limit, troisième seuil blocage.
Les conditions ddosCond L7 DDoS s'exécutent dans la même chaîne de politique WAAP. Les scores de gestion des bots et le contexte d'attaque API alimentent ddosCond comme entrée ; à la détection d'une attaque, les événements s'écoulent dans la même chaîne d'audit que le reporting d'attaque WAAP.
S'exécute comme partie de la plateforme TR7. Aucun reCAPTCHA tiers ou service SaaS similaire requis ; les données client ne transitent pas vers un autre cloud. Options de challenge visuel, numérique, comportemental.
Chaque attaque détectée, action prise, géographie du pool d'IP source, vService cible et durée sont écrits dans la piste d'audit. Si l'add-on L7 Reporting est activé, il se visualise dans le tableau de bord ; si le streaming SIEM est configuré, il s'écoule vers le SIEM d'entreprise.
Un attaquant ouvre 5 000 connexions semi-ouvertes ; chacune reçoit 2 octets par seconde. Le seuil de requêtes par seconde ne se déclenche jamais mais le pool worker du serveur se remplit. TR7 détecte la condition combinée de durée de session anormale + faible ratio requête/réponse ; les connexions d'attaque sont filtrées, les utilisateurs légitimes restent visibles.
Un attaquant envoie des identifiants compromis depuis 50 000 IP vers le formulaire de connexion. Chaque IP tourne à 1-2 requêtes par seconde ; un profil IP unique ne révèle pas le botnet. ddosCond : taux 4xx élevé ET densité de chemin de connexion ET réputation IP faible → action graduée (CAPTCHA → blocage).
Un attaquant piloté par agent IA envoie des requêtes à un taux ressemblant à celui d'un humain vers des endpoints API. La détection bot depuis un seul signal de connexion est difficile. L'évaluation combinée du score bot + empreinte comportementale + densité de chemin détecte le pattern structurel de l'agent IA ; rate-limit ou CAPTCHA local s'applique.
Au lancement d'une campagne e-commerce, le trafic fait un pic de 10x. Un seuil statique soit affiche une page blanche, soit bloque du trafic légitime, au coût commercial. TR7 Smart Learning a également appris l'attente du jour de campagne (cycle hebdomadaire) ; le seuil est dynamique. Le trafic légitime n'est pas affecté ; le trafic bot/attaquant est distingué.
Voyons les conditions combinées ddosCond, les suggestions Smart Learning et la bibliothèque d'actions adaptatives en direct dans votre environnement — une session de déploiement sur un vService pilote.