O erro mais comum na proteção DDoS tradicional é aplicar o mesmo limite fixo a cada serviço. Uma regra simples como "bloquear acima de 100 requisições por segundo" pode reagir tarde demais para um serviço de baixo tráfego e produzir bloqueios falsos para um site de e-commerce durante uma campanha. Cada aplicação tem seu próprio volume de tráfego normal, distribuição de caminho, perfil de cliente e comportamento de conexão.
Os ataques L7 DDoS nem sempre chegam com alta contagem de pacotes ou alta taxa de requisições. Ataques no estilo Slowloris — baixa taxa, mas muitas conexões abertas — bem como floods de conexão SSL, taxas de erros crescentes, comportamento de bots e carga concentrada em endpoints específicos podem todos derrotar a lógica clássica de rate limit. Tomar decisões a partir de um único contador é, portanto, insuficiente.
Um problema adicional é que as ações de proteção são frequentemente únicas. Se cada requisição suspeita for imediatamente descartada, os usuários legítimos são afetados; se um captcha for exibido em todos os casos, a experiência do usuário se degrada. Drop silencioso é correto em alguns cenários, redirect em outros, uma página informativa em outros, e um captcha self-hosted em outros ainda.
A abordagem correta é aprender o comportamento do tráfego por serviço, avaliar sinais L4 e L7 em conjunto e escolher a ação com base em condições. Regras de lista branca, comportamento de caminho, contagem de conexões, taxa de requisições, pontuação de bot e reputação de IP devem todos participar do mesmo pipeline de decisão.
O TR7 Aprendizado Adaptativo de DDoS fornece esse modelo: ele monitora o tráfego do serviço, converte o comportamento aprendido em recomendações de política e aplica ações de proteção controladas com aprovação do operador.
O TR7 aplica decisões de DDoS por meio de coleta de contadores, condições combinadas, baselines aprendidos e um modelo de ação graduada.
O TR7 rastreia comportamento de conexão, requisição, erro e SSL usando contadores globais e por chave de rastreamento. Esses valores formam os sinais centrais para as condições DDoS por serviço.
`ddosCond` permite que múltiplas condições ACL sejam combinadas com lógica AND, OR e NOT. As decisões podem, portanto, ser baseadas não apenas na taxa de requisições, mas também na contagem de conexões SSL, taxa de erros, pontuação de bot, reputação de IP ou comportamento de caminho.
O comportamento do serviço, caminho e requisição é analisado a partir de dados históricos de tráfego e logs. Os valores aprendidos são apresentados ao operador como recomendações e tornam-se uma política aplicável após aprovação.
O TR7 suporta ações de deny, redirect, showContent e showCaptcha. Dependendo da sensibilidade do serviço, o operador pode escolher drop silencioso, redirect, uma página de resposta personalizada ou um captcha self-hosted.
O Aprendizado Adaptativo de DDoS combina sinais de tráfego por serviço com comportamento aprendido para fornecer proteção L4/L7 mais precisa.
O TR7 usa um modelo de flag que pode marcar o status de DDoS no nível global. Quando um serviço ou condição de rastreamento aciona um estado de ataque, essa informação pode ser usada como sinal em outras decisões de proteção. O DDoS é, portanto, tratado como parte do comportamento em todo o sistema, não apenas um evento de requisição isolado. As equipes de operações têm uma visão mais clara do modo de proteção geral durante um incidente.
Além do sinal global, um flag de DDoS por requisição também está disponível. Se uma requisição foi capturada por uma condição DDoS pode ser determinado no nível da transação. A ação é, portanto, aplicada apenas ao fluxo relevante — não há necessidade de colocar todo o tráfego no mesmo balde desnecessariamente. O comportamento de granularidade fina reduz o risco de falsos positivos.
O TR7 pode rastrear diferentes chaves como taxa de requisição HTTP, taxa de erros HTTP, taxa de conexão, contagem de conexões ativas e contagem de conexões SSL. O comportamento L7 é proeminente para serviços HTTP; sinais baseados em conexão lideram para serviços TCP. Essa distinção permite selecionar o indicador DDoS certo para cada tipo de serviço, de modo que as decisões sejam baseadas no conjunto de sinais apropriado em vez de um único contador.
Uma janela de rastreamento mais curta captura rajadas de ataque rápidas com mais rapidez; uma janela mais longa torna o comportamento lento e sustentado visível. O TR7 torna essa duração configurável por necessidade de serviço. Janelas padrão curtas são adequadas para um início rápido, mas a política de produção deve ser moldada ao perfil do serviço. Essa flexibilidade ajuda a distinguir picos repentinos de tráfego de campanha de comportamento DDoS lento.
`ddosWhitelistCond` pode isentar IPs, ASNs, caminhos ou fontes de tráfego confiáveis específicos das ações DDoS. Isso é especialmente importante para bots de mecanismos de busca, integrações corporativas, sistemas de monitoramento ou tráfego de API de parceiros. A lista branca não precisa ser uma lista estática; ela pode ser escrita com lógica de condição para controle mais fino. Os fluxos críticos para os negócios permanecem protegidos mesmo quando a proteção se torna mais agressiva.
O TR7 suporta ações de deny, redirect, showContent e showCaptcha. deny é a abordagem de drop silencioso mais agressiva; redirect move o tráfego para outro local; showContent retorna uma página personalizada com um código de status específico; showCaptcha inicia a verificação do usuário. Essa variedade significa que nem todo ataque é tratado com o mesmo nível de força. O operador seleciona a resposta correta com base no valor do serviço e no risco de falsos positivos.
O TR7 pode servir páginas de verificação em múltiplos idiomas em cenários de desafio DDoS. Essas páginas apresentam o fluxo de controle aos usuários sem depender de um serviço de terceiros externo. A abordagem de desafio self-hosted é uma vantagem em setores com sensibilidade a compartilhamento de dados e conformidade. Em vez de simplesmente mostrar um erro, os usuários recebem uma experiência de verificação controlada.
O TR7 pode derivar um perfil normal por serviço a partir de dados históricos de log e tráfego. O tráfego esperado por caminho, a taxa de erros típica ou o comportamento de carga podem ser apresentados ao operador como recomendações. O operador os revisa e aprova para convertê-los em condições DDoS. Essa abordagem facilita a construção de políticas a partir do tráfego real observado em vez de escrever limites às cegas.
As pontuações de proteção de bots podem ser usadas como sinais auxiliares nas decisões de DDoS. Fatores como IP de datacenter, saída Tor, baixa reputação de IP, análise de user agent, impressão digital de header e impressão digital TLS podem afetar a pontuação de risco. Quando a pontuação de bot excede um limite configurado, ações de deny, redirect ou captcha podem ser acionadas. A proteção DDoS, portanto, não olha apenas para o volume, mas também para a qualidade do cliente.
O TR7 pode usar 13 categorias de reputação de IP como sinais de decisão: proxy aberto, bad bot, brute force, ataque a aplicação web, SQL injection, hacking, ataque DDoS, host explorado, port scan, web spam, email spam, blog spam e IP VPN. Essas categorias não precisam ser definitivas por conta própria — elas contribuem com peso de risco adicional dentro de uma condição combinada. Fontes conhecidamente ruins são, portanto, separadas do tráfego normal de usuários com mais rapidez, tornando a política de proteção mais ciente do contexto.
O TR7 pode derivar recomendações por serviço a partir de sinais como taxa de conexão, conexões ativas, taxa de requisição, taxa de erros e comportamento de caminho. Essas recomendações são revisadas pelo operador em vez de aplicadas automaticamente. Os valores aprovados são convertidos em condições DDoS e políticas de ação. Esse modelo mantém a automação sob controle — aprendizado, aprovação humana e política aplicável trabalham juntos.
A equipe de operações também pode ativar o status DDoS manualmente durante um ataque. Isso é útil para tomar ações de proteção rápidas sem aguardar que o aprendizado automático ou os gatilhos de condição sejam acionados. O modo manual fornece uma camada de defesa temporária especialmente durante o processo de resposta a incidentes. As condições identificadas após o incidente podem ser formalizadas em política permanente.
A proteção DDoS adaptativa é operada junto com limites, composição de condições, seleção de ação, regras de lista branca, pontuação de bot e comportamento de desafio.
Quando a pontuação de proteção de bot atinge um limite configurado, ações como deny, redirect ou captcha podem ser acionadas. Esse limite deve ser aplicado com cuidado com base na sensibilidade do serviço. Avaliá-lo junto com o comportamento de requisição e condições de lista branca — em vez de depender apenas da pontuação de bot — produz resultados mais confiáveis.
O modelo de rastreamento DDoS global pode manter um contador para o estado de sistema único. Essa estrutura ajuda a entender o estado de ataque em todo o sistema junto com condições por serviço. Durante um incidente, as equipes de operações monitoram não apenas uma única requisição, mas também o sinal de comportamento agregado.
Quando o flag DDoS está ativo, a ação de proteção selecionada é aplicada. deny fornece drop silencioso; redirect realiza redirecionamento; showContent serve conteúdo personalizado; showCaptcha inicia o fluxo de desafio. A seleção de ação deve ser feita de acordo com o valor do serviço, experiência do usuário e gravidade do ataque.
Na ação showContent, o código de status, o content-type e o perfil de conteúdo são todos personalizáveis. Isso permite que a mensagem da própria organização seja exibida aos usuários em vez de um erro genérico. O recurso é valioso para janelas de manutenção, comunicação de incidentes e mensagens de conformidade.
A ação showCaptcha pode invocar o próprio módulo CAPTCHA do TR7, reduzindo a dependência de um serviço de verificação de terceiros externo. Essa abordagem fornece um fluxo de verificação mais controlado para organizações com sensibilidade à proteção de dados e regulatória.
Múltiplos sinais podem ser combinados dentro de `ddosCond` usando lógica AND, OR e NOT. Por exemplo, uma alta taxa de requisições pode ser avaliada junto com uma concentração específica de caminho e uma categoria de reputação de IP em vez de isoladamente. Isso reduz falsos positivos enquanto permite ações mais direcionadas.
As equipes de e-commerce podem usar condições DDoS por serviço para separar um aumento de tráfego durante uma campanha de um ataque real. Rastreadores confiáveis ou fontes de parceiros são colocados na lista branca enquanto o comportamento anormal de caminho e requisição é mapeado para ações de proteção.
As aplicações bancárias podem monitorar conjuntamente a taxa de requisição HTTP, a contagem de conexões SSL e a taxa de erros no tráfego de login. Quando os limites são excedidos, ações de redirect, captcha ou deny são aplicadas de acordo com a política do serviço.
Os portais públicos podem usar suas próprias páginas de desafio do TR7 sem enviar dados para um serviço de verificação externo. O conteúdo em múltiplos idiomas mantém o fluxo de verificação do usuário sob controle institucional.
Os ataques que geram um alto número de conexões abertas apesar de uma baixa taxa de requisições podem ser monitorados por meio do comportamento de contagem de conexões e duração. O TR7 torna visíveis os padrões de ataque lento que esgotam conexões — não apenas floods de alto PPS.
Percorra o aprendizado de baseline, condições combinadas e o modelo de ação graduada nos seus próprios serviços.