A mitigação clássica de DDoS cai em um dos dois problemas. Primeiro: os serviços de cloud scrubbing roteiam o tráfego para outra rede. Isso adiciona latência e expõe seus dados a terceiros durante a análise do ataque. Os cálculos de custo frequentemente cobram pelo tráfego de ataque também.
Segundo: os appliances de DDoS on-premises dedicados precisam de ajuste por especialistas em DDoS para a resposta correta. Os limites são definidos manualmente; à medida que a topologia muda, os limites ficam desatualizados; a equipe de operações precisa continuar atualizando-os.
No lado do atacante, os vetores mudam constantemente. O SYN flood começa, evolui para UDP flood em minutos, depois chega a amplificação DNS. Campanhas orquestradas usando botnets IoT combinam diferentes vetores ao longo de horas. As defesas de vetor único ficam desatualizadas a cada nova campanha.
O add-on L4 DDoS do TR7 aborda todos os três juntos: a filtragem de pacotes no nível do kernel lida com todos os vetores comuns em um único motor, o baseline adaptativo remove o operador do ajuste manual e a mitigação permanece no seu próprio hardware.
O add-on L4 DDoS funciona com quatro princípios: desempenho no nível do kernel, cobertura multi-vetor, aprendizado adaptativo de baseline e granularidade de route table.
Detecção e filtragem aplicadas na camada de pacotes — antes da camada de aplicação. Floods de alto volume são descartados antes de chegar aos threads de aplicação; o consumo de recursos permanece mínimo.
SYN/UDP/ICMP/ACK flood, ataques de fragmentação, amplificação DNS/NTP/SSDP/Memcached — todos reconhecidos no mesmo motor de filtragem. Mudanças de vetor no meio da campanha não interrompem a mitigação.
O sistema observa o perfil normal do seu tráfego, gera periodicamente um baseline e pergunta ao operador 'devo tratar acima desse nível como ataque?'. O operador aprova; o baseline é ativado e se ajusta ao longo do tempo.
O escopo de mitigação é dimensionado por route table. O mesmo ADC pode hospedar diferentes perfis de proteção L4 para diferentes segmentos; pequenas implantações usam uma route table, empresas multi-cliente ou multi-segmento usam 25+.
O add-on L4 DDoS do TR7 lida com os vetores mais comuns na camada de rede de campanhas de ataque modernas em um único motor.
Um atacante usa centenas de milhares de conexões TCP semi-abertas para saturar o pool de conexões do servidor. Sistemas clássicos devem rejeitar requisições legítimas uma vez que o pool se enche. O L4 DDoS do TR7 avalia os pacotes SYN em relação ao baseline; quando diversidade anormal de origem ou taxa SYN/ACK é detectada, cookies SYN e tratamento agressivo de TIME_WAIT são ativados. Conexões legítimas não são afetadas.
A natureza sem conexão do UDP dá ao atacante fácil acesso a flood. O TR7 captura floods UDP por meio de validação de endereço de origem, distribuição de tamanho de pacotes e perfis de densidade baseados em porta. Tráfego de alto volume inesperado de fontes incomuns é avaliado em relação ao baseline; uma vez que o ataque é reconhecido, throttle específico do protocolo é aplicado.
Ping floods e amplificação ICMP echo são vetores volumétricos clássicos. O TR7 compara o tráfego ICMP com o baseline; tráfego compatível com o protocolo, mas anomalamente volumoso, é descartado via rate limit por fonte. O tráfego de teste de engenharia de rede não é afetado.
O atacante envia pacotes ACK aleatórios; o servidor é forçado a fazer lookup de estado e a CPU é consumida. O TR7 captura floods ACK por meio de perfis de densidade de consulta à tabela de estado; os pacotes de ataque são rejeitados no nível do kernel.
Pacotes fragmentados esgotam o pool de remontagem no servidor de destino. O TR7 inspeciona o tráfego de fragmentos antes da remontagem; padrões de fragmentos ausentes ou sobrepostos são descartados na detecção.
O atacante usa resolvers DNS mal configurados para transformar consultas pequenas em respostas grandes. O TR7 compara o tráfego de resposta DNS com o histórico de consultas; pares de consulta-resposta sem correspondência são reconhecidos como ataques de refletor e descartados.
Além do DNS, vetores clássicos de amplificação: NTP monlist, descoberta SSDP, UDP Memcached, SNMP getbulk. Cada um tem um perfil de tráfego específico do protocolo; respostas de alta amplificação inesperadas são filtradas antes de chegar à origem.
As campanhas de ataque modernas mudam vetores no meio da campanha. O TR7 observa continuamente a mistura de vetores ativos; a política de mitigação se adapta automaticamente. Nenhuma intervenção do operador é necessária.
O perfil de tráfego é aprendido em ciclos horários, diários e semanais. O operador revisa o baseline primeiro, aprova; depois o baseline se ajusta. À medida que o tráfego cresce, os limites se expandem; à medida que diminui, eles se contraem.
A mitigação é definida por route table. O mesmo ADC protege diferentes segmentos de clientes, diferentes grupos de aplicações ou diferentes topologias de rede com perfis de proteção L4 separados. Níveis de capacidade — 1, 2, 5, 10, 25 route tables; corporativo recebe Ilimitado.
O add-on L4 DDoS não é apenas um filtro técnico — aprendizado de baseline, fluxo do operador, escalonamento granular e registros de auditoria juntos formam um modelo operacional completo.
O perfil de tráfego é observado em escalas horárias, diárias e semanais. O sistema apresenta 'devo tratar acima desse nível como ataque?' ao operador; o operador revisa, aprova ou modifica. Após a ativação, se o perfil de tráfego evoluir, o sistema apresenta uma nova sugestão de baseline.
Novos baselines ou alterações de política passam pela aprovação do operador antes da ativação. A cadeia de aprovação é configurável; alterações de alto impacto podem exigir aprovação dupla.
As regras de mitigação são definidas no nível de route table. Se o mesmo ADC atende a múltiplos segmentos, cada um recebe seu próprio baseline independente e perfil de mitigação.
Pelo vetor de ataque detectado, a ação é selecionada automaticamente: drop, rate limit, source-blacklist, throttle específico do protocolo. Os operadores podem personalizar via política.
O tráfego de ataque volumétrico não aparece na sua fatura. Os fornecedores clássicos contabilizam o tráfego de ataque bloqueado contra a largura de banda; o TR7 o exclui desde o início.
Cada vetor de ataque detectado, ação de mitigação aplicada, geografia de origem e duração são gravados na trilha de auditoria e transmitidos para o SIEM. Cadeia completa de evidências para investigação forense e relatórios de conformidade.
O tráfego de uma infraestrutura bancária é alto durante o dia, baixo à noite. Um atacante lança um SYN flood à noite; um limite estático definido para o dia é muito grande para a noite, e um definido para a noite bloqueia o tráfego legítimo. O baseline adaptativo do TR7 conhece o perfil noturno; o ataque é detectado no momento em que cruza a linha normal noturna.
Um atacante usa mais de 10.000 resolvers DNS abertos em todo o mundo para saturar o link WAN da organização. O tráfego parece respostas DNS 'normais'. A detecção de refletor do TR7 captura o tráfego que não corresponde a uma consulta anterior; o ataque é interrompido na borda da rede da organização, não upstream.
Um atacante executa uma campanha de várias horas com um botnet IoT: começa com SYN flood, muda para UDP flood, depois adiciona amplificação DNS. A defesa clássica de vetor único precisa de reajuste em cada mudança. O TR7 observa a mistura de vetores continuamente; a política de mitigação se adapta automaticamente.
Um MSP quer proteção L4 para 25 clientes diferentes no mesmo ADC. O perfil de tráfego de cada cliente é diferente; o baseline de um cliente pode se parecer com o ataque de outro. O TR7 executa baselines e perfis de mitigação independentes por cliente no nível de route table.
Vamos ver o fluxo de aprendizado de baseline, confirmação do operador e mitigação multi-vetor ao vivo no seu ambiente — uma sessão de implantação em uma route table piloto.