O desafio central dos ataques L7 DDoS é sua conformidade com o protocolo. O atacante envia requisições HTTP válidas; cada requisição individualmente parece algo que um usuário legítimo faria. Um sistema que olha apenas para a agregação de tráfego ou captura o ataque tarde (após o dano estar feito) ou tem que bloquear tráfego legítimo.
Slowloris e R.U.D.Y. levam o problema ao extremo. O atacante abre muitas conexões semi-abertas e envia alguns bytes por segundo em cada uma. O limite de requisições por segundo nunca é acionado; enquanto isso, o pool de worker threads do servidor se enche. A proteção clássica não vê isso.
Os ataques de cache-busting e recursive GET contornam a camada de cache; cada requisição tem um parâmetro de URL diferente, o cache é ignorado e o backend recalcula. Dizer 'há muitas requisições' não é suficiente; o padrão estrutural do comportamento é o que importa.
As campanhas de bot DDoS vêm de um pool de IP distribuído, cada fonte em taxa baixa, mas com alta taxa de erros agregada ou densidade direcionada a endpoints. O ataque não aparece em um único sinal; ele deve ser capturado com combinações AND/OR/NOT de múltiplos sinais.
O add-on L7 DDoS funciona com pontuação comportamental + lógica de condição combinada + ações adaptativas + granularidade por vService. Em vez de limites clássicos de 'requisições por segundo', ele observa o padrão estrutural do ataque.
Não um único sinal — taxa de conexão, tempo de vida da sessão, taxa de requisição/resposta, densidade de caminho, reputação de IP, pontuação de bot e taxa de erros avaliados simultaneamente. Os modelos de ataque são capturados pelo padrão estrutural, não pelo volume.
Uma condição combinada pode ser definida por vService. Exemplo: 'alta taxa de requisições E conexões SSL crescentes E densidade de caminho /api/login E baixa reputação de IP'. Não um único sinal — o padrão estrutural do ataque torna-se o gatilho.
O sistema observa o comportamento do tráfego, gera um baseline e o apresenta ao operador. O operador revisa, aprova ou modifica; ativa como política. Conforme o perfil evolui, o Smart Learning apresenta uma nova sugestão.
Na detecção de ataque, a ação é selecionada pelo modelo de ataque: deny (ataque aberto), redirect (caminho alternativo), entrega controlada de conteúdo, CAPTCHA local (distinção bot/humano), rate limit. Em vez de resposta única, uma resposta graduada.
O add-on L7 DDoS lida com os vetores de ataque na camada de aplicação mais sofisticados dentro da cadeia de políticas do WAAP.
Um atacante envia milhares de requisições HTTP de aparência real por segundo. A taxa de requisições sozinha pode se assemelhar ao tráfego legítimo de campanha. O motor de pontuação comportamental do TR7 avalia a taxa de requisições junto com o tempo de vida da sessão, a reputação de IP e a densidade do caminho de destino; uma vez que o padrão estrutural do ataque é reconhecido, a ação é aplicada.
Um atacante abre muitas conexões HTTP semi-abertas, enviando apenas alguns bytes por segundo em cada uma. O limite de requisições por segundo nunca é acionado. O TR7 avalia em conjunto o tempo de vida de sessão anormal + baixa taxa de requisição/resposta + alto número de conexões ativas; as conexões de ataque são filtradas.
O atacante inicia uma requisição POST; o Content-Length é declarado como grande, mas o corpo chega a 1 byte por segundo. Os worker threads aguardam por horas. O TR7 captura remetentes de corpo lento por meio de inconsistência de Content-Length e tempo de espera de thread.
O atacante adiciona um parâmetro de URL diferente a cada requisição; o cache é contornado e o backend recalcula cada requisição. O TR7 observa a taxa de acerto/erro do cache e o comportamento de diversidade de parâmetros de URL; quando o padrão estrutural de cache-busting é capturado, a ação é aplicada.
O atacante atinge sequencialmente todas as sub-URLs de uma página grande para esgotar o backend. O motor comportamental captura o padrão recursivo — requisições sequenciais de alta densidade da mesma sessão + user agent consistente.
O atacante envia requisições de baixa taxa de milhares de IPs; o agregado mostra um padrão estrutural, mas cada IP parece comum. O TR7 captura o pool de bots por condições combinadas de reputação de IP + pontuação de bot + densidade de caminho; ação graduada (CAPTCHA → bloqueio) é aplicada.
O atacante envia uma lista de credenciais comprometidas para o formulário de login de IPs distribuídos. Alta taxa de erros 4xx + densidade de caminho de login + reputação de IP + fonte distribuída avaliados em conjunto; a onda de ataque é interrompida no início.
Bots direcionados a APIs modernas enviam requisições a taxas similares a humanos. A detecção de bot a partir de um único sinal de conexão é difícil. O TR7 captura bots estruturais por avaliação combinada de pontuação de bot + impressão digital comportamental + densidade de caminho.
Quando um ataque é estruturalmente reconhecido, um desafio CAPTCHA local pode ser acionado. Ele é executado como parte da plataforma TR7; não é necessário reCAPTCHA de terceiros ou serviço similar. A localidade dos dados é preservada.
Cada serviço de aplicação tem um perfil de tráfego diferente; baseline comportamental separado e política de mitigação por vService. Um ataque em um vService não afeta outro; o tráfego normal de um vService pode se assemelhar ao perfil de ataque de outro. Níveis de capacidade: 1, 10, 25, 100, 1000 vServices, ou Proteção Ilimitada.
O add-on L7 DDoS oferece um modelo operacional integrado: pontuação comportamental + condições combinadas ddosCond + Smart Learning + ação adaptativa + trilha de auditoria.
O Smart Learning observa o comportamento do tráfego, gera um baseline por vService e o apresenta ao operador. O operador revisa, aprova ou modifica; ativa como política. Conforme o perfil evolui, uma nova sugestão é apresentada.
Os sinais de comportamento podem ser combinados com AND/OR/NOT. Taxa de conexão, tempo de vida da sessão, taxa de requisição/resposta, densidade de caminho, distribuição de método HTTP, comportamento de tamanho de corpo, reputação de IP, pontuação de bot, taxa de erros — todos são entrada para a definição de condição.
deny, redirect, entrega de conteúdo, CAPTCHA local, rate limit. Por modelo de ataque, o operador pode definir uma ação graduada: primeiro limite CAPTCHA, segundo limite rate limit, terceiro limite bloqueio.
As condições ddosCond do L7 DDoS são executadas dentro da mesma cadeia de políticas do WAAP. Pontuações de gerenciamento de bots e contexto de ataque de API alimentam o ddosCond como entrada; na detecção de ataque, os eventos fluem para a mesma cadeia de auditoria que o relatório de ataques do WAAP.
Executado como parte da plataforma TR7. Não é necessário reCAPTCHA de terceiros ou serviço SaaS similar; os dados do cliente não fluem para outra nuvem. Opções de desafio visual, numérico e comportamental.
Cada ataque detectado, ação tomada, geografia do pool de IPs de origem, vService de destino e duração são gravados na trilha de auditoria. Se o add-on L7 Reporting estiver habilitado, é visualizado no painel; se o streaming SIEM estiver configurado, flui para o SIEM corporativo.
Um atacante abre 5.000 conexões semi-abertas; cada uma recebe 2 bytes por segundo. O limite de requisições por segundo nunca é acionado, mas o pool de workers do servidor se enche. O TR7 captura a condição combinada de tempo de vida de sessão anormal + baixa taxa de requisição/resposta; as conexões de ataque são filtradas, os usuários legítimos permanecem visíveis.
Um atacante envia credenciais comprometidas de 50.000 IPs para o formulário de login. Cada IP opera a 1-2 requisições por segundo; um único perfil de IP não revela o botnet. ddosCond: alta taxa de erros 4xx E densidade de caminho de login E baixa reputação de IP → ação graduada (CAPTCHA → bloqueio).
Um atacante orientado por agente de IA envia requisições a taxas similares a humanos para endpoints de API. A detecção de bot a partir de um único sinal de conexão é difícil. A avaliação combinada de pontuação de bot + impressão digital comportamental + densidade de caminho captura o padrão estrutural do agente de IA; rate limit ou CAPTCHA local é aplicado.
No lançamento de uma campanha de e-commerce, o tráfego aumenta 10x. Um limite estático ou exibe uma tela em branco no site ou bloqueia tráfego legítimo, causando perda de negócios. O Smart Learning do TR7 também aprendeu a expectativa do dia de campanha (ciclo semanal); o limite é dinâmico. O tráfego legítimo não é afetado; o tráfego de bot/atacante é distinguido.
Vamos ver as condições combinadas ddosCond, sugestões do Smart Learning e a biblioteca de ações adaptativas ao vivo no seu ambiente — uma sessão de implantação em um vService piloto.