Um flood volumétrico na camada de rede não tem nada a ver com um ataque HTTP low-and-slow. Uma campanha de reflection que amplifica via resolvedores DNS mal configurados não se parece com uma botnet IoT enviando milhares de requisições GET de aparência legítima por segundo. Um SYN flood satura tabelas de conexão; um Slowloris esgota threads de worker. Cada um exige telemetria, limiares e lógica de mitigação diferentes.
A maioria das defesas resolve parte do espectro. Serviços de cloud scrubbing absorvem bem ataques volumétricos L3/L4, mas forçam seu tráfego a sair do seu perímetro. Appliances DDoS on-prem dedicados lidam com ataques de camada de rede, mas exigem tuning especializado e não enxergam o que a camada de aplicação está vendo. WAAPs lidam com ataques de camada de aplicação, mas não com o flood upstream que derruba o link antes mesmo da lógica WAAP ser executada.
O TR7 cobre ambas as camadas em uma plataforma — no seu hardware, vinculado aos vServices que já entregam a aplicação. E a proteção L4 aprende a topologia que está protegendo, de modo que a defesa se aprimora ao longo do tempo sem que você precise se tornar um especialista em DDoS para mantê-la.
Cada um tem valor por si só. Juntos, redefinem como uma defesa DDoS deve ser quando roda na sua plataforma, e não na nuvem de outra pessoa.
Serviços de cloud scrubbing roteiam seu tráfego — inclusive o ataque — para uma rede terceirizada para análise e filtragem. O TR7 absorve e filtra no seu perímetro, no seu hardware. Sem alteração de roteamento upstream, sem terminação SSL por terceiros, sem questões de residência de dados.
Floods de camada de rede filtrados antes de atingir a aplicação; ataques de camada de aplicação bloqueados na camada WAAP. Sem appliance DDoS dedicado e separado para implantar, rotear ou manter — ambas as camadas rodam na mesma plataforma que entrega seu tráfego.
A proteção L4 monitora seu tráfego, aprende o que é normal para sua topologia — taxas de pacotes, distribuição de origem, mix de protocolos, padrões por hora do dia — e apresenta o baseline construído. Você confirma o que conta como normal; a defesa ativa contra desvios. Com o tempo continua aprendendo à medida que seu tráfego evolui, de modo que os limiares permanecem alinhados com a realidade sem tuning manual.
A proteção L7 tem escopo por vService — sensibilidade diferente para o endpoint de login e o endpoint de ativos estáticos do mesmo site. A proteção L4 tem escopo por route table — política diferente para a rede voltada ao cliente e o backbone interno. A granularidade é aplicada onde a aplicação realmente vive.
Tráfego volumétrico absorvido pela plataforma, floods de bots com rate-limit, pacotes de amplificação descartados — nada disso conta para o seu medidor de largura de banda. Outros fornecedores cobram pelos ataques que você bloqueou com sucesso, ou vendem seguro de custo DDoS como upsell. O modelo de largura de banda do TR7 já os exclui.
Cada capacidade abaixo faz parte da plataforma WAAP e se conecta aos seus vServices e route tables existentes.
Filtragem de pacotes em nível de kernel contra floods SYN, floods UDP, floods ICMP, floods ACK, ataques de pacotes fragmentados e esgotamento de estado de conexão. Escopo por route table; absorve até o throughput que sua plataforma suporta.
Floods HTTP (GET e POST), Slowloris, slow POST / R.U.D.Y., recursive GET, ataques cache-busting e tráfego de bot direcionado a aplicações. Análise comportamental em tempo real com contramedidas adaptativas, com escopo por vService.
A fase de observação passiva constrói um baseline de tráfego normal por topologia. O operador revisa o baseline e confirma o que conta como normal. Aprendizado contínuo a partir daí — os limiares são reajustados à medida que os padrões de tráfego evoluem. Não é necessária experiência em DDoS para manter a defesa alinhada com a realidade.
Amplificação DNS, amplificação NTP, SSDP, SNMP, Memcached reflection — vetores amplificadores comuns reconhecidos e descartados antes de atingir os serviços upstream.
Ataques modernos mudam de vetor no meio de uma campanha. A plataforma rastreia o mix de vetores ativo e ajusta a mitigação de acordo. Ataques burst de curta duração, campanhas de ransom DDoS e floods de botnets IoT multi-vetor são todos tratados no mesmo fluxo.
Descartar, rate-limit, desafio (CAPTCHA), throttle ou bloqueio temporário — escolhido por detecção. A mitigação atua dentro do caminho de inspeção natural da plataforma, sem redirecionar o tráfego por um serviço externo de scrubbing.
Detecção baseada em assinatura para padrões de ataque conhecidos; detecção baseada em comportamento para padrões desconhecidos e ataques lentos que as assinaturas não capturam. Ambas alimentam a mesma decisão de mitigação.
Rate-limit ou ação condicional sobre qualquer atributo de tráfego — valores de headers, conteúdo de cookies, parâmetros de URL, incluindo valores parseados de corpos JSON. Configurado visualmente; sem linguagem de scripting. Útil para DDoS na camada de API que visa endpoints específicos com formatos de payload específicos.
Assinaturas de ataque, feeds de reputação de IP e perfis de limiar recomendados são atualizados continuamente. Seus operadores não são a fonte das atualizações.
Sinais de detecção DDoS alimentam a política WAAP e vice-versa. Uma origem identificada abusando de uma aplicação aparece imediatamente na lógica de defesa da outra — um único sinal, uma única visão operacional.
Os escopos de capacidade da proteção L7 DDoS (1 vService, 10, 100, ilimitado) correspondem ao tamanho da implantação. Detecção básica de flood e rate limiting estão incluídos nos bundles; a proteção avançada baseada em comportamento é o add-on.
Cada decisão de mitigação é registrada no mesmo console usado para gerenciar o vService e a política WAAP. Investigue um ataque no mesmo lugar onde você vê tráfego, segurança e entrega.
O TR7 DDoS Mitigation cobre o espectro completo de ataques de rede e de camada de aplicação em múltiplas categorias.
SYN flood, UDP flood, ICMP/Ping flood, ACK flood, SYN-ACK flood, ataques de pacotes fragmentados — filtragem em nível de kernel no limite de throughput da sua plataforma.
Amplificação DNS, amplificação NTP, SSDP, SNMP e Memcached reflection — reconhecidos por padrões característicos de porta de origem e pacotes; descartados antes de atingir a aplicação.
Esgotamento da tabela de conexão TCP, esgotamento de estado NAT, floods de conexões half-open. O escopo por route table impede que um segmento-alvo esgote o orçamento de estado para o restante da plataforma.
Floods GET, floods POST, ataques recursive GET, floods de parâmetros cache-busting. Escopo por vService; combinado com análise comportamental para que usuários legítimos de alto volume (p. ex. clientes em flash sales) não sejam confundidos com atacantes.
Slowloris, slow POST / R.U.D.Y., ataques de leitura lenta — projetados para esgotar threads de worker do servidor sem enviar tráfego volumétrico. Detectados por análise de ritmo de conexão, não por taxa bruta.
Floods HTTPS, ataques de renegociação SSL/TLS e DDoS somente em texto cifrado — mitigados após a terminação na plataforma, de modo que os padrões de ataque ficam visíveis para a camada de inspeção.
Floods de botnets IoT, campanhas distribuídas de credential stuffing atuando como DDoS de aplicação, fazendas de scrapers gerando carga sustentada. A pontuação comportamental de bot identifica automação coordenada mesmo quando cada IP de origem parece inocente.
Ataques burst de curta duração destinados a extorquir resposta, notas de ransom DDoS seguidas de escalada, campanhas multi-vetor que mudam entre L3/L4/L7 em minutos — rastreadas como uma única campanha, mitigadas em todas as camadas.
Notas de ransom DDoS direcionadas seguidas de ataques burst em múltiplos vetores. A mitigação on-prem significa que nenhum terceiro sabe que você está sob ataque; o baseline adaptativo mantém os limiares alinhados com o ritmo de tráfego real do banco.
Picos de tráfego legítimo parecem ataques; ataques tentam se esconder dentro dos picos. A proteção L7 por vService com análise comportamental distingue clientes de flash sales de bots de credential stuffing sem bloquear compradores reais.
Tráfego com muita carga UDP e requisitos rígidos de latência. A proteção L4 filtra floods UDP volumétricos em nível de kernel; o baseline adaptativo aprende o ritmo de conexão normal de cada cluster de servidores de jogo.
Regras de residência de dados proíbem interceptação de tráfego por terceiros. A mitigação L4 + L7 on-prem absorve ataques dentro do perímetro de dados do cidadão; os logs de auditoria alimentam a equipe de operações de segurança.
Backbones VoIP, redes internas de API, backbones de serviços financeiros. A proteção L4 com escopo por route table impede que um segmento-alvo esgote o estado para o restante da plataforma.
DNS autoritativo vê amplificações recursivas e floods de consultas. A proteção de camada DNS do TR7 descarta tráfego com padrão amplificador antes do próprio serviço DNS.
Capacidades referenciadas por esta solução — as peças técnicas que compõem os controlos descritos acima.
Em vez de bloquear instantaneamente, monitore o comportamento; coloque a fonte que ultrapassa o limite em quarentena temporária e libere-a automaticamente.
Substitua limites estáticos por proteção DDoS ciente do serviço que aprende o comportamento do tráfego e age com base em condições.
Um IP, uma conta, uma chave de API — você decide qual dimensão limitar.
Converta contexto de país e ASN em decisões de acesso — sem dependência de serviços externos.
O feed central do TR7, listas de URL externas e suas próprias exceções convergem em um único motor de reputação de IP.
Acelere o tráfego DNS empresarial e bloqueie consultas maliciosas — em uma única camada.
Filtragem no nível do kernel contra SYN/UDP/ICMP flood, amplificação e ataques de fragmentação — com baseline adaptativo confirmado pelo operador.
Proteção comportamental por vService contra HTTP flood, Slowloris, R.U.D.Y. e ataques de bots — com condições combinadas ddosCond.
Solicite uma demo ao vivo do TR7 DDoS Mitigation. Mostraremos o fluxo de aprendizado de baseline, a cobertura de tipos de ataque L4 + L7 e como a mitigação atua sem rotear seu tráfego para qualquer destino externo.