DDoS Protection

Como funciona o DDoS Protection

O DDoS Protection combina a coleta de “impressões digitais” (fingerprints) com análise de comportamento, utilizando Inteligência Artificial para identificar ataques (D)DoS e atuar apenas sobre as requisições que participam do ataque em curso, buscando minimizar falsos positivos e falsos negativos.

O princípio é simples. Um ataque de negação de serviço a uma aplicação, baseado em volume de solicitações, precisa enviar um número alto de requisições para atingir seu objetivo. Essas requisições possuem suas próprias características e comportamentos, sendo que dificilmente coincidem com características e comportamentos comuns vistos na aplicação. Mesmo que o ofensor tente variar essas características a cada requisição, para confundir a mitigação, isso por si, já é um comportamento que levanta suspeitas.

Como as requisições dos ofensores são agrupadas e seu comportamento, analisado, o risco de um aumento pontual de tráfego ser identificado como um ataque DDoS é reduzido. Caso seja confirmado que se trata de um ataque DDoS, apenas o grupo identificado como “intruso” é bloqueado, diminuindo bastante o risco de um usuário ser bloqueado apenas por estar enviando um volume alto de requisições no momento do ataque, ou de integrantes do ataque não serem bloqueados por enviarem uma quantidade de requisições abaixo da média.