従来のDDoS保護で最も一般的な間違いは、すべてのサービスに同じ固定閾値を適用することです。「毎秒100リクエストを超えたらブロック」のような単純なルールは、低トラフィックサービスには反応が遅く、キャンペーン中のEコマースサイトには誤ブロックを生み出すことがあります。すべてのアプリケーションには固有の通常トラフィックボリューム、パス分布、クライアントプロファイル、接続動作があります。
L7 DDoS攻撃は常に高パケット数や高リクエストレートで到着するとは限りません。Slowlorisスタイルの攻撃(低レートだが多くのオープン接続)、SSL接続flood、増加するエラーレート、ボット動作、特定エンドポイントへの集中した負荷はすべて古典的なrate-limitロジックを無効にする可能性があります。単一カウンターからの判断は不十分です。
さらに保護アクションが画一的になることが多いという問題があります。すべての疑わしいリクエストが即座にdropされると正規ユーザーが影響を受け、すべての場合にcaptchaを表示するとユーザーエクスペリエンスが低下します。サイレントdropが適切なシナリオもあれば、redirectが適切なものもあり、情報ページが適切なものもあれば、self-hosted captchaが適切なものもあります。
正しいアプローチは、サービスごとのトラフィック動作を学習し、L4とL7シグナルを組み合わせて評価し、条件に基づいてアクションを選択することです。ホワイトリストルール、パス動作、接続数、リクエストレート、ボットスコア、IP reputationはすべて同じ判断パイプラインに参加すべきです。
TR7適応型DDoS学習はこのモデルを提供します:サービストラフィックを監視し、学習した動作をポリシー推奨事項に変換し、オペレーターの承認によって制御された保護アクションを適用します。
TR7はカウンター収集、複合条件、学習ベースライン、段階的なアクションモデルを通じてDDoS判断を適用します。
TR7はグローバルおよびトラッキングキーごとのカウンターを使用して接続、リクエスト、エラー、SSL動作を追跡します。これらの数値がサービスごとのDDoS条件のコアシグナルを形成します。
`ddosCond`により複数のACL条件をAND、OR、NOTロジックで組み合わせられます。判断はリクエストレートだけでなく、SSL接続数、エラーレート、ボットスコア、IP reputation、パス動作にも基づけます。
サービス、パス、リクエスト動作がトラフィックとログデータの履歴から分析されます。学習した値は推奨事項としてオペレーターに提示され、承認されると実行可能なポリシーになります。
TR7はdeny、redirect、showContent、showCaptchaアクションをサポートします。サービスの感度に応じて、オペレーターはサイレントdrop、redirect、カスタムレスポンスページ、またはself-hosted captchaを選択できます。
適応型DDoS学習はサービスごとのトラフィックシグナルと学習した動作を組み合わせて、より精度の高いL4/L7保護を提供します。
TR7はグローバルレベルでDDoSステータスをマークできるフラグモデルを使用します。サービスまたはトラッキング条件が攻撃状態をトリガーすると、その情報を他の保護判断のシグナルとして使用できます。DDoSはそのため孤立したリクエストイベントではなく、システム全体の動作の一部として扱われます。インシデント中に運用チームが全体的な保護モードをより明確に把握できます。
グローバルシグナルと並んで、リクエストごとのDDoSフラグも利用可能です。リクエストがDDoS条件に捕捉されたかどうかをトランザクションレベルで判断できます。アクションは関連フローにのみ適用され、不必要にすべてのトラフィックを同じバケツに入れる必要がありません。きめ細かな動作により誤検知のリスクが低減します。
TR7はHTTPリクエストレート、HTTPエラーレート、接続レート、アクティブ接続数、SSL接続数などの異なるキーを追跡できます。L7動作はHTTPサービスで顕著であり、接続ベースのシグナルがTCPサービスで先導します。この区別により各サービスタイプに適したDDoS指標を選択でき、単一カウンターではなく適切なシグナルセットに基づいて判断できます。
短いトラッキングウィンドウは高速な攻撃バーストをより迅速に検出し、長いウィンドウは緩やかで持続する動作を可視化します。TR7はこの期間をサービスのニーズごとに設定可能にします。短いデフォルトウィンドウはクイックスタートに適していますが、プロダクションポリシーはサービスプロファイルに合わせて形成すべきです。この柔軟性は急激なキャンペーントラフィックスパイクと緩やかなDDoS動作を区別するのに役立ちます。
`ddosWhitelistCond`は特定のIP、ASN、パス、または信頼できるトラフィックソースをDDoSアクションから免除できます。これは検索エンジンボット、エンタープライズ統合、監視システム、パートナーAPIトラフィックに特に重要です。ホワイトリストは静的リストである必要はなく、より細かい制御のために条件ロジックで記述できます。保護がより積極的になっても、ビジネスクリティカルなフローは保護されたままになります。
TR7はdeny、redirect、showContent、showCaptchaアクションをサポートします。denyは最も積極的なサイレントdropアプローチです。redirectはトラフィックを別の場所に移動します。showContentは特定のステータスコードでカスタムページを返します。showCaptchaはユーザー認証を開始します。この多様性により、すべての攻撃が同じレベルの力で対応されるわけではありません。オペレーターはサービス価値と誤検知リスクに基づいて適切なレスポンスを選択します。
TR7はDDoSチャレンジシナリオで多言語認証ページを提供できます。これらのページはユーザーに外部サードパーティサービスに依存せずに制御フローを提示します。self-hostedチャレンジアプローチはデータ共有とコンプライアンスに敏感なセクターで有利です。単純にエラーを表示するのではなく、ユーザーが制御された認証エクスペリエンスを受け取ります。
TR7は履歴ログとトラフィックデータからサービスごとの通常プロファイルを導き出せます。パスごとの予想トラフィック、典型的なエラーレート、または負荷動作を推奨事項としてオペレーターに提示できます。オペレーターがこれらをレビューして承認するとDDoS条件に変換されます。このアプローチにより、閾値を盲目的に設定するのではなく、観察された実際のトラフィックからポリシーを構築することが容易になります。
ボット保護スコアはDDoS判断の補助シグナルとして使用できます。データセンターIP、Tor出口、貧弱なIP reputation、ユーザーエージェント分析、ヘッダーフィンガープリント、TLSフィンガープリントなどの要因がリスクスコアに影響します。ボットスコアが設定された閾値を超えると、deny、redirect、またはcaptchaアクションをトリガーできます。DDoS保護はそのためボリュームだけでなくクライアントの品質も見ます。
TR7は13のIP reputationカテゴリを判断シグナルとして使用できます:オープンプロキシ、悪いボット、ブルートフォース、Webアプリケーション攻撃、SQL injection、ハッキング、DDoS攻撃、侵害されたホスト、ポートスキャン、Webスパム、メールスパム、ブログスパム、VPN IP。これらのカテゴリはそれ自体で決定的である必要はなく、複合条件内で追加のリスクウェイトを提供します。既知の悪いソースが通常のユーザートラフィックからより迅速に分離され、保護ポリシーがよりコンテキスト対応になります。
TR7は接続レート、アクティブ接続、リクエストレート、エラーレート、パス動作などのシグナルからサービスごとの推奨事項を導き出せます。これらの推奨事項は盲目的に適用されるのではなくオペレーターによってレビューされます。承認された値はDDoS条件とアクションポリシーに変換されます。このモデルにより自動化が制御下に置かれ、学習、人間の承認、実行可能なポリシーが連携して機能します。
運用チームは攻撃中にDDoSステータスを手動で有効化することもできます。これは自動学習や条件トリガーが発動するのを待たずに迅速な保護アクションを取るのに有用です。手動モードは特にインシデントレスポンスプロセス中の一時的な防御レイヤーを提供します。インシデント後に特定された条件は永続的なポリシーとして形式化できます。
適応型DDoS保護は閾値、条件の組み合わせ、アクション選択、ホワイトリストルール、ボットスコア、チャレンジ動作とともに運用されます。
ボット保護スコアが設定された閾値に達すると、deny、redirect、captchaなどのアクションをトリガーできます。この閾値はサービスの感度に基づいて慎重に適用する必要があります。ボットスコアのみに依存するのではなく、リクエスト動作とホワイトリスト条件と組み合わせて評価することで、より信頼性の高い結果が得られます。
グローバルDDoSトラッキングモデルは単一システム状態のカウンターを維持できます。この構造によりサービスごとの条件と並んでシステム全体の攻撃状態を理解するのに役立ちます。インシデント中、運用チームは単一のリクエストだけでなく総合的な動作シグナルも監視します。
DDoSフラグがアクティブな場合、選択された保護アクションが適用されます。denyはサイレントdropを提供し、redirectはリダイレクトを実行し、showContentはカスタムコンテンツを提供し、showCaptchaはチャレンジフローを開始します。アクション選択はサービス価値、ユーザーエクスペリエンス、攻撃の重大度に従って行う必要があります。
showContentアクションでは、ステータスコード、content-type、コンテンツプロファイルがすべてカスタマイズ可能です。これにより汎用的なエラーの代わりに組織独自のメッセージをユーザーに表示できます。この機能はメンテナンスウィンドウ、インシデントコミュニケーション、コンプライアンスメッセージングに価値があります。
showCaptchaアクションはTR7独自のCAPTCHAモジュールを呼び出せ、外部サードパーティ認証サービスへの依存を低減します。このアプローチはデータ保護と規制上の感度を持つ組織(銀行、公共部門、医療)に対してより制御された認証フローを提供します。
`ddosCond`内で複数のシグナルをAND、OR、NOTロジックで組み合わせられます。例えば高リクエストレートを特定のパス集中とIP reputationカテゴリと組み合わせて、独立して評価するのではなく一緒に評価できます。これにより誤検知を低減しながらよりターゲットを絞ったアクションを可能にします。
Eコマースチームはサービスごとのdocos条件を使用して、キャンペーン中のトラフィック急増と実際の攻撃を区別できます。信頼できるクローラーやパートナーソースはホワイトリストに登録され、異常なパスとリクエスト動作が保護アクションにマッピングされます。
銀行アプリケーションはログイントラフィックのHTTPリクエストレート、SSL接続数、エラーレートを共同監視できます。閾値を超えると、サービスポリシーに従ってredirect、captcha、またはdenyアクションが適用されます。
公共ポータルは外部認証サービスにデータを送信せずにTR7独自のチャレンジページを使用できます。多言語コンテンツがユーザー認証フローを組織の管理下に置きます。
低リクエストレートにもかかわらず多くのオープン接続を生成する攻撃は、接続数と継続時間動作を通じて監視できます。TR7は高PPSのfloodだけでなく、接続を枯渇させる緩やかな攻撃パターンも可視化します。
お客様自身のサービスでベースライン学習、複合条件、段階的なアクションモデルをご確認ください。