古典的なDDoS緩和は2つの問題のどちらかに陥ります。第1:クラウドスクラビングサービスがトラフィックを別のネットワークにルートします。これはレイテンシを追加し、攻撃分析中にサードパーティにデータを開放します。コスト計算は攻撃トラフィックにも課金することがよくあります。
第2:専用のオンプレミスDDoSアプライアンスは適切なレスポンスのためにDDoS専門家のチューニングが必要です。閾値は手動で設定され、トポロジーが変化すると閾値が古くなり、運用チームが継続的に更新しなければなりません。
攻撃者側では、ベクターが継続的にシフトします。SYN floodが開始し、数分でUDP floodに進化し、次にDNS増幅が到着します。IoTボットネットを使用した組織的なキャンペーンが何時間にもわたって異なるベクターを組み合わせます。単一ベクターの防御は新しいキャンペーンごとに時代遅れになります。
TR7 L4 DDoSアドオンは3つすべてに対処します:カーネルレベルのパケットフィルタリングがすべての一般的なベクターを単一エンジンで処理し、適応型ベースラインによりオペレーターが手動チューニングから解放され、緩和はお客様自身のハードウェアに留まります。
L4 DDoSアドオンは4つの原則で動作します:カーネルレベルのパフォーマンス、マルチベクターカバレッジ、適応型ベースライン学習、ルートテーブル粒度。
検出とフィルタリングはパケット層で適用されます — アプリケーション層の前に。大量floodがアプリケーションスレッドに到達する前にdropされ、リソース消費は最小限に保たれます。
SYN/UDP/ICMP/ACK flood、フラグメント攻撃、DNS/NTP/SSDP/Memcached増幅 — すべて同じフィルタリングエンジンで認識されます。キャンペーン中のベクターシフトが緩和を中断しません。
システムはお客様のトラフィックの通常プロファイルを観察し、定期的にベースラインを生成して「このレベルを超えるものを攻撃として扱うべきですか?」とオペレーターに尋ねます。オペレーターが承認するとベースラインが有効化されて時間をかけて自己調整します。
緩和スコープはルートテーブルごとにスケールします。同じADCが異なるセグメントに異なるL4保護プロファイルをホストできます。小規模デプロイメントは1つのルートテーブル、マルチカスタマーまたはマルチセグメントのエンタープライズは25+を使用します。
TR7 L4 DDoSアドオンは現代の攻撃キャンペーンの最も一般的なネットワーク層ベクターを単一エンジンで処理します。
攻撃者は何十万もの半開きTCP接続を使用してサーバーの接続プールを飽和させます。古典的なシステムはプールが満杯になると正規のリクエストを拒否しなければなりません。TR7 L4 DDoSはSYNパケットをベースラインと照らし合わせて評価し、異常なソースの多様性やSYN/ACK比率が検出されるとSYN cookieと積極的なTIME_WAIT処理が機能します。正規の接続は影響を受けません。
UDPのコネクションレスの性質により攻撃者はfloodに簡単にアクセスできます。TR7はソースアドレス検証、パケットサイズ分布、ポートベースの密度プロファイルでUDP floodを検出します。異常なソースからの予期しない大量トラフィックがベースラインと照らし合わせて評価され、攻撃が認識されるとプロトコル固有のスロットルが適用されます。
Ping floodとICMP echo増幅は古典的なボリューメトリックベクターです。TR7はICMPトラフィックをベースラインと比較し、プロトコル準拠だが異常に大量なトラフィックをソースごとのrate-limitでdropします。ネットワークエンジニアリングのテストトラフィックは影響を受けません。
攻撃者はランダムなACKパケットを送信し、サーバーは状態ルックアップを強制されてCPUを消費します。TR7は状態テーブルのクエリ密度プロファイルでACK floodを検出し、攻撃パケットをカーネルレベルで拒否します。
フラグメント化されたパケットがターゲットサーバーの再アセンブリプールを枯渇させます。TR7は再アセンブリ前にフラグメントトラフィックを検査し、欠落または重複フラグメントパターンが検出されるとdropします。
攻撃者は誤設定されたDNSリゾルバーを使用して小さなクエリを大きなレスポンスに変換します。TR7はDNSレスポンストラフィックをクエリ履歴と比較し、マッチしないクエリ/レスポンスペアをリフレクター攻撃として認識してdropします。
DNS以外の古典的な増幅ベクター:NTP monlist、SSDP discovery、Memcached UDP、SNMP getbulk。各プロトコルには固有のトラフィックプロファイルがあり、予期しない高増幅レスポンスがソースに到達する前にフィルタリングされます。
現代の攻撃キャンペーンはキャンペーン中にベクターをシフトします。TR7はアクティブなベクターミックスを継続的に観察し、緩和ポリシーが自動的に適応します。オペレーターの介入は不要です。
トラフィックプロファイルは時間、日次、週次サイクルにわたって学習されます。オペレーターはまずベースラインをレビューして承認し、その後ベースラインが自己調整します。トラフィックが増えると閾値が拡大し、縮小すると引き締まります。
緩和はルートテーブルごとに定義されます。同じADCが異なる顧客セグメント、異なるアプリケーショングループ、または異なるネットワークトポロジーを別々のL4保護プロファイルで保護します。容量ティア — 1、2、5、10、25ルートテーブル、エンタープライズは無制限。
L4 DDoSアドオンは単なる技術的フィルターではなく — ベースライン学習、オペレーターフロー、細かいスケーリング、監査レコードが完全な運用モデルを形成します。
トラフィックプロファイルは時間、日次、週次スケールで観察されます。システムは「このレベルを超えるものを攻撃として扱うべきですか?」をオペレーターに提示し、オペレーターはレビュー、承認、または変更します。有効化後、トラフィックプロファイルが進化した場合はシステムが新しいベースライン提案を提示します。
新しいベースラインまたはポリシー変更は有効化前にオペレーター承認を通過します。承認チェーンは設定可能で、高影響の変更はデュアル承認を必要とすることができます。
緩和ルールはルートテーブルレベルで定義されます。同じADCが複数のセグメントを提供する場合、各セグメントは独自の独立したベースラインと緩和プロファイルを持ちます。
検出された攻撃ベクターによって、アクションが自動的に選択されます:drop、rate-limit、ソースブラックリスト、プロトコル固有スロットル。オペレーターはポリシーでカスタマイズできます。
ボリューメトリックな攻撃トラフィックはご請求に反映されません。古典的なベンダーはブロックされた攻撃トラフィックを帯域幅に対してカウントしますが、TR7は最初から除外しています。
検出された各攻撃ベクター、適用された緩和アクション、ソースの地理、継続時間が監査証跡に書き込まれてSIEMにストリームされます。フォレンジック調査とコンプライアンスレポートのための完全な証拠チェーン。
銀行インフラのトラフィックは昼間は高く、夜間は低くなります。攻撃者が夜間にSYN floodを開始すると、昼間用に設定された静的閾値では夜間に対して大きすぎ、夜間用の閾値では正規トラフィックをブロックします。TR7の適応型ベースラインは夜間プロファイルを知っており、通常の夜間ラインを越えた瞬間に攻撃が検出されます。
攻撃者が世界中の10,000+のオープンDNSリゾルバーを使用して組織のWANリンクを飽和させます。トラフィックは「通常の」DNSレスポンスのように見えます。TR7のリフレクター検出が事前クエリと一致しないトラフィックを検出し、組織のネットワークエッジで攻撃を停止させます。
攻撃者がIoTボットネットで数時間のキャンペーンを実行します:SYN floodで開始し、UDP floodに切り替え、その後DNS増幅を追加します。古典的な単一ベクター防御は各シフトで再チューニングが必要です。TR7はベクターミックスを継続的に観察し、緩和ポリシーが自動的に適応します。
MSPが同じADC上で25の異なる顧客にL4保護を提供したいと考えています。各顧客のトラフィックプロファイルは異なり、ある顧客のベースラインが別の顧客の攻撃プロファイルに似ることがあります。TR7はルートテーブルレベルで顧客ごとに独立したベースラインと緩和プロファイルを実行します。
お客様の環境でベースライン学習フロー、オペレーター確認、マルチベクター緩和をライブで確認しましょう — パイロットルートテーブルでのデプロイメントセッション。