L7 DDoS攻撃のコアな課題はプロトコル準拠性です。攻撃者は有効なHTTPリクエストを送信し、各リクエスト単独では正規ユーザーが行うことと変わらないように見えます。トラフィックの集計だけを見るシステムは、攻撃を遅れて検出するか(ダメージが発生した後)、正規トラフィックをブロックしなければなりません。
SlowlorisとR.U.D.Y.は問題を極限まで押し上げます。攻撃者は多くの半開き接続を開き、各接続で毎秒数バイトを送信します。毎秒リクエスト数の閾値は決してトリガーされませんが、一方でサーバーのワーカースレッドプールが満杯になります。古典的な保護はこれを認識しません。
Cache-bustingとrecursive GET攻撃はキャッシュ層をバイパスします。各リクエストに異なるURLパラメータがあり、キャッシュをスキップしてバックエンドが再計算します。「リクエストが多すぎる」と言うだけでは不十分で、動作の構造的なパターンが重要です。
ボットDDoSキャンペーンは分散したIPプールから来て、各ソースは低レートですが、総合的に高いエラーレートや標的エンドポイント密度を示します。攻撃は単一シグナルには現れず、複数シグナルのAND/OR/NOT組み合わせで検出する必要があります。
L7 DDoSアドオンは行動スコアリング+複合条件ロジック+適応型アクション+vServiceごとの粒度で動作します。古典的な「毎秒リクエスト数」閾値ではなく、構造的な攻撃パターンを見ます。
1つのシグナルではなく — 接続レート、セッションライフタイム、リクエスト/レスポンス比率、パス密度、IP reputation、ボットスコア、エラーレートが同時に評価されます。攻撃モデルはボリュームではなく構造的パターンで検出されます。
vServiceごとに複合条件を定義できます。例:「高リクエストレート AND SSLコネクション増加 AND /api/loginパス密度 AND 低IP reputation」。単一シグナルではなく — 構造的攻撃パターンがトリガーになります。
システムはトラフィック動作を観察し、ベースラインを生成してオペレーターに提示します。オペレーターはレビュー、承認、または変更してポリシーとして有効化します。プロファイルが進化するにつれて、Smart Learningが新しい提案を提示します。
攻撃検出時、アクションは攻撃モデルによって選択されます:deny(オープン攻撃)、redirect(代替パス)、制御されたコンテンツ配信、ローカルCAPTCHA(ボット/人間の区別)、rate-limit。画一的ではなく段階的なレスポンスです。
L7 DDoSアドオンはWAAPポリシーチェーン内で最も高度なアプリケーション層攻撃ベクターを処理します。
攻撃者は毎秒何千もの本物らしいHTTPリクエストを送信します。リクエストレートだけでは正規のキャンペーントラフィックに似ることがあります。TR7の行動スコアリングエンジンはリクエストレートをセッションライフタイム、IP reputation、ターゲットパス密度とともに評価し、構造的攻撃パターンが認識されるとアクションが適用されます。
攻撃者は多くの半開きHTTP接続を開き、各接続で毎秒数バイトのみを送信します。毎秒リクエスト数の閾値は決してトリガーされません。TR7は異常なセッションライフタイム+低リクエスト/レスポンス比率+高アクティブ接続数を組み合わせて評価し、攻撃接続をフィルタリングします。
攻撃者はPOSTリクエストを開始し、Content-Lengthを大きく宣言しますがボディは毎秒1バイトで届きます。ワーカースレッドは何時間も待機します。TR7はContent-Length不整合とスレッド待機時間でslow-bodyの送信者を検出します。
攻撃者は各リクエストに異なるURLパラメータを追加し、キャッシュをバイパスしてバックエンドがすべてのリクエストを再計算します。TR7はキャッシュヒット/ミス比率とURLパラメータの多様性動作を観察し、cache-bustingの構造的パターンが検出されるとアクションが適用されます。
攻撃者は大きなページのすべてのサブURLに順次アクセスしてバックエンドを枯渇させます。行動エンジンは再帰的パターンを検出します — 同じセッションからの順次高密度リクエスト+一貫したuser-agent。
攻撃者は何千ものIPから低レートのリクエストを送信し、総合的には構造的パターンを示しますが、各IPは普通に見えます。TR7はIP reputation+ボットスコア+パス密度の複合条件でボットプールを検出し、段階的なアクション(CAPTCHA→ブロック)を適用します。
攻撃者は侵害されたクレデンシャルリストを分散IPからログインフォームに送信します。高4xxエラーレート+ログインパス密度+IP reputation+分散ソースが組み合わせて評価され、攻撃波が開始直後に停止されます。
モダンAPIを標的にするボットは人間のようなレートでリクエストを送信します。単一接続シグナルからのボット検出は困難です。TR7はボットスコア+行動フィンガープリント+パス密度の複合評価で構造的なボットを検出します。
攻撃が構造的に認識された場合、ローカルCAPTCHAチャレンジをトリガーできます。TR7プラットフォームの一部として動作し、サードパーティのreCAPTCHAや類似サービスは不要です。データローカリティが保護されます。
各アプリケーションサービスは異なるトラフィックプロファイルを持ちます。vServiceごとに別々の行動ベースラインと緩和ポリシーがあります。あるvServiceへの攻撃が別のvServiceに影響しません。あるvServiceの通常トラフィックが別のvServiceの攻撃プロファイルに似ることがあります。容量ティア:1、10、25、100、1000 vService、または無制限保護。
L7 DDoSアドオンは統合された運用モデルを提供します:行動スコアリング+ddosCond複合条件+Smart Learning+適応型アクション+監査証跡。
Smart Learningはトラフィック動作を観察し、vServiceごとのベースラインを生成してオペレーターに提示します。オペレーターはレビュー、承認、または変更してポリシーとして有効化します。プロファイルが進化するにつれて新しい提案が提示されます。
動作シグナルはAND/OR/NOTで組み合わせられます。接続レート、セッションライフタイム、リクエスト/レスポンス比率、パス密度、HTTPメソッド分布、ボディサイズ動作、IP reputation、ボットスコア、エラーレート — すべてが条件定義の入力になります。
deny、redirect、コンテンツ配信、ローカルCAPTCHA、rate-limit。攻撃モデルによって、オペレーターは段階的なアクションを定義できます:第1閾値でCAPTCHA、第2閾値でrate-limit、第3閾値でブロック。
L7 DDoSのddosCond条件は同じWAAPポリシーチェーン内で動作します。ボット管理スコアとAPI攻撃コンテキストがddosCond の入力としてフィードされ、攻撃検出時にイベントがWAAP攻撃レポートと同じ監査チェーンに流れます。
TR7プラットフォームの一部として動作します。サードパーティのreCAPTCHAや類似SaaSサービスは不要で、クライアントデータが別のクラウドに流れることはありません。視覚的、数値的、行動的チャレンジオプション。
検出された各攻撃、実行されたアクション、ソースIPプールの地理、ターゲットvService、継続時間が監査証跡に書き込まれます。L7 Reportingアドオンが有効な場合はダッシュボードで可視化され、SIEMストリーミングが設定されている場合はエンタープライズSIEMに流れます。
攻撃者が5,000の半開き接続を開き、各接続が毎秒2バイトを受け取ります。毎秒リクエスト数の閾値は決してトリガーされませんが、サーバーのワーカープールが満杯になります。TR7は異常なセッションライフタイム+低リクエスト/レスポンス比率の複合条件を検出し、攻撃接続をフィルタリングしながら正規ユーザーを可視状態に保ちます。
攻撃者が50,000のIPからログインフォームに侵害されたクレデンシャルを送信します。各IPは毎秒1〜2リクエストで動作し、単一IPプロファイルはボットネットを明かしません。ddosCond:高4xxレート AND ログインパス密度 AND 低IP reputation → 段階的アクション(CAPTCHA→ブロック)。
AIエージェント駆動の攻撃者がAPIエンドポイントに人間のようなレートのリクエストを送信します。単一接続シグナルからのボット検出は困難です。ボットスコア+行動フィンガープリント+パス密度の複合評価がAIエージェントの構造的パターンを検出し、rate-limitまたはローカルCAPTCHAが適用されます。
Eコマースキャンペーン開始時にトラフィックが10倍スパイクします。静的閾値はサイトをホワイトページにするか正規トラフィックをブロックしてビジネスに損害を与えます。TR7 Smart Learningはキャンペーン日の期待値も学習しています(週次サイクル)。閾値は動的です。正規トラフィックは影響を受けず、ボット/攻撃者トラフィックは区別されます。
お客様の環境でddosCond複合条件、Smart Learning提案、適応型アクションライブラリをライブで確認しましょう — パイロットvServiceでのデプロイメントセッション。