ネットワーク層のボリューメトリックフラッドはlow-and-slow HTTP攻撃とはまったく異なります。誤設定のDNSリゾルバーを通じて増幅されるリフレクションキャンペーンは、毎秒数千の本物らしいGETリクエストを送信するIoTボットネットとはまったく異なります。SYNフラッドは接続テーブルを飽和させ、Slowlorisはワーカースレッドを枯渇させます。それぞれが異なるテレメトリー、異なるしきい値、異なるミティゲーションロジックを必要とします。
多くの防御はスペクトルの一部しか解決しません。クラウドスクラビングサービスはボリューメトリックL3/L4攻撃をうまく吸収しますが、トラフィックを自社ネットワーク外に送出します。専用オンプレミスDDoSアプライアンスはネットワーク層攻撃を処理しますが、専門的なチューニングが必要で、アプリケーション層が認識しているものを見えません。WAAPはアプリケーション層攻撃を処理しますが、WAAPロジックが実行される前に回線をダウンさせるアップストリームフラッドは見えません。
TR7は一つのプラットフォーム上で両層をカバーします — お客様のハードウェア上で、すでにアプリケーションを配信しているvServiceに接続されて。そしてL4保護は保護するトポロジーを学習するため、DDoS専門家になることなく防御が時間をかけて精度を上げます。
それぞれ単独でも価値があります。組み合わせることで、他社クラウドではなくお客様のプラットフォームで動作するDDoS防御の姿を再定義します。
クラウドスクラビングサービスはトラフィック — 攻撃を含む — を分析・フィルタリングのためにサードパーティネットワークにルーティングします。TR7はお客様のネットワーク内、お客様のハードウェア上で吸収・フィルタリングします。アップストリームルーティング変更なし、サードパーティSSL終端なし、データ所在地の懸念なし。
ネットワーク層フラッドはアプリケーションに到達する前にフィルタリングされ、アプリケーション層攻撃はWAAP層で阻止されます。デプロイ、回避ルーティング、またはメンテナンスが必要な別途専用DDoSアプライアンスはなく — 両層がお客様のトラフィックを配信するのと同じプラットフォームで動作します。
L4保護はトラフィックを監視し、お客様のトポロジーで何が通常かを学習します — パケットレート、送信元分布、プロトコル混合、時間帯パターン — そして構築したベースラインを提示します。何を通常とするかはお客様が確認し、防御は逸脱に対して有効化されます。時間の経過とともにトラフィックが進化するにつれて学習を継続するため、手動チューニングなしでしきい値が現実に合致し続けます。
L7保護はvServiceごとにスコープされます — 同じサイトのログインエンドポイントと静的アセットエンドポイントで異なる感度。L4保護はルートテーブルごとにスコープされます — 顧客向けネットワークと内部バックボーンで異なるポリシー。細粒度はアプリケーションが実際に存在する場所に適用されます。
プラットフォームが吸収したボリューメトリックトラフィック、レート制限されたボットフラッド、ドロップされた増幅パケット — これらはいずれも帯域幅メーターに含まれません。他社ベンダーはお客様が阻止した攻撃に対して請求するか、DDoSコスト保険をアップセルとして販売します。TR7の帯域幅モデルはこれらをすでに除外しています。
以下の各機能はWAAPプラットフォームの一部として提供され、既存のvServiceおよびルートテーブルに接続されます。
SYNフラッド、UDPフラッド、ICMPフラッド、ACKフラッド、フラグメントパケット攻撃、接続状態枯渇に対するカーネルレベルのパケットフィルタリング。ルートテーブルごとにスコープされ、プラットフォームが処理できるスループット上限まで吸収します。
HTTPフラッド(GETおよびPOST)、Slowloris、slow POST / R.U.D.Y.、再帰的GET、キャッシュバスティング攻撃、アプリケーション標的型ボットトラフィック。アダプティブ対策を備えたリアルタイム行動分析、vServiceごとにスコープ。
パッシブ観測フェーズがトポロジーごとに通常トラフィックのベースラインを構築します。オペレーターがベースラインを確認し、何を通常とするかを承認します。以降は継続的学習 — トラフィックパターンの変化に応じてしきい値が再チューニングされます。防御を現実に合致させるためのDDoS専門知識は不要です。
DNS増幅、NTP増幅、SSDP、SNMP、Memcachedリフレクション — 一般的な増幅ベクターが認識され、アップストリームサービスに到達する前にドロップされます。
現代の攻撃はキャンペーン途中でベクターを変更します。プラットフォームはアクティブなベクター混合を追跡し、それに応じてミティゲーションを調整します。短期間バースト攻撃、ランサムDDoSキャンペーン、マルチベクターIoTボットネットフラッドがすべて同じフローで処理されます。
ドロップ、レート制限、チャレンジ(CAPTCHA)、スロットル、または一時ブロック — 検出ごとに選択。ミティゲーションは外部スクラビングサービスにトラフィックを再ルーティングせずに、プラットフォームの自然な検査パス内で実行されます。
既知の攻撃パターンに対するシグネチャベースの検出と、未知のパターンおよびシグネチャが見逃す遅い攻撃に対する行動ベースの検出。両方が同じミティゲーション判断を支援します。
任意のトラフィック属性に対してレート制限または条件付きアクション — ヘッダー値、クッキーコンテンツ、URLパラメータ、パースされたJSONボディ値さえも。視覚的に設定され、スクリプト言語不要。特定のペイロード形状で特定のエンドポイントを標的にするAPI層DDoSに有用です。
攻撃シグネチャ、IP reputationフィード、推奨しきい値プロファイルが継続的に更新されます。オペレーターは更新の発信源ではありません。
DDoS検出シグナルはWAAPポリシーを支援し、その逆も同様です。あるアプリケーションを悪用していることが確認されたソースは、もう一方の防御ロジックに即座に反映されます — 一つのシグナル、一つのオペレーション視点。
L7 DDoS保護の容量スコープ(1 vService、10、100、無制限)はデプロイメント規模に対応します。基本的なフラッド検出とレート制限はバンドルに含まれています;高度な行動ベース保護はアドオンです。
すべてのミティゲーション判断が、vServiceとWAAPポリシーを管理するのと同じコンソールにログ記録されます。トラフィック、セキュリティ、配信を確認するのと同じ場所から攻撃を調査できます。
TR7 DDoS対策は、複数のカテゴリにわたるネットワーク層とアプリケーション層攻撃の全スペクトルをカバーします。
SYNフラッド、UDPフラッド、ICMP/Pingフラッド、ACKフラッド、SYN-ACKフラッド、フラグメントパケット攻撃 — プラットフォームのスループット上限でのカーネルレベルフィルタリング。
DNS増幅、NTP増幅、SSDP、SNMP、Memcachedリフレクション — 特徴的な送信元ポートとパケットパターンで認識され、アプリケーションに到達する前にドロップされます。
TCP接続テーブル枯渇、NAT状態枯渇、ハーフオープン接続フラッド。ルートテーブルごとのスコーピングにより、標的にされた単一セグメントがプラットフォームの残りの状態バジェットを枯渇させることを防ぎます。
GETフラッド、POSTフラッド、再帰的GET攻撃、キャッシュバスティングパラメータフラッド。vServiceごとのスコーピング;行動分析と組み合わせることで、大量の正当なユーザー(フラッシュセール顧客など)が攻撃者と誤認されません。
Slowloris、slow POST / R.U.D.Y.、スロー読み取り攻撃 — ボリューメトリックトラフィックを送信せずにサーバーワーカースレッドを枯渇させるよう設計されています。生のレートではなく接続リズム分析によって検出されます。
HTTPSフラッド、SSL/TLSリネゴシエーション攻撃、暗号文のみのDDoS — プラットフォームでの終端後にミティゲーションが適用されるため、攻撃パターンが検査層に表示されます。
IoTボットネットフラッド、アプリケーションDDoSとして機能する分散型credential stuffingキャンペーン、持続的な負荷を生成するスクレイパーファーム。行動ボットスコアリングは、各送信元IPが無害に見えても協調した自動化を識別します。
応答を引き出すための短期間バースト攻撃、エスカレーションを伴うランサムDDoS通告、数分以内にL3/L4/L7間でベクターを変更するマルチベクターキャンペーン — 一つのキャンペーンとして追跡され、層をまたいでミティゲーションが適用されます。
複数ベクターにわたるバースト攻撃に続くターゲット型ランサムDDoS通告。オンプレミスミティゲーションにより、攻撃を受けていることをサードパーティに知られません;アダプティブベースラインは銀行の実際のトラフィックリズムに合致したしきい値を維持します。
正当なトラフィックスパイクは攻撃のように見え、攻撃はスパイクの中に隠れようとします。行動分析を備えたvServiceごとのL7保護が、実際の買い物客をブロックすることなく、フラッシュセール顧客をcredential stuffingボットから区別します。
厳しいレイテンシー要件を持つUDPヘビーなトラフィック。L4保護はボリューメトリックUDPフラッドをカーネルレベルでフィルタリングし、アダプティブベースラインは各ゲームサーバークラスターの通常接続リズムを学習します。
データ所在地ルールがサードパーティによるトラフィック傍受を禁じています。オンプレミスL4 + L7ミティゲーションが市民データの境界内で攻撃を吸収し、監査ログはセキュリティオペレーションチームに流れます。
VoIPバックボーン、内部APIネットワーク、金融サービスバックボーン。ルートテーブルごとにスコープされたL4保護が、標的にされたセグメントがプラットフォームの残りの状態バジェットを枯渇させることを防ぎます。
権威DNSは再帰的増幅とクエリフラッドを受けます。TR7のDNS層保護が、DNSサービス自体のアップストリームで増幅パターントラフィックをドロップします。
このソリューションが参照する機能 — 上記で説明した制御を構成する技術的要素。
即時ブロックの代わりに行動を監視し、しきい値を超えたソースを期限付きで隔離して自動的に解放します。
静的閾値をサービス対応DDoS保護に置き換え — トラフィック動作を学習して条件に基づいて行動。
1つのIP、1つのアカウント、1つのAPIキー — どのディメンションで制限するかを決めるのはあなたです。
外部サービスへの依存なしに、国・ASNコンテキストをアクセス判断へ変換。
TR7のセントラルフィード、外部URLリスト、独自の例外が単一のIPレピュテーションエンジンに統合。
エンタープライズDNSトラフィックを高速化し、悪意のあるクエリをブロック — 単一レイヤーで。
SYN/UDP/ICMP flood、増幅、フラグメント攻撃に対するカーネルレベルフィルタリング — オペレーター確認済みの適応型ベースライン付き。
HTTP flood、Slowloris、R.U.D.Y.、ボット攻撃に対するvServiceごとの行動的保護 — ddosCond複合条件付き。
TR7 DDoS対策のライブデモをご依頼ください。ベースライン学習フロー、L4 + L7攻撃タイプカバレッジ、ミティゲーションがトラフィックを外部にルーティングせずにどのように実行されるかをご説明します。