DDoS防御は多層防御です。単一のコントロールがすべての攻撃を止めるわけではないため、異なるトラフィッククラスを吸収、フィルタ、またはブロックする複数のレイヤーをスタックします。順序が重要です。できるだけ多くの処理をエッジに移動させ、オリジンから遠ざかります。
429 Too Many Requestsを返します。通常のクライアントに害を与えずに悪質なクライアントを停止します。メンタルモデルは吸収 -> フィルタ -> ブロックです:
Internet flood
-> CDN + anycast : ABSORB volume across global PoPs
-> scrubbing : drop obvious junk (L3/L4 floods)
-> WAF : FILTER malicious HTTP (L7)
-> rate limiting : throttle abusive clients (429)
-> origin (autoscaled) : serve the clean remainder
-> ISP null-route : last resort if origin IP is overwhelmed
容積的な攻撃はCDN/スクラビングレイヤーで消滅します。実際のトラフィックに見えるアプリケーションレイヤー攻撃はWAFとレート制限によってフィルタされます。
単一のレイヤーに依存すると予測可能な方法で失敗します:WAFは1 Tbpsのフラッドを停止することはできず(パイプが最初に飽和します)、CDN単独は巧妙なHTTPフラッドをあなたのオリジンに喜んで通します。レイヤーを使用することは、各攻撃クラスがそれに設計されたコントロールに遭遇することを意味し、オリジンは外側のレイヤーが単独で処理できなかったトラフィックだけを見ます。