DDoS防御のレイヤーは何か、そして各レイヤーが何を処理するか？

Question

Accepted Answer

DDoS防御は**多層防御**です。単一のコントロールがすべての攻撃を止めるわけではないため、異なるトラフィッククラスを吸収、フィルタ、またはブロックする複数のレイヤーをスタックします。順序が重要です。できるだけ多くの処理をエッジに移動させ、オリジンから遠ざかります。

## レイヤー（エッジから内側へ）

- **CDN / スクラビングセンター**（Cloudflare、Akamai、AWS Shield）— 最外層です。**anycast**により、同じIPが複数のポイント・オブ・プレゼンスから発表されるため、容積的なフラッドは**単一のデータセンターではなく、グローバル容量全体に分散**されます。スクラビングセンターはフラッドを吸収し、クリーンなトラフィックだけを転送します。
- **WAF（Web Application Firewall）** — HTTPリクエストを検査し、悪質なパターンをブロックします：不正なシグネチャ、疑わしいユーザーエージェント、既知の不正IP、実際のリクエストを模倣する**Layer 7**フラッド。
- **レート制限** — 時間枠内のIP、APIキー、またはユーザーあたりのリクエストを制限し、`429 Too Many Requests`を返します。通常のクライアントに害を与えずに悪質なクライアントを停止します。
- **アップストリーム / ISPブラックホール（null-route）** — 生容量に対する最後の手段です。プロバイダーは対象IPへのすべてのトラフィックをドロップし（**remotely-triggered blackhole、RTBH**）、その1つのIPを犠牲にして他のすべてを保護します。
- **オートスケーリング + オーバープロビジョニング** — 他のレイヤーが機能する間、漏れるものを**吸収**し、時間を稼ぐための追加のオリジン容量。

## 一緒にどのように機能するか

メンタルモデルは**吸収 -> フィルタ -> ブロック**です：

```text
Internet flood
  -> CDN + anycast      : ABSORB volume across global PoPs
  -> scrubbing          : drop obvious junk (L3/L4 floods)
  -> WAF                : FILTER malicious HTTP (L7)
  -> rate limiting       : throttle abusive clients (429)
  -> origin (autoscaled) : serve the clean remainder
  -> ISP null-route      : last resort if origin IP is overwhelmed
```

容積的な攻撃はCDN/スクラビングレイヤーで消滅します。実際のトラフィックに見えるアプリケーションレイヤー攻撃はWAFとレート制限によってフィルタされます。

## なぜ重要なのか

単一のレイヤーに依存すると予測可能な方法で失敗します：WAFは1 Tbpsのフラッドを停止することはできず（パイプが最初に飽和します）、CDN単独は巧妙なHTTPフラッドをあなたのオリジンに喜んで通します。レイヤーを使用することは、各攻撃クラスがそれに設計されたコントロールに遭遇することを意味し、オリジンは外側のレイヤーが単独で処理できなかったトラフィックだけを見ます。