DDoS攻撃と自然なトラフィック増加をどのように見分けますか?

Question

Accepted Answer

どちらも突然のリクエスト急増に見えるため、**トラフィックのボリュームだけでなくその形状で**見分けます。DDoS攻撃は異常で機械的なパターンを示し、ビジネス上の理由がありません。一方、有機的な増加は実際のユーザーに由来し、原因を特定できます。

## DDoS攻撃の兆候

- **単一エンドポイントへの集中** — `/search`や`/login`など1つの負荷の高いパスに何千ものリクエストが殺到し、サイト全体に分散していない。
- **奇妙な地域とユーザーエージェント** — あなたがサービスしていない地域からのトラフィック、または単一の繰り返された/空の/偽造された`User-Agent`。
- **低いキャッシュヒット率** — 攻撃者は一意のクエリ文字列を作成してCDNをバイパスし、オリジンに直接アクセスする。
- **不正形式または反復的なリクエスト** — 同一のペイロード、ヘッダーの欠落、クッキーなし、リファラーチェーンなし。
- **ビジネス上の根拠がない** — キャンペーン、ローンチ、またはリファラルが急増を説明せず、段階的に増加するのではなく瞬時に現れる。

## 有機的な増加の兆候

- **追跡可能な原因** — マーケティングキャンペーン、バイラルポスト、プレス言及、または既知のソースからのリファラル増加。
- **通常のユーザーパス** — トラフィックが実際のジャーニー(ランディング→プロダクト→チェックアウト)を通じて流れ、キャッシュを尊重し、多様なクッキーとユーザーエージェントを保持する。
- **自然な増加** — 負荷が瞬時に壁に達するのではなく、段階的に増加して減少する。

## 判断方法

生のカウント数で判断しないでください。**ベースラインを維持し**、リクエスト毎秒数、地域分布、キャッシュヒット率、エラー率を追跡してから、それに対して**異常検知を実行し**ます。

```text
# Correlate several signals before declaring an attack:
requests/sec       -> spiked 20x        (suspicious)
cache-hit ratio    -> dropped 95% -> 5%  (bypassing cache = suspicious)
top endpoint       -> 90% to /login      (concentrated = suspicious)
conversions/signups-> flat or zero        (no business value = attack)
```

決定的な指標は**相関性**です。実際の増加はビジネスメトリクスも向上させます。攻撃はコストを増加させる一方、コンバージョンは平坦なままです。

## なぜ重要なのか

両者を誤読することはどちらの方向でも代価が大きいです。ローンチ時の急増を攻撃と見なして速度制限をかけると、有料ユーザーがブロックされます。攻撃を有機的なものとして扱うとオリジンが枯渇します。ベースライン設定と相関メトリクスを組み合わせることで、迅速かつ正確に対応できます。これが検知の本質です。