ทั้งสองดูเหมือนการพุ่งขึ้นของคำขออย่างฉับพลัน ดังนั้นคุณแยกแยะพวกมันด้วย รูปทรงของ traffic ไม่ใช่แค่ปริมาณ DDoS แสดงรูปแบบผิดปกติคล้ายเครื่องจักรโดยไม่มีเหตุผลทางธุรกิจ ส่วน spike ตามธรรมชาติเป็นไปตามผู้ใช้จริงและมีสาเหตุที่คุณชี้ได้
ทั้งสองดูเหมือนการพุ่งขึ้นของคำขออย่างฉับพลัน ดังนั้นคุณแยกแยะพวกมันด้วย รูปทรงของ traffic ไม่ใช่แค่ปริมาณ DDoS แสดงรูปแบบผิดปกติคล้ายเครื่องจักรโดยไม่มีเหตุผลทางธุรกิจ ส่วน spike ตามธรรมชาติเป็นไปตามผู้ใช้จริงและมีสาเหตุที่คุณชี้ได้
/search หรือ /login) แทนที่จะกระจายไปทั่วทั้งไซต์User-Agent ที่ซ้ำ/ว่างเปล่า/ปลอมแปลงตัวเดียวอย่าใช้สายตามองตัวเลขดิบ ๆ รักษา baseline สำหรับ requests-per-second, geo mix, อัตรา cache-hit, และ error rate จากนั้นรัน anomaly detection เทียบกับมัน
# Correlate several signals before declaring an attack:
requests/sec -> spiked 20x (suspicious)
cache-hit ratio -> dropped 95% -> 5% (bypassing cache = suspicious)
top endpoint -> 90% to /login (concentrated = suspicious)
conversions/signups-> flat or zero (no business value = attack)
จุดบ่งชี้คือ correlation: spike จริงยกระดับ business metric ด้วย ส่วนการโจมตียกระดับต้นทุนในขณะที่ conversion ยังคงเรียบนิ่ง
การอ่านทั้งสองผิดมีราคาแพงในทั้งสองทิศทาง การมองการพุ่งขึ้นจากการเปิดตัวว่าเป็นการโจมตีแล้ว rate-limit มันคือการบล็อกผู้ใช้ที่จ่ายเงิน ส่วนการมองการโจมตีว่าเป็นธรรมชาติปล่อยให้มันทำให้ origin ของคุณหมดแรง การทำ baseline บวกกับ metric ที่ correlate กันทำให้คุณตอบสนองได้รวดเร็วและถูกต้อง ซึ่งเป็นจุดประสงค์ทั้งหมดของการตรวจจับ