すべてのプロダクト
Search

このプロダクト

    Edge Security Acceleration:DDoS データ分析

    ドキュメントセンター

    Edge Security Acceleration:DDoS データ分析

    最終更新日:Sep 05, 2025

    ESA は、サービスの健全性の監視、攻撃の調査、および軽減ポリシーの微調整に役立つ DDoS 分析 ダッシュボードと 攻撃詳細 ダッシュボードを提供します。 ネットワーク層とアプリケーション層の両方の攻撃について、過去 30 日間の詳細な統計情報を表示できます。

    説明

    この機能は、Enterprise サブスクライバー限定で利用可能です。

    分析ダッシュボードの解釈

    DDoS 分析 タブは、トラフィック パターンの包括的なビューを提供し、正当な使用と悪意のあるアクティビティを区別するのに役立ちます。 データは、最大過去 30 日間の時間範囲でフィルタリングできます。

    ネットワーク層 (L3/L4) メトリック

    これらのメトリックは、ネットワーク容量を飽和させることを目的とした大量攻撃を特定するのに役立ちます。

    • 帯域幅 (bps): 攻撃トラフィックの量を測定します。 bps 値が高い場合は、使用可能なすべてのネットワーク帯域幅を消費しようとするフラッド攻撃を示します。 攻撃トラフィックが帯域幅の 95% 以上を使用すると、正当なサービストラフィックの送信が中断される可能性があります。

    • パケット レート (pps): 送信されるパケット数を測定します。 帯域幅が低い場合でも (1 M を超える)、pps 値が高い場合は、サーバーとネットワーク ハードウェアの処理能力を使い果たすことを目的とした攻撃を示している可能性があります。

    両方のメトリックを分析することにより、攻撃のシグネチャを特定できます。 大規模パケット フラッド攻撃は、bps が高く pps が低いことが特徴ですが、接続フラッド攻撃は、bps が低く pps が高いことを示します。 いずれかのメトリックが欠落している場合、軽減ポリシーが失敗する可能性があります。 たとえば、pps の監視を無視すると、プロトコル スタック リソースを使い果たす低帯域幅、高強度の攻撃を検出できなくなります。

    bps データと pps データを取得するには、次の手順に従います。

    1. ESA コンソールで、サイト管理 を選択し、サイト 列で、ターゲットの Web サイトをクリックします。

    2. 左側のナビゲーション ウィンドウで、セキュリティ保護 > DDoS を選択します。

    3. DDoS ページで、DDoS 分析 タブをクリックし、ネットワーク層 タブをクリックします。

    4. 時間フィルター セクションで、時間範囲を選択します。 コンソールには、選択した時間範囲の詳細な ネットワーク層 トラフィックが表示されます。 ESA は、その範囲内の 攻撃帯域幅のピーク攻撃パケットレートのピーク の統計も提供します。

    アプリケーション層 (L7) メトリック

    1 秒あたりのクエリ数 (QPS): アプリが 1 秒あたりに受信する HTTP または HTTPS リクエストの数。 レイヤー 7 攻撃を検出するための重要なメトリックです。 ネットワーク層攻撃は、多くの場合、帯域幅またはパケット レート (bps または pps) の急上昇を引き起こします。 レイヤー 7 攻撃は通常のユーザーを模倣するため、これらのメトリックは変更されない場合があります。 代わりに、QPS の急激な増加として表示されます。これは、CPU とメモリを枯渇させる可能性のある HTTP フラッドの兆候です。

    QPS データを取得するには、次の手順に従います。

    1. ESA コンソールで、サイト管理 を選択し、サイト 列で、ターゲットの Web サイトをクリックします。

    2. 左側のナビゲーション ウィンドウで、セキュリティ保護 > DDoS を選択します。

    3. DDoS ページで、DDoS 分析 タブをクリックし、次に アプリケーション層 タブをクリックします。

    4. 時間フィルター セクションで、時間範囲を選択します。 コンソールには、選択した時間範囲の詳細な アプリケーション層 トラフィックが表示されます。 ESA は、その範囲内の HTTP スクラビング中のトラフィックピークHTTPS スクラビング中のトラフィックピーク の統計も提供します。

    トラフィック スクラブ イベント

    サービスが大規模な DDoS 攻撃を受けている場合、ESA はトラフィック スクラブを実行して、トラフィックをリアルタイムで監視、分析、およびフィルタリングします。 悪意のある攻撃トラフィックを通常のトラフィックから分離し、ブロックまたは破棄します。 正当なトラフィックのみがターゲット サーバーに到達できます。 これにより、サーバーの通常の動作とネットワーク サービスの可用性が確保されます。 攻撃の種類によって、異なる層でトラフィック スクラブ イベントがトリガーされます。

    • ネットワーク層スクラブ イベント: 攻撃が 5 Gbps 以上に達すると、トラフィック スクラブがトリガーされる場合があります。

    • アプリケーション層スクラブ イベント: ESA は、ドメイン名アクセス QPS のデータ ベースラインとオリジン サーバーからの異常な状態コードに基づいて、ディープ ラーニングを使用します。 その後、サービスの実際の規模に基づいてトラフィック スクラブを実行します。

    スクラブ イベントの詳細なレコードを取得するには、次の手順に従います。

    1. ESA コンソールで、サイト管理 を選択し、サイト 列で、ターゲットの Web サイトをクリックします。

    2. 左側のナビゲーション ウィンドウで、セキュリティ保護 > DDoS を選択します。

    3. DDoS ページで、DDoS 分析 タブをクリックします。 必要に応じて、ネットワーク層 タブまたは アプリケーション層 タブをクリックできます。 ページの下部までスクロールして、スクラブ イベントの詳細を表示します。

    履歴攻撃の詳細を確認する

    攻撃の詳細 タブには、検出および軽減された DDoS 攻撃のフォレンジック ログが提供されます。 特定のインシデントを調査するために、時間と攻撃の種類でこのログをフィルタリングできます。 このビューは、次の場合に役立ちます。

    • Web サイトを標的とする攻撃の種類の傾向を特定する。

    • 過去の攻撃のピーク強度を確認する。

    • インフラストラクチャ内の他のインシデントと攻撃イベントを関連付ける。

    攻撃の詳細を表示するには、次の手順に従います。

    1. ESA コンソールで、サイト管理 を選択し、サイト 列で、ターゲットの Web サイトをクリックします。

    2. 左側のナビゲーション ウィンドウで、セキュリティ保護 > DDoS を選択します。

    3. DDoS ページで、攻撃詳細 タブをクリックします。 ドロップダウン リストから、攻撃の種類と時間範囲を選択して、ボリューム型攻撃のピーク値Web リソース枯渇型攻撃のピークアプリケーションレイヤ攻撃のピーク値、および攻撃イベントの詳細を表示します。