トレントギア

IGamingプラットフォーム用のDDoS保護とWAF

1） iGamingリスクプロファイル： 通常の電子商取引との違い

スケジュールのトラフィックのスパイク：トーナメント、プロバイダリリース、ストリーム；簡単にL7洪水を偽装します。

キャッシュフロー：ログイン/預金/結論-クレデンシャルの詰め込み、カーディング、支払いエンドポイントのL7洪水の目標。

リアルタイム：ライブゲーム（WebSocket/WebRTC）、賭けのための引用；p95> 150-250ミリ秒に敏感。

ジオライセンス：ジオフェンシング；攻撃者はASNプロキシ/ローテーションを使用してバイパスします。

保護KPI：稼働時間≥ 99。95％、 p95レイテンシ≤ 200ms web/ ≤ 120ms API、 FPR WAF <0。重要な流れ（ログイン、沈殿物）の3％、 MTTD <1分、MTTR ≤完全な安定化までの15分。

2）マルチレベルDDoS防衛（L3-L7）

ネットワーク層（L3/L4）：

Anycast CDN/Edge+スクラビングセンター：ボリューム攻撃の分散（UDP/ICMP、 SYN/ACK洪水）。
アンチDDoSプロバイダーによるBGPの発表：ブラックホール/RTBH最後の手段として、より良い-周囲のクリーニング。
接続のレート制限、SYNクッキー、非標準MSS/フラグのカットオフ。

アプリケーション層（L7）：

CDNキャッシュとプロトバリデーション（HTTP/2/3）：異常なヘッダ、不完全なリクエスト（Slowloris）、奇妙なALPNを破棄します。
IP/ASN/セッションキーの要求予算；重要なメソッドへのtoken-bucket （leaky bucket）。
動的な上流の流出：周囲の「低下」の重要でない根（媒体、重いレポート）は、auth/支払を残します。

3）脳としてL7-defense WAF

基本プロファイル：

OWASP Top-10 （SQLi/XSS/XXE/RCE）、プロトコル解析（ヘッダテープ、メソッド/コンテンツタイプ）、アンチ回避。
APIのポジティブモデル：厳密なスキーム（JSON-Schema/OpenAPI）、ホワイトリストのメソッドとフィールド。

iGamingの詳細：

ログイン/登録：IP/デバイス/サブネットによる制限；最初の試みでキャプチャの代わりにJSチャレンジ（見えない）。
支払いフォーム：リファラー検証、webhook署名（回転付きHMAC）、頻繁なAVS/CVVエラーに対する「冷たい」応答。
プロモーションエンドポイント：キャッシュバスティングに対する保護、ボーナス/フリーピンのリクエスト頻度、idempotencyキー。

リリースポリシー：

Shadow→simulate→blockでFPR/TPRメトリックを指定します。
市場（KYC-rigidity、ローカル決済プロバイダ）、トラフィック（web/app/API）によるルールのセグメンテーション。

4）ボット： 資格情報の詰め込みからボーナスの乱用まで

シグナル：

IP/ASNローテーション、ヘッドレスブラウザ、安定したクリック間隔、WebGL/フォントの欠如、ciphersuitesは「depersonalized」です。
動作：複数のログイン、2FAを選択しようとする試み、プロモーション/ジャックポットチェックの高周波、電子メール/数字の辞書に従ったシーケンス。

対策：

JS/Behavioral Challenge（目に見えないチェック）→エスカレーション時のみcaptcha。
アカウント保護レイヤー：パスワード+リスクベースの2FA、プログレッシブレイテンシ、デバイスバインド。
ボット管理プロバイダ/モジュール：エッジレベルのモデル、ラベル「おそらくボット」。
資格情報の詰め込み：have-I-been-pwned-likeパスワードチェック、リークされた組み合わせの禁止。

5） APIおよびリアルタイムチャネル保護

肯定的なモデルを持つAPI-WAF： JSONスキーマ、深さ/サイズ制限、不要なフィールドの禁止、正規化。

パートナーインテグレーションのためのmTLSとリクエスト署名（timestamp+nonce、 window ≤ 300 s）。

WebSocket/WebRTC（ライブカジノ、リアルタイムベッティング）：短いTTLトークンで認証、401で再起動、メッセージの頻度を制限し、「空の」ピングを切断します。

GraphQL（もしあれば）：プログラム内の内省の禁止、要求の複雑さ/深さの制限。

6）エッジ/CDNアーキテクチャとキャッシュ

プレーヤーに近いAnycast PoP、静的/メディアキャッシュ；URIとヘッダ正規化でキャッシュAPIをバイパスします。

キャッシュキー：ガベージパラメータは含まれません。hash-allowlist保護。

技術：Edge-WAF→Origin-WAF→App-GW。それぞれに独自の制限とカナリアルールがあります。

7）地理、ASN、コンプライアンス

エッジ上のジオフィルタ（オフライセンス国）。柔らかい応答403ニュートラルページ。

ASNリスト：強化された課題を持つ「黄色のリスト」としてのホスティング/VPN；支払いプロバイダとライブゲームスタジオのホワイトリスト。

法的保持：正しいブロックのページ（技術的な詳細の漏れなし）、監査人/規制者のための例外ロジック。

8）観察可能性および早期検出

SLO-set： p95/p99レイテンシ、エラー率、飽和エッジ/オリジン、共有チャレンジ/ブロック、成功率ログイン/デポジット。

攻撃シグネチャ：同じタイプのメソッドのサージ、401/403/429の増加、「フラット」地理、反復的なユーザーエージェント。

合成：異なる地域からの一定のログイン/デポジット/レートのサンプル。

Threat-intel：ボットネット/インジケータへのサブスクリプション、リストの自動更新。

9）インシデント管理： ポストモーテムへの最初の分

Runbook （abbr。）：

1.検出（SLO/署名解析によるアラート）→SEVレベルを宣言します。

2.レイヤー識別：ネットワーク（L3/L4）またはアプリケーション（L7）。

3.緩和：強化されたWAFプロファイルをオンにし、レート制限を引き上げ、JSチャレンジをオンにし、重い廃棄物/輸出を一時的に閉じます。

4.ビジネス例外に同意する：VIP/パートナー/allow-list支払い。

5.コミュニケーション：ステータスページ、サポート用メッセージテンプレート（不要な機器なし）。

6.デエスカレーションとレトロ：「タフな」ルールを削除し、パターンを修正し、プレイブックを更新します。

10）防衛試験と「戦闘訓練」

紫色のチームセッション：L7洪水の模倣（迅速なリセット、ヘッダーの乱用、キャッシュバスティングをHTTP/2）、遅い攻撃（Slowloris/POST）。

負荷テスト：プロモーション/ストリームのピーク（x5-x10ベースライン）、「短い爆発」のプロファイル（バースト30-90秒）。

カオスドリル：PoP/CDN領域の障害、1つのWebSocketチャネルの撤退、エッジ証明書の有効期限。

カナリアルール：トラフィックの5-10％に新しい署名をロールアウトします。

11）保護が有効になっている性能およびUX

摩擦を区別する：誰もが見えないJSチャレンジ。captcha/step-up-危険な信号のみ。

セッションピン：正直なプレーヤーを再び"引っ張らないように、セッションにリスクスコアをピン留めます。

Cache insensitive checks （AS repution、 geo） on TTL 10-30 min。

12） Antifraud/RiskとWAFの統合

イベントバス：WAF/ボットマネージャタグ→不正防止機能（スコアログイン/支払い）。

両方の方法のソリューション：リスクエンジンは、特定のIP/ASN/デバイスへの障壁を高めるためにWAFに依頼することができます。

ケースの単一のキャビネット：「プレイヤーがブロックされている理由」をトレース（サポートとレギュレータ用）。

13）特別エリア： ライブカジノとベッティングフィード

WebRTC/RTMP： TURN/STUN保護（rate-limit alloc/bind）、 30-60 sのトークン、地理的制限。

係数フィード：ハード限界とエッジ上のキャッシュを持つ読み取り専用エンドポイント。パートナーのための署名された要求。

コンテンツプロバイダ：専用チャンネル/ASN allow-list、ジッタ/パケット損失監視。

14）ルール/ポリシー例（簡略化）

POST/api/payment/depositのためのWAF肯定的なモデル

'POST'、 'Content-Type： application/json'

JSONスキーマ： 'amount： number 1。。10000'、 'currency：［EUR、 USD、……］', 'payment_method：［card、 crypto］'

制限： '≤ 5 req/60'はIPで、'≤ 3 req/60'はアカウントで

アクション： >limits→429+トークンチャレンジ；schema-fail→400とラベル「schema_violation」

ボットポリシーログイン

5分で失敗したログイン→見えないチャレンジ

10失敗したcaptcha→+プログレッシブ遅延

ASN=ホスティング+新しいデバイス→JSチャレンジ

Edge-rate-limit： プロモーション/クレーム

10 リクエスト/IP/分；アカウントごとの2/min；30年代のレスポンスをエッジにキャッシュします。

15）実装チェックリスト

Anycast CDN+L3/L4スクラブ、BGP-protect。
WAF with OWASP profile+APIのための正のスキーム。
ボット管理：目に見えない課題、キャプチャへのエスカレーション。
Geo/ASNポリシー、allow-list支払い/ライブゲームプロバイダ。
WebSocket/WebRTC保護：TTLトークン、メッセージ制限。
SLOモニタリング、キーフローによる合成。
インシデントランブック、通信テンプレート、レトロな手順。
通常の演習：L7洪水、キャッシュバスティング、PoP障害。
不正防止/リスクエンジン↔のWAFイベントの統合。

履歴書のサマリー

iGamingプラットフォームの効果的な保護は、レイヤーケーキです：ネットワーク上のAnycast+スクラブ、アプリケーション上のポジティブなモデルを備えたスマートWAF、会計/プロモ/支払いのボット管理、および厳格なSLO/インシデント管理規律。実際のゲームフローのルールをカスタマイズし、リスクでのみ摩擦をエスカレートさせ、「戦闘」シナリオでチームを訓練します。