インターネットのレイヤー7とは?
レイヤー7とは、インターネットのOSIモデルにおける7つの層の最上位層を指します。「アプリケーション層」とも呼ばれています。ユーザーが操作するソフトウェアアプリケーションのすぐ下にあるデータ処理が行われる最上位層です。たとえば、Webページを読み込むのに使用されるHTTPのリクエストおよびレスポンスはレイヤー7で発生する事象です。
このレベルで発生するDDoS攻撃をレイヤー7攻撃またはアプリケーション層攻撃と呼んでいます。DDoS攻撃はOSIモデルのレイヤー3または4でも発生します。
OSIモデルとは?
Open Systems Interconnection(OSI)モデルは、ネットワーキングシステムを7つのレイヤー(層)に分けて、各レイヤーは1つ下のレイヤーから分離したものであるとする考え方です。このモデルでは、各レイヤーはその上下のレイヤーとのみ連係して働きます。
OSIモデルは純粋に理論的であり、関係する実際の技術について述べたものではなく、ネットワーキング通信において起きることを説明するためのものであることに注意してください。ただし、OSIモデルが概念的なフレームワークだからといって役に立たないということではありません。モデルを参照することは、エンジニア、開発者、およびITプロフェッショナルが、プロダクトやプロトコルの機能およびネットワーク通信プロセスにおける位置付けを正確に特定するのに有益です。
モデルの最下位層が物理層(レイヤー1)です。インターネットインフラストラクチャを構成するケーブル、ルーター、スイッチ、Wi-Fiネットワークを介して情報をやり取りする電気的なパルスの伝送経路を確保します。最上位層のレイヤー7は、プロトコルやサービスアプリケーションが機能するために使用するものです。それらの中間にあるのが、ネットワーク通信においてデータが通過するさまざまな機能やプロトコルです。
各レイヤーの詳しい機能については、「OSIモデルとは?」を参照してください。
レイヤー7はどのような機能を果たすか?
レイヤー7はアプリケーション層と呼ばれていますが、アプリケーションのユーザーインタフェースではありません。むしろ、レイヤー7はユーザー向けのソフトウェアアプリケーションがデータを表示するために使用する機能やサービスを提供します。アプリケーションを家にたとえると、レイヤー7は家そのものではなく土台です。
API呼び出しとAPI応答は、このレイヤーに属し、使用される主なプロトコルはHTTPとSMTP(メールアプリケーションが使用する簡易メール転送プロトコル)です。
レイヤー7はほかのOSIレイヤーとどのように連係するか?
レイヤー7からのデータは、下位の層に引き渡されますが、レイヤー7はレイヤー6とのみ対話します。データが各層を通過すると、パケットに分割され、一定のレイヤーは各パケットにヘッダーやフッターを追加します。たとえば、レイヤー3では、送信先と送信元のIPアドレスが各パケットに追加されます。最下位層のレイヤー1では、データはビットに変換されて物理的なインターネットを介して転送されます。
送信先に到達すると、データはレイヤー1から上位の層に戻ります。各層にて、ヘッダーやフッターのデータは解釈および削除され、データは次の層で使用できる形に変換されます。データがレイヤー7に到達すると、アプリケーションが利用できるようになります。(これらすべての手順の所要時間はほんの数ミリ秒です。)
OSIモデルの仕組みを理解するうえで重要なのは、各層はやり取りをする相手がいる同じ層とのみ交信するということです。レイヤー7のデータは、通信の受信側のレイヤー7によってのみ解釈されます。受信側のほかの層は、単にデータをレイヤー7に引き渡すだけです。同様に、一方のレイヤー3のデータパケットに追加されるIPヘッダーデータは、他方のレイヤー3によってのみ解釈されます。
レイヤー7に対するDDoS攻撃の仕組み
レイヤー7に対するDDos攻撃(アプリケーション層に対するDDoS攻撃)は、大量のトラフィック(通常はHTTPトラフィック)でネットワークまたはサーバーリソースを圧倒させようとします。1つの例は、サーバーが飽和状態になり、すべてのリクエストに応答できなくなるまで、1秒あたり数千のリクエストを特定のWebページに送信するというものです。もう1つの例は、サービスがクラッシュするまで、APIを繰り返し呼び出すというものです。通常、レイヤー7に対するDDoS攻撃は、ほかの種類のDDoS攻撃よりも複雑です。
詳細については、「アプリケーション層に対するDDoS攻撃」を参照してください。
OSIモデルとTCP/IPモデルの違い
TCP/IPネットワーキングの概念モデルは、OSIモデルの代替となるモデルです。ネットワーキングスタックを7つの層ではなく4つの層に分けます。OSIモデルと似ていますが、完全に一致するわけではありません。TCP/IPモデルでは、「レイヤー7」はありません。これは、純粋に意味論的な違いであり、2つのモデルのネットワーキングの仕組みが異なるわけではありません。
TCP/IPモデルでの4つの層:
- アプリケーション層(HTTPやSMTPのようなプロトコル用)
- トランスポート層(TCPやUDPのようなトランスポートプロトコル)
- インターネット層(インターネットプロトコル)
- ネットワークアクセス層
Cloudflareはレイヤー7に対する攻撃をどのように防止するのか?
Cloudflare DDoS攻撃対策は、標的がどのOSIレイヤーであっても、DDoS攻撃から保護するように構築されています。世界中の200データセンターにネットワークトラフィックをインテリジェントに選別して分散することで、Cloudflareネットワークは大量のレイヤー7トラフィックを吸収することができます。Cloudflareネットワークは、Cloudflareのベストプラクティスに従うことで、こうした攻撃から保護されます。