DDoS攻撃（Distributed Denial of Service Attack分散サービス妨害攻撃）とは、数千以上の大量の端末が攻撃対象となる特定のサーバに対して、一斉にパケットを送信して通信経路や対象サーバをダウンさせる攻撃です。DDoS攻撃はツールが整備されているため比較的簡単に攻撃することが可能なことも大きな問題です。
　実際、政治的攻撃ハッカー集団アノニマス(Anonymous)は、DDoS攻撃を行うためのツールとしてLOIC（本来はネットワーク負荷試験ツール）を使用していました。彼らはツイッターなどのソーシャルネットワーキングを用い、攻撃に参加する多数のボランティア攻撃者を募集します。ボランティア攻撃者はLOICの攻撃クライアントをダウンロードするか、LOICのJavaScriptバージョンJS LOICをコンテンツとして保有するWebページにアクセスします。LOICのようなツールを利用することで、技術力の乏しいボランティア攻撃者を攻撃の輪に加え、DDoS攻撃を繰り返し行っていました。
　こういった攻撃の多くは、セキュリティ能力の高いネットワークファイヤウォールやIPS/IDSなどで検知防御が可能です。

　昨今は、L7に対するDOS攻撃が増加しつつあります。
　前述した攻撃とは異なり、攻撃者が大量のコネクションをWebサーバに張り、攻撃対象となる特定のサーバのりソースを枯渇させ、サーバダウンをさせます。但し、大量のパケット、データは送りません。代わりに無通信によるタイムアウトなどを回避するため、ゆっくりリクエスト/レスポンスを送受信します。
　この特性からバラクーダではこのような攻撃を「スロークライアントアタック(Slow Client Attack)」と呼んでいます。スロークライアントアタックには大きく分けて3つの攻撃が存在しています。

　Appachの場合、mod_reqtimeoutの設定や、ModSecurity2を別途インストールし、SecReadStateLimitなどチューニングを行っていくことで、コストをかけずに対応することは可能です。しかし、インストールやチューニングには、高度な知識が必要ですし、Webアプリによっては正しくコンテンツが表示されなかったりすることもあります。

　Barracuda WAFの場合、アダプティブ・タイムアウト・アルゴリズムという仕組みを利用します。あらかじめ、指定したウィンドウ時間に、想定した通信データ量があるか、ソースIPアドレスごとに常にデータ通信量を監視します。しかし、単純に想定を下回ったからといって、すぐに遮断するわけではありません。データ量を精査するために、ウィンドウ時間を少しずつ縮めながら、想定されるデータ転送量と実際のデータ量を比較、監視します。このような監視方法により、通常の通信か、それとも正常なアクセスに見せかけた攻撃かを見極める事が可能です。