Tomcat возвращает 403 на запросы с некоторых адресов

В проекте не используется Spring Secutiry и ничего явно не может возвращать 403 статус. Сервер nginx в связке с tomcat 9. На сервере два приложения, одно работает бесперебойно.

Второе предоставляет api для сайта и, подозреваю, при множественных запросах уходит в защиту и возвращает 403 статус. Спустя какое-то время начинает снова работать.

Может быть нужна настройка чувствительности DDoS protection или что то в этом роде? Подскажите, в какую сторону копать. Дело явно в томкате, раз до него доходят запросы?