CloudflareのDDoS攻撃対策について理解する

​​ CloudflareのDDoS攻撃対策について理解する

CloudflareがDDoS攻撃からの保護を実現する方法とWebサイトが攻撃を受けているかどうかを確認する方法について説明します。

​​ 本記事の内容

• 概要 Open external link
• Cloudflare HTTP DDoS 攻撃対策マネージドルールセット Open external link
• Cloudflareネットワークレイヤー DDoS 攻撃対策マネージドルールセット Open external link
• DDoS攻撃を受けているかどうかを確認する Open external link
• Cloudflareから攻撃を受けているか? Open external link
• 関連リソース Open external link

​​ 概要

分散サービス妨害攻撃 Open external link （DDoS）は、エンドユーザーがオンラインサービスを利用できないようにします。Cloudflareは、全プランのお客様に、レイヤー3、4、7におけるDDoS攻撃に対する定額制の軽減策を提供しています。攻撃規模によって請求額を増やすことも、攻撃の規模や種類、攻撃時間に上限を設けることもありません。

Cloudflareのネットワークは、大規模な DDoS攻撃 Open external link を自動的に監視および軽減するように構築されています。小規模のDDoS攻撃からWebサイトを保護するためにCloudflareでコンテンツをキャッシュするのが有効な方法ですが、キャッシュされないアセットについては、手動でDDoS攻撃に対応する必要があります。

さらに、Cloudflareは小規模なDDoS 攻撃を軽減するお手伝いもしています。

• どのプランのゾーンでも、HTTPエラー率が、しきい値が毎秒1,000エラーの_High_（デフォルト）感度レベルを超える場合です。感度レベルは、HTTP DDoS 攻撃対策マネージドルールセットを設定することで、下げることができます。

• Pro プラン、Business プラン、Enterprise プランのゾーンについて、Cloudflareはより高い精度の検出を行うために追加のチェックを行います。つまり、秒ごとのエラー率も通常のオリジントラフィックレベルの5倍以上が必要となります。

Cloudflareでは、52X番台（内部サーバーエラー）と 530エラー Open external link を除く53X番台のHTTPエラーすべてに基づいてエラー率を決定します。

HTTP 攻撃の緩和が、HTTP DDoSイベントとして、ファイアウォール分析ダッシュボードで表示されます。こうしたイベントは、Cloudflare Logsでも、利用できます。

現在、HTTPエラー率に基づくDDoS 軽減に関して、お客様は特定のHTTPエラーコードを除外することはできません。

よく知られているDDoS攻撃 Open external link および DDoS Open external link の詳細については、Cloudflareのラーニングセンターをご覧ください。また、DDoSの導入事例については、この記事の最後にある「関連リソース」セクションを参照してください。

Cloudflare HTTP DDoS攻撃対策マネージドルールセットとは事前に設定されたルールがセットになったものです。既知の攻撃パターンや既知の攻撃ツール、疑わしいパターン、プロトコル違反、大量のオリジンエラーを引き起こすリクエスト、オリジン/Cacheにヒットする過剰なトラフィック、エッジのアプリケーション層における追加の攻撃ベクトルとマッチさせるために用いられます。このルールセットはデフォルトで有効になっており、Cloudflareのお客様はすべてのプランでご利用いただけます。

正当なトラフィックの大きな急増が予想される場合、正当なトラフィックが攻撃のトラフィックとして誤認され、ブロックやチャレンジされたりする誤検知を回避するために、DDoS攻撃対策設定をカスタマイズすることをご検討ください。

Cloudflare HTTP DDoS攻撃対策マネージドルールセットと利用できる設定についてCloudflare開発者ポータルで詳しくお読みください。

HTTP DDoS 攻撃対策システムで適用されるアクションに関する詳細情報については、HTTP DDoS 攻撃対策パラメーター：アクションをご参照ください。

​​ Cloudflareネットワークレイヤー DDoS 攻撃対策マネージドルールセット

CloudflareネットワークレイヤーDDoS 攻撃対策マネージドルールセットとは、事前に設定されたルールがセットになったもので、OSI 参照モデルのレベル３とレベル４で既知のDDoS攻撃ベクトルと一致するために使用されます。このルールセットはデフォルトで有効になっており、Cloudflareのお客様はすべてのプランでご利用いただけます。

Cloudflareネットワークレイヤー DDoS攻撃対策マネージドルールセットと利用できる設定についてCloudflare開発者ポータルで詳しくお読みください。

L3/4 DDoS 攻撃対策システムで適用されるアクションに関する詳細情報については、ネットワークレイヤー DDoS 攻撃対策パラメーター：アクションをご参照ください。

​​ DDoS攻撃を受けているかどうかを確認する

DDoS攻撃を受けていることを示す一般的な兆候は次のとおりです：

• サイトがオフラインであるか、またはリクエストに対する応答が遅い。
• Cloudflare経由のリクエストのグラフまたはCloudflare Analyticsアプリの帯域幅に予期しない突発的上昇がみられる場合。
• 通常の訪問者の行動と一致しない異常なリクエストがWebサーバー（オリジンサーバー）にある。

​​ Cloudflareから攻撃を受けているか?

Cloudflareがサイトを攻撃していると誤認される一般的なシナリオが2つあります：

• オリジナルの訪問者のIPアドレスを復元 Open external link しない限り、CloudflareのIPアドレスは、すべてのプロキシされたリクエストのサーバーログに表示されます。
• 攻撃者はCloudflareのIPアドレスをスプーフィングしています。Cloudflare Spectrumを使用しない限り、Cloudflareは、 いくつかの特定のポートを介してのみトラフィックをWebサーバー（オリジンサーバー）に送信 Open external link します。

Cloudflareはリバースプロキシであるため、ホスティングプロバイダーが Cloudflare IPアドレス Open external link から接続する攻撃のトラフィックを監視するのが理想です。その一方で、Cloudflareに属していないIPアドレスからの接続が確認できる場合、攻撃はオリジンWebサーバーに直接向けられています。Cloudflareは、トラフィックがCloudflareのネットワークをバイパスするため、オリジンIPアドレスに直接向けられた攻撃を阻止することはできません。

​​ 関連リソース

• DDoS攻撃に対応する
• ベストプラクティス：DDoS攻撃対策 Open external link
• Cloudflare Logsを使用してDDoSトラフィックを調べる（Enterpriseプランのみ） Open external link
• DDoS攻撃とは？ Open external link
• DNSアンプ攻撃の仕組み Open external link

​​ ケーススタディ：

• 65GbpsのDDoS攻撃を開始する方法とそれを停止する方法 Open external link
• 停戦はサイバー戦争を終わらせない Open external link
• リフレクション攻撃を振り返る Open external link
• 驚くほど単純なDDoSプロトコル（SSDP）が100 GbpsのDDoS攻撃を発生させる Open external link
• Memcrashed - UDPポート11211からの大規模なアンプ攻撃 Open external link
• 大規模なDDoS攻撃の本当の原因 - IPスプーフィング Open external link