Cloudflareレート制限を設定し、DoS(サービス妨害)攻撃、ブルートフォース攻撃のログイン試行、その他の不正行為からWebサイトアプリケーションを保護する方法を説明します。
概要
Cloudflareレート制限は、特定のURLに対する過剰なリクエストレート、またはドメイン全体に対する過剰なリクエストレートを自動的に特定し、軽減します。リクエストレートは、個々のCloudflareデータセンターでローカルに計算されます。レート制限の用途は、DDoS攻撃対策、ブルートフォース攻撃対策、フォーラム検索、APIコール、オリジンでのデータベース集中操作を含むリソースへのアクセス制限が最も一般的です。
個々のIPv4アドレスまたはIPv6 /64 IP範囲がルールのしきい値を超えると、クライアントがリクエストの送信を再開できるタイミングを示す Retry-After ヘッダーを含むHTTP 429レスポンスで、オリジンWebサーバーへのリクエストがさらにブロックされます。
分析
「セキュリティ」タブ下のCloudflare分析アプリにあるレート制限分析を表示します。レート制限分析では、実線はシミュレートされたリクエストと一致するトラフィックを表し、点線は実際にブロックされたリクエストを表します。レート制限ルールで生成されたログは、Cloudflare ログを通じてEnterpriseプランのお客様にだけ表示されます。
Cloudflareは、ブロックされたリクエストに対してHTTP 429エラーを返します。ロケーションごとにブロックされたリクエストの詳細は、「トラフィック」タブ下のCloudflare分析アプリにあるステータスコード分析で、Enterpriseプランのお客様に表示されます。
プランごとのレート制限許可
レート制限ルール数の上限は、ドメインのプランによって異なります:
| プラン | ルール数 | アクション | アクション時間 | リクエスト期間 |
|---|---|---|---|---|
| Free | 1 | ブロック | 1分または1時間 | 10秒または1分 |
| Pro | 10 | ブロック、チャレンジ、JSチャレンジ、またはシミュレート | 1分または1時間 | 10秒または1分 |
| Business | 15 | ブロック、チャレンジ、JSチャレンジ、またはシミュレート | 1分、1時間、または24時間 | 10秒、1分または10分 |
| Enterprise | 100 | ブロック、チャレンジ、JSチャレンジ、またはシミュレート | 10秒から86400秒(24時間)の間で入力された時間 | 1秒から3,600秒の間で入力された値 |
Cloudflareレート制限は、ドメインのClouflareプランによって、複数のレベルの設定管理をサポートしています。次の表では、ご利用中のプランでできることをまとめています:
|
サイト |
タスク |
利用できるプラン |
|---|---|---|
|
1 |
基本レート制限ルールを設定 |
全プラン |
|
2 |
高度な条件を設定 |
BusinessプランとEnterpriseプラン |
|
3 |
高度なレスポンスを設定 |
BusinessプランとEnterpriseプラン |
|
4 |
バイパスオプションを設定 |
Enterpriseプラン |
レート制限ルールのコンポーネント
レート制限ルールは3つの異なるコンポーネントから構成されています。次のコンポーネントをクリックして詳細をご覧ください:
受信リクエストは次項と一致するものとします:
リクエストパス
例:
- http://example.com/example
- http://example.com/example/*
リクエストパスは、アルファベットの大文字と小文字が区別されません。パターンは、クエリ文字列 (?)またはアンカー (#)の後のコンテンツと一致しません。アスタリスク (*) は、空のシーケンスを含め、どの文字のシーケンスとも一致します。例:
- *.example.com/* は、example.comのサブドメインでなら、どのパスでも一致します
- *example.com/example.html は、example.com の example.htmlと一致し、example.com*のサブドメインはどれでも、
- サイトのページと一致します。
example.com/path のリクエストは、example.com/path/と同じではありません。 このルールで唯一の例外はホームページで、example.com は example.com/と一致します。
リクエストスキーム
HTTP またはHTTPSです。指定されるものがない場合、両方が一致し、ルールには_ALL_と表示されます。
リクエスト方法
POST (投稿)または GET(取得)です。指定されるものがない場合、全ての方法が一致し、ルールには_ALL_と表示されます。
(任意)オリジンレスポンスコード
例えば、HTTP401または403がオリジンWebサーバーから返される時だけ、レート制限ルールを適用します。レスポンスコード基準を満たすトリガールールは、オリジンレスポンスコードにかかわらず、クライアントからの後続のリクエストをブロックします。
ルールは、同じクライアントからのリクエスト全てで、その数も期間も一致することがあります。
リクエストの数
最低でもリクエストを2つ指定します。1つのリクエストをブロックする場合は、パスを利用不可能にします。例えば、オリジンWebサーバーが403を返すように設定します。
リクエスト期間
クライアントのリクエストが特定期間中にしきい値を超えると、ルールがトリガーされます。
ルール緩和は次の要素で構成されます:
緩和アクション
レート制限アクションは、プランごとのレート制限許可で述べた通り、ドメインプランに基づいています。
- ブロック - しきい値を超えると、CloudflareがHTTP 429 エラーを出します。
- チャレンジ - 訪問者は、CAPTCHAチャレンジで正解する必要があります。正解した場合、Cloudflareがリクエストを許可します。
- JS チャレンジ -訪問者はCloudflare Javascriptチャレンジに正解する必要があります。正解すると、Cloudflareがリクエストを許可します。
- シミュレート - リクエストがCloudflare ログに記録されます。これは、本番で適用される前にルールをテストするのに役立ちます。
禁止期間
しきい値よりも短いタイムアウトを設定すると、APIが自動的にしきい値と同じになるようにタイムアウトを増やします。
レート制限訪問者には、カスタムエラーページが特定されない場合、既定のHTMLページが表示されます。さらに、BusinessプランとEnterpriseプランのお客様は、ルールそのものでレスポンスを特定できます。下記のTask 3:高度なレスポンスを設定するをご覧ください。
レート制限のしきい値を特定する
Cloudflareレート制限の一般的なしきい値を特定するには、キャッシュされていない24時間のWebサイトリクエスト数を同じ24時間のユニーク訪問者数で割ります。そして、これを訪問の推定平均時間(分)で割ります。最後に4(またはそれ以上)を掛けて、1分間あたりの推定しきい値を決めます。攻撃のほとんどが典型的なトラフィックレートを1桁上回るため、4より上の値は問題ありません。
特定のURLへのURLレート制限を識別するために、特定のURLへの24時間分のキャッシュされていないリクエストとユニーク訪問者数を使用します。ユーザーレポートとご自身のモニタリングに基づいてしきい値を調整します。
Task 1: 基本レート制限ルールを設定する
Cloudflare レート制限ルールの一般的な2つのルールを作成する方法についてクリックして詳細をご覧ください。
レート制限では、ログインを保護する機能をワンクリックで設定でき、5分以内に6 POST(投稿)以上のリクエストを送信する場合、15分間クライアントをブロックするというルールを作成できます。これはブルートフォースのほとんどの試行をブロックします。
- Cloudflareアカウントにログインします。
- 保護するドメインを選択します。
- ファイアウォールアプリをクリックし、「ツール」(Tool)タブをクリックします。
- レート制限の「ログインを保護する」をクリックします。
- ダイアログが表示される「ログインを保護する」で、ルール名と「ログインURLを入力する」を入力します。
- 「保存」(save)をクリックします。
- レート制限ルールの一覧に、ルール名が表示されます。
1. Cloudflareダッシュボードにログインします。
2. ドメインを選択します。
3. ファイアウォールアプリをクリックし、「ツール」タブをクリックします。
4. 「カスタムルールを作成する」をクリックします。新しいルールの詳細を特定する箇所で、ダイアログが開きます。
5. わかりやすい「ルール名」を入力します。
6. 「URLと一致するトラフィックの場合」(If Traffic Matching the URL)では、ドロップダウンからHTTPスキームとURLを選択します。
7. 「同じIPアドレスからの超過」(from the sme IP address exceeds)では、サンプリング期間のリクエスト数に、1より大きい整数を入力します。
8. 「時間ごとのリクエスト」(requests per)については、サンプリング期間(リクエストがカウントされる期間)を選択します。Enterpriseプランのドメインは、手動で10秒から86400秒(24時間)までの任意の期間を入力できます。
9. 「次に」(Then)ドロップダウンでは、ご利用中のプランで利用できるアクションを1つ選びます。詳細については、上記のレート制限ルールのコンポーネントにあるルール緩和セクションを確認してください。
10.ブロックまたはシミュレートを選択した場合、訪問者からのトラフィックと一致させるために、しきい値がトリガーされた場合に、オプションを適用する時間(期間)を選択します。Enterpriseプランのドメインは、手動で1秒から3,600秒までの任意の値を入力できます。
11.新しいルールをアクティブ化するために、保存してデプロイするをクリックします。
12. レート制限ルールの一覧に、ルール名が表示されます。
一般的に、低いしきい値を設定する際は:
- 既存のルールをそのままにし、低いしきい値で新しいルールを追加します。
- 新しいルールが設定されたら、古いルールを削除する前に古いルールのアクション期間が経過するのを待ちます。
(正当なクライアントのブロックが原因で)高いしきい値を設定する際は、既存のルール内でしきい値を増やします。
Task 2: 高度な基準を設定する(BusinessとEnterpriseプランのみ)
高度な基準オプションでは、HTTPメソッド、ヘッダーレスポンス、レート制限ルールと一致するオリジンレスポンスコードを設定します。
新規のルールまたは既存のルールに高度な基準を設定するには、次の手順にしたがってください。
1. 「高度な基準」をクリックします。
2. メソッドドロップダウンから値を選択します。「全て」は、HTTPメソッド全てと一致するデフォルトです。
3. HTTPレスポンスヘッダーでフィルターをかけます。CF-Cache-Statusヘッダーは、デフォルトで表示されます。そのため、Cloudflareはこうしたリソースのレート制限ではなく、キャッシュされたリソースを提供します。「ヘッダーレスポンスフィールドを追加する」をクリックし、オリジンWebサーバーから戻されたヘッダーを含めます。
HTTPレスポンスヘッダーで、複数のヘッダーがある場合、ANDブール論理が適用されます。ヘッダーを除外する場合は、「等しくない(Not Equals)」オプションを使用します。また、各ヘッダーはアルファベットの大文字と小文字を区別しません。
4.オリジンレスポンスコードで、一致する各HTTPレスポンスコードの数値を入力します。カンマを使って、二つ以上のHTTPコードを区切ります。例:401, 403
5. 「保存して展開する」をクリックするか、ご利用中のプランで追加が許可されるレート制限機能を設定します。
Task 3: 高度なレスポンスを設定する(BusinessとEnterpriseプランのみ)
高度なレスポンスオプションは、ルールのしきい値が超えた時にCloudflareによって戻される情報フォーマットを設定します。これは、次の手順で設定されます。
1. 「高度なレスポンス」をクリックします。
2. レスポンスタイプのフォーマットを選択します。最大レスポンスサイズは、32kbです。
カスタムHTMLページまたは32kB制限以上を表示するために、アクションパラメーターのレスポンスオブジェクトを経由し、Cloudflare APIを介してメタデータ更新をレート制限ルールに追加します。例:
"response": { "content_type": "text/html", "body": "\u003cmeta http-equiv=\"refresh\" content=\"0; url=https://www.example.com/about\" /\u003e"}
レート制限ルールは、リダイレクトURLと一致してはいけません。DDoS攻撃から保護するには、リダイレクトするページにCloudflareがキャッシュしたリソースが含まれている必要があります。
3. 保存して展開するをクリックするか、ご利用中のプランにある追加機能を設定します。
Task 4: バイパスオプションを設定する(Enterpriseプランのみ)
バイパスによって許可リストまたは例外が作成され、レート制限が一致しても、特定のURLセットにアクションが適用されないようになります。次の手順でバイパスを設定します。
1. バイパスをクリックします。
2. 「このURLにバイパスルールを適用する(Bypass rules for these URLs)」テキストボックスで、レート制限ルールを免除するURLを入力します。URLの行に各URLを入力します。URLで指定されているHTTPまたはHTTPSは、ルールが保存されると自動的に消去され、代りにHTTPとHTTPSの両方に適用されます。
3. 「保存して展開する」をクリックするか、ご利用中のプランに基づいて追加機能を設定します。