日本語 Deutsch English (US) Español (España) Français (France) 한국어 Português do Brasil 简体中文

Cloudflareヘルプセンター

Detailed system status >

このセクションの記事

Cloudflareコミュニティとつながる

答えを見つける

CloudflareのDDoS攻撃対策について理解する

  • 更新

CloudflareがDDoS攻撃からの保護を実現する方法とWebサイトが攻撃を受けているかどうかを確認する方法について説明します。

概要

分散サービス妨害攻撃(DDoS)は、エンドユーザーがオンラインサービスを利用できないようにします。Cloudflareは、全プランのお客様に、レイヤー3、4、7におけるDDoS攻撃に対する定額制の軽減策を提供しています。攻撃規模によって請求額を増やすことも、攻撃の規模や種類、攻撃時間に上限を設けることもありません。

Cloudflareのネットワークは、大規模なDDoS攻撃を自動的に監視および軽減するように構築されています。小規模のDDoS攻撃からWebサイトを保護するためにCloudflareでコンテンツをキャッシュするのが有効な方法ですが、キャッシュされないアセットについては、手動でDDoS攻撃に対応する必要があります。さらに、Cloudflareはどのプランでも次の場合に、ドメインに対する小規模なDDoS攻撃を軽減するお手伝いをしています。

  • HTTP 52Xエラー率が毎秒150エラーを超える場合、そして
  • 現行のエラー率が過去7日間の平均エラー率の5倍以上である場合(Pro プラン以上のゾーンのみ)。

520〜529のHTTPエラーすべて(内部サーバーエラー)がエラー率を算出する際に考慮される場合。

HTTP 攻撃の緩和が、HTTP DDoSイベントとして、ファイアウォール分析ダッシュボードで表示されます。こうしたイベントは、Cloudflare Logsでも、利用できます。

現在、HTTPエラー率に基づくDDoS 軽減に関して、お客様は特定のHTTPエラーコードを除外することはできません。

よく知られているDDoS攻撃およびDDoSの詳細については、Cloudflareのラーニングセンターをご覧ください。また、DDoSの導入事例については、この記事の最後にある「関連リソース」セクションを参照してください。

Cloudflare HTTP DDoSマネージドルールセット

Cloudflare HTTP DDoSマネージドルールセットとは事前に設定されたルールがセットになったものです。既知の攻撃パターンや既知の攻撃ツール、疑わしいパターン、プロトコル違反、大量のオリジンエラーを引き起こすリクエスト、オリジン/キャッシュにヒットする過剰なトラフィック、エッジのアプリケーション層における追加の攻撃ベクトルとマッチさせるために用いられます。このルールセットはデフォルトで有効になっており、Cloudflareのお客様はすべてのプランでご利用いただけます。

正当なトラフィックの大きな急増が予想される場合、正当なトラフィックが攻撃のトラフィックとして誤認され、ブロックやチャレンジされたりする誤検知を回避するために、DDoS攻撃対策設定をカスタマイズすることをご検討ください。

Cloudflare HTTP DDoSマネージドルールセットとCloudflare開発者ポータルで利用できる設定について詳しくお読みください。

DDoS攻撃を受けているかどうかを確認する

DDoS攻撃を受けていることを示す一般的な兆候は次のとおりです:

  • サイトがオフラインであるか、またはリクエストに対する応答が遅い。
  • Cloudflare経由のリクエストのグラフまたはCloudflare Analyticsアプリの帯域幅に予期しない突発的上昇がみられる場合。
  • 通常の訪問者の行動と一致しない異常なリクエストがWebサーバー(オリジンサーバー)にある。

現在DDoS攻撃を受けている場合は、Cloudflareのガイド「DDoS攻撃への対応」を参照してください。

Cloudflareから攻撃を受けているか?

Cloudflareがサイトを攻撃していると誤認される一般的なシナリオが2つあります:

Cloudflareはリバースプロキシであるため、ホスティングプロバイダーがCloudflare IPアドレスから接続する攻撃のトラフィックを監視するのが理想です。その一方で、Cloudflareに属していないIPアドレスからの接続が確認できる場合、攻撃はオリジンWebサーバーに直接向けられています。Cloudflareは、トラフィックがCloudflareのネットワークをバイパスするため、オリジンIPアドレスに直接向けられた攻撃を阻止することはできません。

攻撃者がオリジンWebサーバーを直接の標的にしている場合、ホスティングプロバイダーにオリジンIPを変更するよう依頼して、Cloudflare DNSアプリ内のIP情報を更新します。オリジンIPを変更する前に、すべての可能なDNSレコードにオレンジ色の雲マークが付いていて、お客様のネームサーバーが引き続きCloudflareを指していることを確認します(CNAMEのセットアップを使用していない場合)。

関連リソース

ケーススタディ:

必要なものが見つかりませんでしたか?

サポートに関する質問の95%が、検索によって解決できます。検索は、回答を得るために最速の方法です。

コミュニティに質問する リクエストを送信

関連記事

必要なものが見つかりませんでしたか?

サポートに関する質問の95%が、検索によって解決できます。検索は、回答を得るために最速の方法です。

コミュニティに質問する リクエストを送信する