CloudflareがDDoS攻撃からの保護を実現する方法とWebサイトが攻撃を受けているかどうかを確認する方法について説明します。

概要

分散サービス妨害攻撃（DDoS）は、エンドユーザーがオンラインサービスを利用できないようにします。Cloudflareは、全プランのお客様に、レイヤー3、4、7におけるDDoS攻撃に対する定額制の軽減策を提供しています。攻撃規模によって請求額を増やすことも、攻撃の規模や種類、攻撃時間に上限を設けることもありません。

Cloudflareのネットワークは、大規模なDDoS攻撃を自動的に監視および軽減するように構築されています。Cloudflareでコンテンツをキャッシュすることも、小規模のDDoS攻撃からWebサイトを保護するのに役立ちますが、キャッシュされていないアセットについては、手動でDDoS攻撃に対応する必要があります。さらに、Cloudflareはどのプランでも次の場合に、ドメインに対する小規模なDDoS攻撃を軽減するお手伝いをしています。

• HTTP 52Xエラー率が毎秒150エラーを超える場合、そして
• 現行のエラー率が過去７日間の平均エラー率の5倍以上である場合。

52X範囲のHTTPエラー全てが、エラー率を算出する際に考慮されます。

HTTPフラッド攻撃の緩和は、HTTP DDoSイベントとして、ファイアウォール分析ダッシュボードで表示されます。こうしたイベントは、Cloudflare Logsでも、利用できます。

現在、HTTPエラー率に基づくDDoS軽減に関して、お客様は次のことができません。

• 軽減機能を無効にする
• 軽減のしきい値を変更する
• 特定のHTTPエラーコードを除外する

よく知られているDDoS攻撃およびDDoSの詳細については、Cloudflareのラーニングセンターをご覧ください。また、DDoSの導入事例については、この記事の最後にある「関連リソース」セクションを参照してください。

DDoS攻撃を受けているかどうかを確認する

DDoS攻撃を受けていることを示す一般的な兆候は次のとおりです：

• サイトがオフラインであるか、またはリクエストに対する応答が遅い。
• Cloudflare経由のリクエストのグラフまたはCloudflare分析アプリの帯域幅に予期せぬ急増がみられる。
• 通常の訪問者の行動と一致しない異常なリクエストがWebサーバー（オリジンサーバー）にある。

Cloudflareから攻撃を受けているか?

Cloudflareがサイトを攻撃していると誤認される一般的なシナリオが2つあります：

• オリジナルの訪問者のIPアドレスを復元しない限り、CloudflareのIPアドレスは、すべてのプロキシされたリクエストのサーバーログに表示されます。
• 攻撃者はCloudflareのIPアドレスをスプーフィングしています。Cloudflare Spectrumを使用しない限り、Cloudflareは、いくつかの特定のポートを介してのみトラフィックをWebサーバー（オリジンサーバー）に送信します。

Cloudflareはリバースプロキシであるため、ホスティングプロバイダーがCloudflare IPアドレスから接続する攻撃のトラフィックを監視するのが理想です。その一方で、Cloudflareに属していないIPアドレスからの接続が確認できる場合、攻撃はオリジンWebサーバーに直接向けられています。Cloudflareは、トラフィックがCloudflareのネットワークをバイパスするため、オリジンIPアドレスに直接向けられた攻撃を阻止することはできません。

関連リソース

• DDoS攻撃に対応する
• ベストプラクティス：DDoS攻撃対策
• Cloudflare Logsを使用してDDoSトラフィックを調べる（Enterpriseプランのみ）
• DDoS攻撃とは？
• DNSアンプ攻撃の仕組み

ケーススタディ：

• 65GbpsのDDoS攻撃を開始する方法とそれを停止する方法
• 停戦はサイバー戦争を終わらせない
• リフレクション攻撃を振り返る
• 驚くほど単純なDDoSプロトコル（SSDP）が100 GbpsのDDoS攻撃を発生させる
• Memcrashed - UDPポート11211からの大規模なアンプ攻撃
• 大規模なDDoS攻撃の本当の原因 - IPスプーフィング