ベストプラクティス:DDoS対策
ベストプラクティス:DDoS対策
Cloudflare対応サイトをDDoS攻撃から保護するためのベストプラクティスを説明します。
概要
Cloudflareにサインアップしたら、以下の推奨事項に従って、潜在的なDDoS攻撃に対する準備が万全であることを確認してください。
DNSレコードをCloudflareにプロキシする
攻撃者は、Cloudflareに保護されていないWebサーバー(オリジンサーバー)を直接攻撃するために、オリジンIPアドレスを特定しようとします。 トラフィックをCloudflareにプロキシすることにより、オリジンIPアドレスを隠して直接攻撃を阻止します。
次の手順に従って、保護性能を最大化できるようにDNSレコードを設定します:
- Cloudflareプロキシを有効にします(オレンジ色の雲マーク)。
- FTPまたはSSH に使用されるDNSレコードを削除し、代わりにオリジンIPを使用してFTPリクエストまたはSSHリクエストを直接実行します。 あるいは、Cloudflare Spectrumを介してFTPとSSHをプロキシします。
- メールサーバーに対応するAレコード、AAAAレコード、またはCNAMEレコードをグレー色の雲マークにする
- ワイルドカードレコードはオリジンIPアドレスを暴露するため、無料プラン、Proプラン、またはBusinessプランのドメイン内のワイルドカードレコードを削除します。 Cloudflareは、Enterpriseプランのドメインのワイルドカードレコードのみを保護します。
Cloudflare IPからのリクエストを制限しない
Cloudflareへのトラフィックをプロキシすると、Webサーバー(オリジンサーバー)との接続は、 CloudflareのIPアドレスを介したものになります。 したがって、Webサーバー(オリジンサーバー)が、 Cloudflare IPをホワイトリストに追加して、をホワイトリストに追加し、Cloudflareや信頼できるパートナー、ベンダー、アプリケーションIPアドレスからでないトラフィックを明示的にブロックすることが重要です。
オリジンサーバーログでオリジナルの訪問者IPを復元する
攻撃の背後にある実際のIPを確認するには、オリジンサーバーログで オリジナルの訪問者のIP復元します。 さもなければ、すべてのトラフィックがCloudflareのIPをログに記録します。 Cloudflareは、リクエストにオリジナルの訪問者のIPアドレスを HTTPヘッダーとして常に含めます。 リバースプロキシを使用していることと、現在の接続については、すべてのトラフィックがCloudflareのIPから送信されていることをホスティングプロバイダーに通知します。
サイトをCloudflareに移動した後にサーバーのIPアドレスを変更する
Cloudflareは、CloudflareにプロキシするトラフィックのオリジンサーバーのIPアドレスを隠します。 セキュリティを強化するために、ホスティングプロバイダーに連絡して、新しいオリジンサーバーのIPアドレスの取得をリクエストすることをお勧めします。
Rate Limitingを使用してブルートフォース攻撃やレイヤー7 DDoS攻撃を防止する
通常のHTTPリクエストを装った攻撃を阻止するために、Rate Limitingは、Webサイトアドミニストレーターが、Webサーバーが受信することが予想されるロードに対してきめ細かいThresholdsを指定できるようにします。1回クリックするだけで、基本のRate LimitingをSetupして、 ブルートフォース攻撃からログインページを保護することができます。
Cloudflareの無料プラン、Proプラン、Businessプランには10,000件/月の無料リクエストが含まれています。 詳細については、 Cloudflare Rate Limitingに関するガイドを参照してください。