攻撃カバレッジ
DDoS攻撃保護管理ルールセットは、OSIモデルのL3/4(レイヤー3/4)およびL7にわたるさまざまなDDoS攻撃に対する保護を提供します。Cloudflareは、攻撃カバレッジを改善し、緩和の一貫性を高め、新たな脅威に対応し、コスト効率の良い緩和を確保するために、これらの管理ルールセットを常に更新しています。
高度なTCP保護および高度なDNS保護は、Magic Transitの顧客に提供され、洗練されたTCPベースのDDoS攻撃および洗練された完全にランダム化されたDNS攻撃に対する追加の保護を提供します。
一般的なガイドラインとして、さまざまなCloudflare製品は異なるオープンシステム間接続(OSI)レイヤーで動作し、サービスが動作するレイヤーまで保護されます。オンボードしたレイヤーでDDoS設定をカスタマイズできます。たとえば、CDN/WAFサービスはレイヤー7(HTTP/HTTPS)サービスであるため、CloudflareはL7から下のDDoS攻撃、L3/4攻撃を含む保護を提供します。
以下の表には、カバーされている攻撃ベクトルのサンプルが含まれています:
| OSI Layer | Ruleset / Feature | Example of covered DDoS attack vectors |
|---|---|---|
| L3/4 | Network-layer DDoS Attack Protection | UDP flood attack SYN floods SYN-ACK reflection attack ACK floods Mirai and Mirai-variant L3/4 attacks ICMP flood attack SNMP flood attack QUIC flood attack Out of state TCP attacks Protocol violation attacks SIP attacks ESP flood DNS amplification attack DNS Garbage Flood DNS NXDOMAIN flood DNS Query flood For more DNS protection options, refer to Getting additional DNS protection. |
| L3/4 | Advanced TCP Protection 1 | Fully randomized and spoofed ACK floods, SYN floods, SYN-ACK reflection attacks, and other sophisticated TCP-based DDoS attacks |
| L7 | Advanced DNS Protection 1 | Sophisticated and fully randomized DNS attacks, including random-prefix attacks and DNS laundering attacks |
| L7 (HTTP/HTTPS) | HTTP DDoS Attack Protection | HTTP flood attack WordPress pingback attack HULK attack LOIC attack Slowloris attack Mirai and Mirai-variant HTTP attacks |
ネットワーク層DDoS攻撃保護管理ルールセットは、いくつかのタイプのDNS攻撃に対する保護を提供します。
Magic Transitの顧客は、高度なDNS保護 Beta にアクセスできます。他の顧客は以下のオプションを検討することができます:
- Cloudflareを権威DNSプロバイダーとして使用する(プライマリDNSまたはセカンダリDNS)。
- 自分のネームサーバーを運用している場合、DNSファイアウォールを使用して、ランダムプレフィックス攻撃のようなDNS攻撃に対する追加の保護を得ることができます。