主なコンポーネント
Cloudflareの自律エッジは、サービス拒否 daemon (dosd) によって動かされており、これは自社開発のソフトウェア定義システムです。dosd インスタンスは、世界中の Cloudflareグローバルネットワークのデータセンター ↗ のすべてのサーバーで実行されています。これらの dosd インスタンスは、中央集権的な合意を必要とせずに、自律的にDDoS攻撃を検出し、緩和することができます。Cloudflareのユーザーは、DDoS攻撃保護の管理ルールセットを通じてこのシステムを構成できます。
Cloudflareの自律エッジのもう一つのコンポーネントには、高度なTCP保護システムが含まれています。これは、片方向ルーティングトポロジーにおける最もランダムで洗練されたTCPベースのDDoS攻撃を検出し、緩和するためのCloudflareのTCP状態追跡マシンです — 例えば、Magic Transitのケースのように。高度なTCP保護は、TCP接続の状態を特定し、正当な接続に属さないパケットをドロップ、チャレンジ、またはレート制限します。
詳細については、私たちのブログ記事 Cloudflareの自律エッジDDoS保護の深掘り ↗ を参照してください。
自律エッジを補完する形で、Cloudflareの全グローバルネットワークは、グローバル版の dosd によって監視されています。このコンポーネントは、グローバルに分散したボリュメトリックDDoS攻撃を検出し、緩和することによってCloudflareの全グローバルネットワークを保護します。
中央集権型システムは、Cloudflareのコアデータセンターで実行されます。これらは、すべてのグローバルネットワークデータセンターからサンプルを受け取り、それを分析し、攻撃を検出した際に自動的に緩和指示を送信します。このシステムは、各顧客のウェブサーバーと同期されており、その健康状態を特定し、必要な緩和アクションをトリガーします。