DDoS保護の仕組み
DDoS攻撃を検出し、軽減するために、Cloudflareの自律エッジおよび集中型DDoSシステムは、パス外のトラフィックサンプルを分析します。これにより、Cloudflareはレイテンシやパフォーマンスに影響を与えることなく、非同期的にDDoS攻撃を検出できます。
分析されたサンプルには以下が含まれます:
- パケットフィールド:ソースIP、ソースポート、デスティネーションIP、デスティネーションポート、プロトコル、TCPフラグ、シーケンス番号、オプション、パケットレートなど。
- HTTPリクエストメタデータ:HTTPヘッダー、ユーザーエージェント、クエリストリング、パス、ホスト、HTTPメソッド、HTTPバージョン、TLS暗号バージョン、リクエストレートなど。
- HTTPレスポンスメトリクス:顧客のオリジンサーバーから返されるエラーコードとそのレート。
攻撃トラフィックがルールに一致すると、Cloudflareのシステムはそのトラフィックを追跡し、攻撃パターンに対して外科的に一致させるリアルタイムシグネチャを生成し、正当なトラフィックに影響を与えることなく攻撃を軽減します。ルールは、攻撃のさまざまな特性や各属性の信号強度に基づいて異なるシグネチャを生成できます。たとえば、攻撃が分散型である場合(つまり、多くのソースIPから発生している場合)、ソースIPフィールドは強力な指標として機能せず、ルールは攻撃シグネチャの一部としてソースIPフィールドを選択しません。生成されたフィンガープリントは、コスト効率の良い軽減のためにCloudflareのグローバルネットワーク上の最適な場所に軽減ルールとして伝播されます。これらの軽減ルールは一時的であり、攻撃が終了した後、追加のトラフィックがルールに一致しなくなるとすぐに期限切れになります。
DDoS保護がデータローカリゼーションとどのように機能するかについて詳しくは、データローカリゼーションスイートの製品互換性を参照してください。