ボットネット脅威フィード

CloudflareのDDoSボットネット脅威フィードは、ホスティングプロバイダーやインターネットサービスプロバイダー（ISP）などのサービスプロバイダー（SP）向けの脅威インテリジェンスフィードであり、Cloudflareのグローバルネットワークから観測されたHTTP DDoS攻撃に参加した自社のIPアドレスに関する情報を提供します。このフィードは、サービスプロバイダーが悪用を防止し、自社ネットワーク内から発生するDDoS攻撃を減少させることを目的としています。

各サービスプロバイダーは、自社の自律システム番号（ASN）に関連付けられたIPアドレスに関する情報のみを取得できます。サービスプロバイダーのASNとの関連性は、信頼性が高く、世界的に認識された相互接続データベースであるPeeringDB ↗に対して確認されます。

フィードの正確性を確保するために、Cloudflareは複数のHTTP DDoS攻撃に参加し、高信頼性のルールをトリガーしたIPアドレスのみをフィードに含めます。

コンテキスト

数千のボットからなる単一のDDoS攻撃は、サービスプロバイダーごとに1つのIPアドレスしか関与しない場合があります。サービスプロバイダーは通常、ネットワークを離れる攻撃トラフィックのごく一部しか見ることができず、それを悪意のある活動と関連付けるのは難しく、悪用者を特定しようとする際に困難を伴います。

HTTPS DDoS攻撃の場合、サービスプロバイダーはネットワークを離れる暗号化されたペイロードしか見ることができず、それが悪意のあるトラフィックか正当なトラフィックかを解読または理解することはできません。しかし、Cloudflareは、攻撃がCloudflareのサービスを使用しているインターネットプロパティをターゲットにしている場合、攻撃全体とそのすべてのソースを見ることができます。このグローバルな視点は、サービスプロバイダーが悪用者を止めるのに役立ちます。

利用可能性

CloudflareのDDoSボットネット脅威フィードは、サービスプロバイダー向けに早期アクセスで無料で提供されています。アクセスを取得するには、待機リストにサインアップ ↗してください。詳細については、利用規約 ↗を参照してください。

---

始める前に

以下を確認してください：

• Cloudflareアカウントを作成しています。
• DDoSボットネット脅威フィードにアクセスできます。できない場合は、待機リストにサインアップ ↗してください。

始める

1. PeeringDBを介してASNを認証する

1. Cloudflareダッシュボード ↗にログインし、アカウントを選択します。
2. アカウント管理 > 設定に移動します。
3. DDoS脅威フィードASNを選択します。
4. 脅威フィードに設定されているASNのリストから、ASNを追加を選択します。
5. PeeringDB認証ページにリダイレクトされ、ログインして私たちと関連データを共有することに同意できます。成功すると、設定ページにリダイレクトされます。

2. Cloudflare APIトークンを取得する

少なくとも以下のアカウントレベルの権限を持つCloudflare APIトークンを取得する必要があります：

• DDoSボットネットフィード > 読み取り

3. ボットネット脅威フィードAPIを呼び出す

ボットネット脅威フィードAPIのエンドポイントの1つを呼び出します：

• 完全レポートを取得
• 日次レポートを取得

---

利用可能なAPIエンドポイント

重要な注意事項

• API URIパスは将来的に.../botnet_feed/...から.../ddos_botnet_feed/...に変更される予定です。
• 結果にIPアドレスが含まれないレスポンス（空の状態）は、HTTP 200ステータスコード（成功）を返し、resultプロパティには空のリストが含まれます。

APIエンドポイントを呼び出すには、操作エンドポイントをCloudflare APIベースURLに追加します：

https://api.cloudflare.com/client/v4

完全レポートを取得

指定されたASNのボットネット追跡データベース内のすべてのデータを取得します（現在、2週間分のデータ）。

• HTTP動詞: GET
• 操作エンドポイント: /accounts/{account_id}/botnet_feed/asn/{asn}/full_report

提供された{asn}は、あなたのアカウントに関連付けられている必要があります。

リクエストの例

curl "https://api.cloudflare.com/client/v4/accounts/{account_id}/botnet_feed/asn/{asn}/full_report" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer <API_TOKEN>"

レスポンスの例

{
  "result": [
    {
      "cidr": "127.0.0.1/32",
      "date": "1970-01-01T00:00:00Z",
      "offense_count": 10000
    },
    // ... 他のエントリ ...
  ],
  "success": true,
  "errors": [],
  "messages": []
}

日次レポートを取得

指定されたASNのボットネット追跡データベースが持つ、指定された日のすべてのデータを取得します。この操作は現在、2週間以上前の日付を許可しますが、その場合は空のデータセットが返されます（データベースは現在2週間分のデータを保存しています）。

• HTTP動詞: GET
• 操作エンドポイント: /accounts/{account_id}/botnet_feed/asn/{asn}/day_report?date={date}

提供された{asn}は、あなたのアカウントに関連付けられている必要があります。

{date}はISO 8601形式の日付でなければなりません：YYYY-MM-DD。日付が指定されていない場合、APIは前日のデータを返します。

リクエストの例

curl "https://api.cloudflare.com/client/v4/accounts/{account_id}/botnet_feed/asn/{asn}/day_report?date=2024-05-05" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer <API_TOKEN>"

レスポンスの例

{
  "result": [
    {
      "cidr": "127.0.0.1/32",
      "date": "2024-05-05T00:00:00Z",
      "offense_count": 10000
    },
    // ... 他のエントリ ...
  ],
  "success": true,
  "errors": [],
  "messages": []
}