高度なDNS保護
Cloudflare高度なDNS保護は、flowtrackd ↗によって提供され、DNSベースのDDoS攻撃、特に洗練された完全にランダムなDNS攻撃(ランダムプレフィックス攻撃など)に対して状態を持った保護を提供します。
Cloudflareの高度なDNS保護は、まずあなたのトラフィックパターンを学習し、通常受け取るDNSクエリのタイプのベースラインを形成します。その後、システムは正当なクエリと悪意のあるクエリを区別できるようになり、正当なトラフィックに影響を与えることなくDNSインフラストラクチャを保護します。
現在、保護システムはDNS over UDPのみを分析します(DNS over TCPは含まれません)。
ネットワーク分析ダッシュボードでは、DNS保護タブにおいて、高度なDNS保護に関するシステム固有の分析が表示され、照会されたドメインやレコードタイプが含まれます。
高度なDNS保護は現在、Magic Transitの顧客にベータ版として提供されています。
より単純なDNSベースのDDoS攻撃に対する保護も、ネットワーク層DDoS攻撃保護管理ルールセットの一部として含まれています。
- アカウントチームに連絡して、高度なDNS保護を有効にし、初期設定を行います。初期の閾値は、あなたのネットワークの個別の動作に基づいています。
- Cloudflareダッシュボード ↗にログインし、アカウントを選択します。
- L3/4 DDoS > 高度な保護 > 一般設定に移動します。
- オンボードしたいプレフィックスを追加します。高度なDNS保護は、オンボードしたプレフィックスにのみ適用されます。高度なTCP保護を設定した際に既に希望するプレフィックスをオンボードしている場合は、他に何も行う必要はありません。
- 高度なDNS保護に移動します。
- 高度なDNS保護ルールを作成を選択します。
- モードで、ルールのモードを選択します。
- スコープを設定の下で、ルールの影響を受けるパケットの範囲を決定するためのスコープを選択します。
- 感度の下で、緩和を開始するタイミングを決定するためのバースト感度、レート感度、およびプロファイル感度を定義します。
- デプロイを選択します。
ネットワーク分析のDNS保護タブに高度なDNS保護に関連するデータが見つからない場合、以下の理由のいずれかが考えられます:
- あなたがプレフィックスを追加しなかった。
- Cloudflareがまだ高度なDNS保護システムを有効にしていない。
- あなたにDNS over UDPトラフィックがない。
Cloudflareは、クエリタイプ(例えば、Aレコード)や照会されたドメインなどのDNS関連データを収集します。詳細については、データ収集を参照してください。
高度なDNS保護は、ボリュメトリックDNS DDoS攻撃からあなたを保護できます。DNSキャッシング、プロキシ、構成を行うには、Cloudflare DNSファイアウォールを使用してください。
現在、高度なDNS保護はDNSファイアウォールには利用できません。