始める
Cloudflareが提供するDDoS攻撃保護の管理ルールセットは、Cloudflareにオンボードされたゾーン、SpectrumにオンボードされたIPアプリケーション、およびMagic TransitにオンボードされたIPプレフィックスでデフォルトで有効になっています。
特定の状況では、DDoSルールが提供するデフォルトの保護を、あなたの特定の状況に合わせて微調整する必要があるかもしれません。また、他のCloudflare製品を使用して追加の保護を構成したい場合もあります。
Cloudflareが提供する1つまたは複数のDDoSルールが正当なトラフィックに影響を与える場合、それらを調整してこの種のトラフィックに対して緩和アクションを実行しないようにすることができます。 偽陽性の処理の手順に従って、1つまたは複数のDDoSルールの感度レベルを下げ、正当なトラフィックの受信を許可します。
DDoS攻撃に対する追加の保護を構成するには、ネットワーク層DDoS攻撃保護およびHTTP DDoS攻撃保護にリストされている関連Cloudflare製品を参照してください。
CloudflareのDDoS保護システムは、DDoS攻撃を自動的に検出し、緩和します。さらに、システムはレガシーアプリケーション、インターネットサービス、または不具合のあるクライアントアプリケーションからの疑わしい受信トラフィックを悪意のあるものとしてフラグ付けし、緩和アクションを適用することがあります。トラフィックが実際に正当なものである場合、緩和アクションはあなたのインターネットプロパティにおいてサービスの中断や停止を引き起こす可能性があります。
この状況を防ぐために、Cloudflareは以下の手順を実行することを推奨します:
- すべてのDDoS攻撃保護管理ルールセットのルールセットアクションを_Log_に設定します。
- フラグ付けされたトラフィックを分析します。
- 必要に応じて、個々の管理ルールセットルールの感度またはアクションを調整します。
- ルールセットアクションを_Log_からデフォルトに戻します。
以下のいずれかを持っている必要があります:
- Cloudflareにオンボードされたゾーンだが、DNSレコードが更新されていない。
- SpectrumにオンボードされたIPアプリケーション。
- Magic TransitにオンボードされたIPプレフィックス。
- Cloudflareダッシュボード ↗にログインし、アカウントを選択します。
- HTTP DDoS攻撃保護管理ルールセットのすべてのルールを構成し、そのアクションを_Log_に設定します。
- ネットワーク層DDoS攻撃保護管理ルールセットのすべてのルールを構成し、そのアクションを_Log_に設定します。
または、APIを使用している場合は、ルールセットレベルでオーバーライドを定義し、すべての管理ルールセットルールのアクションをlogに設定します。以下の手順に従ってください:
- あなたの分析ダッシュボードに移動します(正確なダッシュボードはあなたのCloudflareサービスによって異なります)。
- 必要に応じて1つ以上のフィルターを適用し、_Log_モードが無効になっていた場合に正当なトラフィックをブロックしていたルールを特定します。ルールIDをメモしてください。
特定の管理ルールセットルールをカスタマイズし、その感度またはアクションを変更します。CloudflareダッシュボードまたはAPIを使用して行います。
Cloudflareダッシュボードを使用している場合は、以下を参照してください:
APIを使用している場合は、以下を参照してください:
APIを使用する際は、ステップ1で構成したルールセットオーバーライドを削除せずに、必要なルールオーバーライドを追加してください。
ステップ1で行った変更を元に戻し、各管理ルールセットルールのアクションをルールセットアクションで_Default_に戻します。
または、APIを使用している場合は、各管理ルールセットのルールセットレベルで以前に構成したオーバーライドを削除します。ルールセットオーバーライドのみを削除し、ステップ3で構成したルールオーバーライドは削除しないようにしてください。