適応型DDoS保護
適応型DDoS保護は、あなたのユニークなトラフィックパターンを学習し、それに適応して、あなたが契約しているCloudflareサービスに応じて、レイヤー7およびレイヤー3/4の高度なDDoS攻撃に対するより良い保護を提供します。
適応型DDoS保護は、以下のタイプの保護を提供します:
- オリジン向けの適応型DDoS保護: あなたのサイトのオリジンエラーのプロファイルから逸脱したトラフィックを検出し、軽減します。
- ユーザーエージェント向けの適応型DDoS保護: Cloudflareのネットワークで見られるトップユーザーエージェントから逸脱したトラフィックを検出し、軽減します。ユーザーエージェントプロファイルは、顧客のゾーンだけでなく、Cloudflareネットワーク全体から構築されます。
- ロケーション向けの適応型DDoS保護: あなたのサイトの地理的分布プロファイルから逸脱したトラフィックを検出し、軽減します。このプロファイルは、過去7日間の各クライアント国および地域のレートを使用して計算されます。
- プロトコル向けの適応型DDoS保護: あなたのトラフィックのIPプロトコルプロファイルから逸脱したトラフィックを検出し、軽減します。このプロファイルは、各プレフィックスのグローバルレートとして計算されます。
Cloudflareの適応型DDoS保護は、以下の表に従ってエンタープライズ顧客に提供されます:
| 機能 | プロファイリング次元 | WAF/CDN1 | Magic Transit / Spectrum BYOIP2 |
|---|---|---|---|
| HTTP適応型DDoS保護 | |||
| オリジン向け | オリジンエラー | はい | — |
| ユーザーエージェント向け | ユーザーエージェント (Cloudflareネットワーク全体) | はい | — |
| ロケーション向け | クライアントIP国および地域 | はい | — |
| L3/4適応型DDoS保護 | |||
| プロトコル向け | IPプロトコル | — | はい |
| プロトコル向け | UDPのクライアントIP国および地域 | — | はい |
1 高度なDDoS保護サブスクリプションを持つエンタープライズプランのWAF/CDN顧客。
2 エンタープライズプランのMagic TransitおよびSpectrum BYOIP顧客。
適応型DDoS保護は、過去7日間の毎日の最大トラフィックレートを見てトラフィックプロファイルを作成します。これらのプロファイルは毎日再計算され、7日間の時間ウィンドウを保持します。適応型DDoS保護は、あらかじめ定義された各次元値に対して見られた最大トラフィックレートを保存します(プロファイリング次元は各ルールによって異なります)。各プロファイルは、リクエストの送信元国、ユーザーエージェント、IPプロトコルなどの1つの次元を使用します。プロファイルから逸脱した受信トラフィックは、悪意のあるものである可能性があります。
外れ値を排除するために、レート計算は95パーセンタイルレートのみを考慮します(最高5%のレートを除外します)。Cloudflareは、トラフィックプロファイルを構築するために、1秒あたりのリクエスト数(rps)の最小量を要求します。HTTP適応型DDoS保護ルールは、Cloudflareの機械学習(ML)モデルを考慮して、自動化されている可能性のあるトラフィックを特定します。
Cloudflareは、これらの保護ルールのロジックを改善するために、時折変更することがあります。ルールの変更は、管理ルールセットの変更ログページに表示されます。
Cloudflareのネットワークは、大規模なDDoS攻撃を自動的に監視し、軽減するように構築されています。Cloudflareは、以下の一般的なルールに基づいて、小規模なDDoS攻撃の軽減も支援します:
- すべてのプランのゾーンに対して、CloudflareはHTTPエラー率が_高_(デフォルト)感度レベルの1,000エラー/秒の閾値を超えた場合に軽減を適用します。HTTP DDoS攻撃保護の管理ルールセットを構成することで ↗、感度レベルを下げることができます。
- Pro、Business、Enterpriseプランのゾーンに対して、Cloudflareはより良い検出精度のために追加のチェックを行います:エラー/秒のレートは、DDoS軽減を適用する前に、通常のオリジントラフィックレベルの少なくとも5倍でなければなりません。
Cloudflareは、52X範囲(内部サーバーエラー)および53X範囲のすべてのHTTPエラーに基づいてエラー率を決定しますが、エラー530は除外されます。現在、HTTPエラー率に基づくDDoS軽減に関して、特定のHTTPエラーコードを除外することはできません。
CloudflareのDDoS保護がカバーするDDoS攻撃の種類についての詳細は、DDoS攻撃のカバレッジを参照してください。
HTTP適応型DDoS保護ルールによってフラグが付けられたトラフィックを表示するには:
- Cloudflareダッシュボード ↗にログインし、アカウントとウェブサイトを選択します。
- セキュリティ > イベントに移動します。
Service equals HTTP DDoSおよびルールIDでフィルタリングします。
L3/4適応型DDoS保護ルールによってフラグが付けられたトラフィックを表示するには:
- Cloudflareダッシュボード ↗にログインし、アカウントを選択します。
- アカウントホーム > 分析とログ > ネットワーク分析に移動します。
Ruleset ID equals 3b64149bfa6e4220bbbc2bd6db589552(ネットワーク層DDoS攻撃保護管理ルールセットのID)およびルールIDでフィルタリングします。
フラグが付けられたトラフィックに関する情報は、LogpushやGraphQL APIを通じて取得することもできます。
適応型DDoS保護ルールのアクションと感度を調整できます。デフォルトのアクションは_ログ_です。このアクションを使用して、軽減アクションを決定する前に、どのトラフィックがフラグ付けされているかを観察します。
ルールを構成するには、以下のページの指示を参照してください:
- ダッシュボードでHTTP DDoS攻撃保護を構成する(L7ルール用)
- ダッシュボードでネットワーク層DDoS攻撃保護を構成する(L3/4ルール用)
利用可能な構成パラメータに関する詳細は、以下のページを参照してください:
- オリジン、ユーザーエージェント、ロケーション向けの(L7)DDoS保護ルールについて:
HTTP DDoS攻撃保護パラメータ - プロトコル向けの(L3/4)DDoS保護ルールについて:
ネットワーク層DDoS攻撃保護パラメータ