コンテンツにスキップ

偽陰性または不完全な緩和の対処

偽陰性

偽陰性とは、識別が行われないことを指します。DDoS保護の場合、攻撃トラフィックが誤って正当なトラフィックとして分類され、緩和されない場合に偽陰性が発生します。これは、攻撃トラフィックが緩和アクションを引き起こすのに十分な高い量でない場合や、攻撃に一致するルールがない場合に発生することがあります。

偽陰性に対処するには:

  • WAF/CDNの顧客である場合は、DDoS攻撃に対応するページの手順に従い、_Under Attack_モードを有効にし、必要に応じてレート制限ルールやWAFカスタムルールを作成します。
  • Magic Transitの顧客である場合は、Magic Firewallルールを使用して攻撃を緩和します。

不完全な緩和

不完全な緩和とは、DDoS保護システムが緩和を適用したが、攻撃のすべてが緩和されなかった場合を指します。これは、Cloudflareのシステムが攻撃に必要なものよりも厳しくない緩和アクションを適用した場合に発生することがあります。

システムは、トラフィックが実際に攻撃の一部であるというDDoS保護システムの信頼度に基づいて緩和アクションを選択します:

  • 高信頼度のルールの場合、システムは_Blocked_アクションのような厳格な緩和アクションを適用します。
  • 低信頼度のルールの場合、システムは_Challenge_や_Force Connection Close_のようなあまり厳しくない緩和ルールを適用します。

Cloudflareによって検出されたDDoS攻撃を受けており、適用された緩和アクションが十分に厳しくない場合は、ルールアクションを_Block_に変更します:

  1. Cloudflareダッシュボードにログインし、アカウントを選択します。
  2. 分析ダッシュボードに移動し、表示されたデータにフィルターを適用します。

WAF/CDNの顧客の場合
  1. DDoS攻撃の不完全な緩和が発生しているゾーンを選択します。
  2. Security > Eventsに移動します。
  3. Add filterを選択し、Service equals HTTP DDoSでフィルターをかけます。

Magic TransitおよびSpectrumの顧客の場合
  1. アカウントホーム > Analytics & Logs > Network Analyticsに移動します。
  2. 不完全な緩和が発生しているDDoS攻撃を特定します。DDoSアラートに含まれる攻撃ID番号を使用するか(受信した場合)、宛先IPアドレスやポートなどのダッシュボードフィルターを適用します。
  1. Top events by source > HTTP DDoS rulesまでスクロールします。
  2. ルール名をコピーします。
  3. ゾーンに移動し、Security > DDoSを選択し、Deploy a DDoS overrideを選択します。追加のオーバーライドを展開できない場合は、既存のオーバーライドを編集してルール設定を調整します。
  4. Browse rulesを選択し、検索フィールドにルール名を貼り付けます。
  5. ルールのActionBlockに変更します。
  6. Nextを選択し、次にSaveを選択します。

保存されると、ルールは1〜2分以内に有効になります。ルールの調整は即座に効果をもたらし、分析ダッシュボードで確認できます。

代替手順

上記の手順を使用して攻撃がオリジンWebサーバーを過負荷にするのを防げない場合は、Cloudflareサポートに連絡し、以下の詳細を提供してください:

  • 攻撃の時間帯(UTCタイムスタンプ)
  • 標的となっているドメイン/パス(ゾーン名/ID)
  • 攻撃の頻度
  • 実際の結果と期待される結果の違いを含む問題の再現手順
  • サイトのURL、エラーメッセージ、スクリーンショット、またはオリジンWebサーバーからの関連ログなどの関連情報
Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings