偽陽性の対処
偽陽性とは、誤った識別のことです。DDoS保護の場合、正当なトラフィックが攻撃トラフィックとして誤って分類されると、偽陽性が発生します。これは、レガシーアプリケーション、インターネットサービス、または不具合のあるクライアントアプリケーションが、疑わしく見える正当なトラフィックを生成したり、奇妙なトラフィックパターンを持っていたり、ベストプラクティスから逸脱したり、プロトコルに違反したりする場合に発生することがあります。
このような場合、CloudflareのDDoS保護システムは、そのトラフィックを悪意のあるものとしてフラグを立て、緩和措置を適用することがあります。トラフィックが実際には正当であり、攻撃の一部でない場合、緩和措置はあなたのインターネットプロパティにサービスの中断や停止を引き起こす可能性があります。
偽陽性を解消するためには:
- Cloudflareダッシュボード ↗にログインし、アカウントを選択します。
- 分析ダッシュボードに移動し、表示されたデータにフィルターを適用します。
WAF/CDNのお客様向け
- DDoS攻撃の偽陽性が発生しているゾーンを選択します。
- セキュリティ > イベントに移動します。
- フィルターを追加を選択し、
Service equals HTTP DDoSでフィルターをかけます。
Magic TransitおよびSpectrumのお客様向け
- アカウントホーム > 分析とログ > ネットワーク分析に移動します。
- 偽陽性を引き起こしている正当なトラフィックを特定します。DDoSアラートに含まれる攻撃ID番号を使用するか(受信した場合)、宛先IPアドレスやポートなどのダッシュボードフィルターを適用します。
- ソース別のトップイベント > HTTP DDoSルールまでスクロールします。
- ルール名をコピーします。
- ゾーンに移動し、セキュリティ > DDoSを選択し、DDoSオーバーライドを展開を選択します。追加のオーバーライドを展開できない場合は、既存のオーバーライドを編集してルール設定を調整します。
- ルールを参照を選択し、検索フィールドにルール名を貼り付けます。
- ルールの感度レベルを_基本的にオフ_に減少させるか、ルールアクションを_ログ_に変更します(現在のプランとサブスクリプションがサポートしている場合)。
- 次へを選択し、次に保存を選択します。
保存されると、ルールは1〜2分以内に有効になります。ルールの調整は即座に効果を発揮し、分析ダッシュボードで確認できます。
後で、偽陽性を引き起こしているルールの感度レベルを変更して将来の問題を避け、ルールアクションをデフォルト値に戻すことができます。
高感度レベルでDDoS管理ルールが何をするかを確認しながら、低感度レベルで攻撃をブロックして保護されるために、Advanced DDoS保護のお客様は、低感度で攻撃をブロックする最初のオーバーライドを作成することができ、高感度でログを取る2番目のオーバーライドを作成できます。
オーバーライドはその順序で設定する必要があります。そうでないと、機能しません。これは、オーバーライドが順番に評価され、両方の式と感度に一致する最初のオーバーライドで停止するためです。オーバーライドを誤った順序で設定すると、高感度のLogオーバーライドがすべてのインスタンスに一致してしまいます。その結果、Cloudflareはその後ろに配置されるBlockオーバーライドを評価しなくなり、すべてのルールがLogモードに設定されることになります。
式なしのオーバーライドが一致した場合、Cloudflareはその後に続く式を評価しません。