高度なTCP保護
Cloudflare高度なTCP保護は、flowtrackd ↗によって提供されるステートフルTCPインスペクションエンジンであり、ランダム化されたACKフラッドやSYNおよびSYN-ACKフラッドなどの高度なアウトオブステートTCP攻撃を検出し、軽減するために使用されます。
高度なTCP保護は、異なる種類の攻撃に同時に対処できます:
- 特定の宛先IP/ポートの組み合わせをターゲットにした攻撃。
- 同時にIPプレフィックスの複数のIPアドレスをターゲットにした広範な攻撃。
高度なTCP保護は、Cloudflareデータセンター間で移動するTCP接続を追跡できます。
高度なTCP保護は、すべてのMagic Transit顧客に提供されており、デフォルトでは無効になっています。より単純なTCPベースのDDoS攻撃に対する保護も、ネットワーク層DDoS攻撃保護管理ルールセットの一部として含まれています。
高度なTCP保護を始めるには、セットアップを参照してください。
高度なTCP保護は、2種類の保護を提供します:
- SYNフラッド保護: 完全にランダム化されたSYNおよびSYN-ACKフラッドなどの攻撃から保護します。
- アウトオブステートTCP保護: 完全にランダム化されたACKフラッドやRSTフラッドなどのアウトオブステートTCP DDoS攻撃から保護します。
各保護タイプは、ルールと(オプションで)フィルターを使用して独立して構成されます。高度なTCP保護を有効にする前に、各保護タイプについて少なくとも1つのルールを構成する必要があります。
このシステムは、完全にランダム化されたSYNおよびSYN-ACKフラッドなどの攻撃から保護します。高度なTCP保護を有効にする前に、少なくとも1つのSYNフラッドルールを構成する必要があります。
軽減モードでは、SYNフラッドルールは、設定されたパケット毎秒の閾値を超える新しい接続開始要求(SYN、SYN-ACK)に対して挑戦します。閾値は、ネットワークが受信する正当なSYNおよびSYN-ACKパケットの通常のレートよりも高く設定する必要があります。閾値未満のパケットは挑戦されません。レート感度およびバースト感度の設定を使用して、SYNおよびSYN-ACKパケットの許容度を増減できます。
SYNフラッドルールの構成設定に関する詳細は、ルール設定を参照してください。
このシステムは、完全にランダム化されたACKフラッドやRSTフラッドなどのアウトオブステートTCP DDoS攻撃から保護します。高度なTCP保護を有効にする前に、1つのアウトオブステートTCPルールを構成する必要があります。
軽減モードでは、アウトオブステートTCPルールは、設定された閾値を超える場合、既存の(追跡された)TCP接続に属さないアウトオブステートパケットをドロップします。閾値は、ネットワークが受信する非SYNまたはSYN-ACK TCPパケットの通常のレートよりも高く設定する必要があります。閾値未満のパケットは評価されません。レート感度およびバースト感度の設定を使用して、アウトオブステートTCPパケットの許容度を増減できます。
アウトオブステートTCPルールの構成設定に関する詳細は、ルール設定を参照してください。