ランダムプレフィックス攻撃の緩和
Random prefix attacks are when someone sends a lot of traffic to subdomains that are highly unlikely to exist (12345.example.com, abcdefg.example.com), but are still associated with your main domain (example.com).
Usually, a DNS query to each random subdomain (or prefix) is not repeated, so it cannot be cached by resolvers or any other proxies and always reaches the authoritative nameservers. Rate limiting or blocking queries based on source IP can introduce a high amount of false positives, since random prefix attacks commonly are conducted via public resolvers. This makes these attacks particularly effective and hard to mitigate.
DNSファイアウォールの一環として、Cloudflareは、攻撃の一部と判断されたDNSクエリをブロックすることによって、上流の権威あるネームサーバーをこれらの攻撃から保護し、リソースを過負荷にすることで損害を引き起こす可能性のある権威あるネームサーバーに到達するのを防ぎます。この保護は、誤検知の可能性があるため、オプトイン機能です。
誤検知の影響を軽減するために、Cloudflareはパブリックサフィックスリスト ↗上のゾーンまたはその直下のドメインをブロックしません。たとえば、これはexample.comやexample.co.ukのようなドメインへのクエリは、自動ランダムプレフィックス攻撃の緩和によってブロックされないことを意味します(ただし、他の内部の緩和策が大規模な攻撃を検出してブロックする可能性があります)。
さらに、自動緩和のデフォルト設定は、上流の権威あるネームサーバーが応答しない(おそらく攻撃によって過負荷になっている)と判断された場合にのみ展開されることを保証します。これは、あなたの権威あるネームサーバーがランダムプレフィックス攻撃中にトラフィックを処理できる限り、Cloudflareは誤検知を避けるためにクエリを積極的にブロックしないことを意味します。この設定は"only_when_upstream_unhealthy"と呼ばれ、セットアップ中に明示的に無効にされない限り、常に真です。
Cloudflareは、上流のネームサーバーにどのドメインやサブドメインがDNSレコードとして存在するかを知らないため、この機能は影響を受けるサブドメインへのDNSクエリをブロックすることで、上流のネームサーバーが影響を受けないサブドメインへのDNSクエリに応答し続けることを可能にする最善の努力アプローチを取ります。