オリジンIPアドレスを保護する
Cloudflareは、DNSレコードをプロキシする際に自動的にオリジンサーバーのIPアドレスを隠しますが、IPアドレスを発見する他の方法も存在します。
攻撃者がオリジンのIPアドレスを発見するのを防ぐために、以下の提案を確認してください。
DNSレコードは公開ドメインにあり、DNSレコードをプロキシしても、誰かがあなたのアドレスの過去の記録を発見する可能性があります。
追加のセキュリティのために、オリジンサーバーのIPアドレスをローテーションすることができ、これにはCloudflare内でDNSレコードを更新する必要があります。
プロキシされていないDNSレコード、別名DNS-onlyレコードは、特にFTPやSSHに使用されるものは、オリジンIP情報を含むことがあります。
これらのレコードを確認し、オリジンIP情報が含まれていないことを確認するか、Cloudflare Spectrumを使用してこれらのレコードをプロキシしてください。
オリジンIP情報を含むDNS-onlyレコードを持つ必要がある場合は、これらのレコードに非標準の名前を使用してください。このアクションにより、DNSの辞書スキャンによってオリジンIPアドレスが露出する可能性が低くなります。
例えば、ftp.example.comの代わりに827450184590183489.example.comやcloudflare-docs-are-great.example.comを使用することができます。
If possible, do not host a mail service on the same server as the web resource you want to protect, since emails sent to non-existent addresses get bounced back to the attacker and reveal the mail server IP address.
Cloudflare recommends using non-contiguous IPs from different IP ranges.