スペクトラムのDDoS保護

スペクトラムは、OSIモデル ↗のレイヤー3-4でDDoS保護を提供します。これは、TCPおよびUDPベースのDDoS攻撃に対するものです。

スペクトラムはレイヤー4のリバースプロキシとして機能するため、トラフィックがオリジンにプロキシされる前に、まず適切なTCP接続を確立する必要があります。これにより、SYNまたはSYN-ACKリフレクション攻撃の影響がCloudflareのグローバルネットワークに移動します。さらに、アプリケーションの前にスペクトラムを使用することで、オリジンIPが隠され、攻撃者がオリジンサーバーを直接標的にすることを防ぎます。また、Cloudflareに移行した後はオリジンIPアドレスを変更し、CloudflareのIPアドレス範囲 ↗からのトラフィックのみを受け入れるようにロックダウンすることをお勧めします。

クライアントとCloudflareの間に正当なTCP接続がまだ確立されていない場合、ランダムまたは州外のTCPパケットはオリジンに渡されるべきではありません。スペクトラムは、Linuxネットワーキングスタックの一部としてSYNクッキーのチャレンジを活用 ↗して、フラッド攻撃に対抗します。

さらに、特定のプロトコルが不明なパケットの洪水がアプリケーションを標的にした場合（たとえば、スペクトラムアプリケーションがTCPトラフィック用で、UDPフラッドがスペクトラムアプリケーションを標的にする場合）、パケットはドロップされます。同様に、指定していないポートまたはポート範囲を標的にしたパケットもドロップされます。

L3/4 DDoS攻撃は、デフォルトで有効になっているネットワーク層DDoS攻撃保護管理ルールセットによって検出され、軽減されるべきです。このルールセットは、パケットヘッダーフィールドに基づいて攻撃を動的にフィンガープリンティングすることによってDDoS攻撃を検出し、軽減します。

HTTP/SアプリケーションをL7 DDoS攻撃から保護し、キャッシングや追加機能の恩恵を受けるために、CloudflareのWebアプリケーションファイアウォール/コンテンツデリバリーネットワークサービスにアプリケーションをオンボードしてください。これはCloudflare Spectrumと連携して機能します。

詳細については、Cloudflare DDoS保護を参照してください。