開発者ドキュメント

CloudFlareを使用してWebサイトに対するDDoS攻撃を軽減する方法

序章

CloudFlareは、Webサイトのリバースプロキシとして機能することにより、コンテンツ配信ネットワーク(CDN)と分散DNSサービスを提供する会社です。 CloudFlareの無料および有料のサービスは、さまざまな方法でWebサイトのセキュリティ、速度、および可用性を向上させるために使用できます。 このチュートリアルでは、CloudFlareの無料利用枠サービスを使用して、「I’m Under Attack Mode」を有効にすることにより、進行中のHTTPベースのDDoS攻撃からWebサーバーを保護する方法を示します。 このセキュリティモードでは、インタースティシャルページを表示して、接続の正当性を確認してからWebサーバーに渡すことにより、DDoS攻撃を軽減できます。

前提条件

このチュートリアルは、次のものがあることを前提としています。

続行する前に、CloudFlareアカウントにもサインアップする必要があります。 このチュートリアルでは、CloudFlareのネームサーバーを使用する必要があることに注意してください。

CloudFlareを使用するようにドメインを構成する

CloudFlareの機能を使用する前に、CloudFlareのDNSを使用するようにドメインを構成する必要があります。

まだ行っていない場合は、CloudFlareにログインします。

Webサイトを追加し、DNSレコードをスキャンします

ログイン後、 Get Started withCloudFlareページに移動します。 ここで、あなたはあなたのウェブサイトをCloudFlareに追加しなければなりません:

CloudFlareを使用するドメイン名を入力し、スキャン開始ボタンをクリックします。 次のようなページが表示されます。

これには約1分かかります。 完了したら、続行ボタンをクリックします。

次のページは、DNSレコードスキャンの結果を示しています。 CloudFlareがドメインへのリクエストを解決するために使用するレコードであるため、既存のDNSレコードがすべて存在することを確認してください。 この例では、 cockroach.nyc ドメインとして:

Webサーバーを指すAレコードとCNAMEレコードの場合、Status列には矢印の付いたオレンジ色の雲が表示されている必要があります。 これは、トラフィックがサーバーに到達する前にCloudFlareのリバースプロキシを通過することを示しています。

次に、CloudFlareプランを選択します。 このチュートリアルでは、無料プランオプションを選択します。 追加のCloudFlare機能が必要なために別のプランにお金を払いたい場合は、遠慮なくそうしてください:

ネームサーバーを変更する

次のページには、ドメインの現在のネームサーバーとそれらを変更する必要があるものの表が表示されます。 それらのうちの2つをCloudFlareネームサーバーに変更し、残りのエントリを削除する必要があります。 ドメインがDigitalOceanネームサーバーを使用している場合のページの例を次に示します。

ドメインのネームサーバーを変更するには、ドメインレジストラのコントロールパネルにログインし、CloudFlareが提示したDNSの変更を行います。 たとえば、GoDaddyやNameCheapなどのレジストラを介してドメインを購入した場合は、適切なレジストラのコントロールパネルにログインし、そこで変更を加える必要があります。

プロセスは、特定のドメイン登録事業者によって異なります。 これを行う方法がわからない場合は、共通ドメインレジストラからDigitalOceanネームサーバーをポイントする方法で説明されているプロセスと似ていますが、DigitalOceanの代わりにCloudFlareネームサーバーを使用する点が異なります。

この例では、ドメインはDigitalOceanのネームサーバーを使用しており、CloudFlareのDNSを使用するようにドメインを更新する必要があります。 ドメインはNameCheapを介して登録されたため、ネームサーバーを更新する必要があります。

ネームサーバーの変更が終了したら、続行ボタンをクリックします。 ネームサーバーの切り替えには最大24時間かかる場合がありますが、通常は数分しかかかりません。

ネームサーバーが更新されるのを待つ

ネームサーバーの更新には予測できない時間がかかるため、次のページが表示される可能性があります。

保留中ステータスは、CloudFlareがネームサーバーが指定したものに更新するのを待っていることを意味します(例: olga.ns.cloudflare.comrob.ns.cloudflare.com). ドメインのネームサーバーを変更した場合は、しばらく待って、後でアクティブステータスを確認するだけです。 ネームサーバーの再確認ボタンをクリックするか、CloudFlareダッシュボードに移動すると、ネームサーバーが更新されているかどうかが確認されます。

CloudFlareはアクティブです

ネームサーバーが更新されると、ドメインはCloudFlareのDNSを使用し、次のようにアクティブステータスになります。

これは、CloudFlareがWebサイトのリバースプロキシとして機能しており、サインアップした価格帯で利用可能な機能にアクセスできることを意味します。 このチュートリアルのように、無料層を使用している場合は、サイトのセキュリティ、速度、および可用性を向上させることができるいくつかの機能にアクセスできます。 進行中のDDoS攻撃の軽減に重点を置いているため、このチュートリアルのすべての機能については説明しませんが、CDN、SSL、静的コンテンツキャッシュ、ファイアウォール(トラフィックがサーバーに到達する前)、およびトラフィック分析ツールが含まれます。

また、ドメインのすぐ下にある設定の概要には、Webサイトの現在のセキュリティレベル(デフォルトでは中)とその他の情報が表示されます。

続行する前に、CloudFlareを最大限に活用するには、次のガイドに従うことをお勧めします:すべてのCloudFlareユーザーに推奨される最初のステップ。 これは、CloudFlareが許可したいサービスからの正当な接続を許可し、Webサーバーログに(CloudFlareのリバースプロキシIPアドレスではなく)元の訪問者IPアドレスが表示されるようにするために重要です。

すべての設定が完了したら、CloudFlareファイアウォールの I’m Under AttackMode設定を見てみましょう。

攻撃モードになっています

デフォルトでは、CloudFlareのファイアウォールセキュリティはMediumに設定されています。 これにより、中程度の脅威と評価された訪問者に対して、サイトへのアクセスを許可する前にチャレンジページを提示することで、ある程度の保護が提供されます。 ただし、サイトがDDoS攻撃の標的である場合は、サイトの運用を維持するには不十分な場合があります。 この場合、攻撃モード中が適切な場合があります。

このモードを有効にすると、Webサイトへの訪問者には、ブラウザチェックを実行し、訪問者をサーバーに渡す前に約5秒間遅延させるインタースティシャルページが表示されます。 次のようになります。

チェックに合格すると、訪問者はあなたのWebサイトにアクセスできます。 多くの場合、悪意のある訪問者がサイトに接続するのを防ぎ、遅らせることで、DDoS攻撃中であってもサイトを稼働させ続けることができます。

注:サイトへの訪問者は、インタースティシャルページを渡すためにJavaScriptとCookieを有効にする必要があります。 これが受け入れられない場合は、代わりに「高」ファイアウォールセキュリティ設定を使用することを検討してください。

サイトがDDoS攻撃の被害者である場合にのみ、攻撃モードを有効にする必要があることに注意してください。 それ以外の場合は、オフにして、通常のユーザーが理由なくWebサイトにアクセスするのを遅らせないようにする必要があります。

攻撃モードになっていることを有効にする方法

I’m Under Attack Mode を有効にする場合、最も簡単な方法は、CloudFlareの概要ページ(デフォルトページ)に移動し、クイックアクションメニューから選択することです。

セキュリティ設定はすぐにI’mUnderAttackステータスに切り替わります。 これで、サイトへの訪問者には、上記で説明したCloudFlareインタースティシャルページが表示されます。

無効にする方法私は攻撃モードになっています

私は攻撃モードにありますはDDoS緊急時にのみ使用する必要があるため、攻撃を受けていない場合は無効にする必要があります。 これを行うには、CloudFlareの概要ページに移動し、無効ボタンをクリックします。

次に、切り替えたいセキュリティレベルを選択します。 デフォルトで一般的に推奨されるモードはMediumです。

サイトはアクティブステータスに戻るはずであり、DDoS保護ページは無効になります。

結論

WebサイトがCloudFlareを使用しているので、HTTPベースのDDoS攻撃からWebサイトを簡単に保護するための別のツールがあります。 無料のSSL証明書など、CloudFlareが提供する他のさまざまなツールもセットアップに興味があるかもしれません。 そのため、オプションを調べて、何が役立つかを確認することをお勧めします。

幸運を!

モバイルバージョンを終了