投稿者「PageMaster」のアーカイブ

IPアドレスから判る事(IPアドレス、ポート開放状況、回線速度、利用CDN)

IPアドレスを調べると、色々な事が判ります。

ここではIPアドレスの解説から、利用しているCDNは何か?までの色々な情報の調査方法を解説します。

1.IPアドレスとは

2.利用しているIPアドレスを調べる方法

3.インターネットからのポート開放状況を調べる方法

4.利用している回線のスピードを計測する方法

5.URLから利用しているCDNを調査する方法

1.IPアドレスとは

IPアドレスはインターネット回線の住所で[IPv4アドレス]と[IPv6アドレス]があります。

 IPv4アドレス  

IPアドレス長は32ビットを使用します。

表記方法は32ビットを8ビット毎にピリオド(.)で区切り10進数に変換して表しています。

例)http://49.239.73.208:ポート番号

 

インターネットに接続される機器は[グローバルIP]と[プライベートIP]を使って識別します。

グローバルIP 例) 49.239.73.208

これはインターネット上の住所で、上記の例ではIIJ(株式会社インターネットイニシアティブ)が所有している回線で、東京周辺で利用されている事が判ります。

しかしこの回線の下にある機器が特定できないので、そこに登場するのが[プライベートIP]です。

②プライベートIP 例) 192.168.1.100

これは回線の中にある機器を特定するためのアドレスです。

[192.168.1]がネットワーク部で、この中に0~255のホストを定義でき、[100]がデバイスに与えられたホストアドレスになります。

以上で[49.239.73.208]の回線の下にある[192.168.1.100]のアドレスを持つ機器が特定されます。

 

 IPv6アドレス  

IPアドレス長は128ビットを使用します。

表記方法は128ビットを16ビットごとにコロン(:)で区切り16進数で表しています。

例)http://[2408:212:867:b400:211:32ff:fea2:ae18]:ポート番号

※IPv6アドレスを[]で括る事がポイントになります。

 

IPv6は何処の回線の下にあるどの機器かを1つのアドレスの中に定義する事ができます。

上記の例の[2408:212:867:b400:211:32ff:fea2:ae18]は回線部が[2408:212:867:b400]で、この回線は株式会社NTT-MEが所有している東京周辺にある回線で、[211:32ff:fea2:ae18]という機器が使っているアドレスを表します。

尚、[211:32ff:fea2:ae18]部分をインタフェース IDと呼び、このアドレスは機器のMACアドレスから自動生成されます。

 

2.利用しているIPアドレスを調べる方法

 PCやスマホが利用しているIPアドレスを調べる方法

PCやスマホからインターネットにアクセスした時に利用されたIPアドレスは、下記の方法で調べる事ができます。

①[IPアドレス確認]を実行します。

表示された画面にIPv4、IPv6アドレスが表示されます。

②[プロバイダ判別]を実行します。

表示された画面に利用している回線のプロバイダ情報が表示されます。

 メモ

PCやスマホにはIPv4アドレスとIPv6アドレスが割り振られています。

そこでアクセスするWebサーバがIPv6対応の場合は、IPv6ネットワークが優先して利用されます。

スマホの電話回線のインターネットアクセスのデフォルトはIPv4です。

そこでスマホのアクセスポイントの設定で[APNプロトコル]を[IPv4/IPv6併用]に設定するとIPv6も利用できる様になります。

 

 サーバが利用しているIPアドレスを調べる方法

Webサーバに割り振られているIPアドレスはSSH接続で調べられます。

SSHの使い方の事例は[Synology NASをSSHでアクセスする方法]を参考にしてください。

①IPv4アドレス

コンソール画面に[curl]コマンドで下記を実行するとIPv4アドレスが表示されます。

××$ curl ipv4.icanhazip.com

②IPv6アドレス

コンソール画面に[curl]コマンドで下記を実行するとIPv6アドレスが表示されます。

××$ curl icanhazip.com

以上でサーバに設定されているIPv4、IPv6アドレスが確認できます。

 

3.インターネットからのポート開放状況を調べる方法

私の自宅のWebサーバ環境は下図の様になっており、この回線のポート開放状況を調べます。

■[Webサーバ①]は、GMOとくとくBBのPPPoE回線に接続されており、外部にオリジンIPは公開されています。このサーバは昔のサーバで各種の検証が済み次第、削除します。

■[Webサーバ②]は、本番サーバでV6プラスの回線を使って[CloudflareのCDN]とトンネル接続されており、オリジンIPは非公開です。

上記の様な環境でオリジンIPが外部からどの様なポート番号でアクセスできるのか?を調べるツールが下記になります。

 IPv4回線の解放ポートを調べる方法

[https://portscan.flexion.jp/]をアクセスすると下記画面が表示されます。

検索方法は[選択]で下記の検索方法を選択できます。

ポート番号個別指定(デフォルト)

デフォルトで80,443,110,587がセットされています。

ここにスキャンしたいポート番号を指定します。複数指定はカンマで区切ります。

編集が終わったらスキャンを実行します。

[サーバポート]を選択

デフォルトでサーバに使われる21, 22, 23, 25, 53, 80, 110, 143, 443, 445, 465, 587, 993, 995, 1433, 1701, 1723, 3306, 5432, 8008, 8443, 10000がセットされています。

これを編集してスキャンを実行します。

[アプリケーションポート]を選択

デフォルトでアプリケーションに良く使われる515, 631, 3282, 3389, 5190, 5050, 1863, 6891, 1503, 5631, 5632, 5900がセットされています。

これを編集してスキャンを実行します。

上図の事例では[GMOとくとくBB]と[V6プラス]のIPv4アドレスの解放ポートを調べる事ができます。

 メモ

上記のツールでスキャンして判った事

①GMOとくとくBB回線

NTTのゲートウェイはデフォルトでIPv4ファイアウオール機能が働いており、[静的IPマスカレード設定]で指定したポート番号だけがOPENになりました。

②V6プラス回線

V6プラス回線は利用できるポート番号が回線毎に決まっており、80,443は利用できない仕様になっています。

そこで利用できるポート番号も含めて調べてみると総てのポートが閉じていました。

利用できるポート番号を[ポートマッピング設定]で転送先を指定するとOPENになりました。

 

 IPv6回線の解放ポートを調べる方法

[http://www.ipv6scanner.com/cgi-bin/main.py]をアクセスすると下記画面が表示されます。

・上図の赤下線のアドレスの説明

ここに、このサイトにアクセスしたPCのIPv6アドレスが表示されます。

このアドレスで何回かスキャンすると検索できなくなります(1日のアクセス回数が決まっています)

制限に引っ掛かった場合はテザリングアクセス等に切り替えて再度アクセスして下さい。

・アドレス指定欄に検索したい[WebサーバのIPv6アドレス]を入力します。

・[I am authorized to initiate this port scan]にを付けると[Scan]ボタンが利用できる様になります。

・スキャン方法には下記2つがあります。

[Common server port]デフォルト

TCPポート番号 21, 22, 23,  25, 53, 80, 110, 137, 138, 139, 443, 445, 587, 993, 995, 1080, 1443, 1701, 1723, 3306, 5432, 8000, 8080, 11211をスキャンします。

[Specific port]を選択

任意のTCP、UDPのポート番号を指定してスキャンします。

・[Scan]ボタンを挿入し、スキャンを実行します。

 メモ

上記のツールでスキャンした結果判った事

IPv6のポート番号をブロックする為には[IPv6ファイアウオール]を利用します。

1.Webサーバ②の手前のNECのルータの[IPv6ファイアウオール]をONにした時の結果。

Webサーバ②は、総てのポートがブロックされます。

Webサーバ①は、22,53,80,139,443,445のポートがオープンになります。

2.NTTのHGWの[IPv6ファイアウオール]をONにした時の結果。

Webサーバ①も②も総てのポートがブロックされます。

※ClpoudflareのCDNとWebサーバをトンネル接続すると80、443ポートは使用しないので総てのポートをブロックしても問題が無くなります。

 

4.利用している回線のスピードを計測する方法

回線スピードを計測するツールは色々ありますがCloudflareのツールがかなり優れています。

 

[Cloudflare Radar My Connction] にアクセスし、表示された画面の下図の[Cloudflare Speed Test]欄にある[Test my connection]ボタンを挿入すると回線スピード測定が開始されます。

■上記の計測ツールは100kB、1MB、10MB、25Mのデータ等の複数のデータサイズで計測し、総合的な性能を計測してくれる優れたツールです。

 回線スピード測定時の注意

スピード計測に当たっては[1.1.1.1 with WARP]は利用しないで下さい。

WARP接続はPCとCloudflare間にトンネルを張りますので、回線自体の性能が測定できません。

計測は有線LAN接続で計測します。これがWebサーバの回線スピードになります。

Wi-Fiの2.4GHzや5GHzでの計測はPCでアクセスする時の参考情報です。

 

尚、この[Cloudflare Radar]は全世界のインターネット通信を監視しそのレポートを公開しているサイトです。

日本のインターネットのセキュリティ情報も見れるので是非、参考にしてください。

 

5.URLから利用しているCDNを調査する方法

[CDNベンダ一覧]

順位 業者名 解説
1 CloudFlare [1.1.1.1]を提供している米国のCloudFlare社が提供しているCDNサービス。

CDN機能だけでなく[IPv6対応]、[DDoS対策]、[WAF対策]、[ボット対策]がデフォルトでバンドルされているのが特徴です。

更に無償版もあるので個人宅や小企業でもCDNが利用できるメリットもあります。
2 CloudFront Amazon社が提供しているAWSと連携しているCDNサービス。

AWS Shield Standardの利用でDDoS攻撃から保護できますが、従量課金の場合に利用料が上がる危険性があり、他のサービスを使う等の注意が必要になる。
3 Akamai CDN事業の先駆者的な位置づけの知名度の高いCDNサービスで米国のAkamai社が提供しています。

Akamai WAFを合わせて導入する事により[DDoS対策]、[WAF対策]、[ボット対策]が行えるようになる。
4 Fastly 米国のFastly社が提供しているCDNサービス。

[DDoS対策]はCDNに含まれ[WAF対策]はFastly WAFで対応している。
5 J-Stream 日本のJ-Stream社が提供しているCDNサービス。

[DDoS対策]、[WAF対策]は別ソリューションを提案している。
6 IIJ GIO 日本の通信事業者のIIJが提供するCDNサービス。

[DDoS対策]、[WAF対策]は別途契約が必要になる。
番外 Cloud CDN Google社が提供するCDNで、動画用にはMedia CDNを提供している。

Google Cloud Armorを利用する事により[DDoS対策]、[WAF対策]が行える
番外 Incapsula

(インカプシュラ)

 米国のImperva社が提供するCDNサービスです。

[DDoS対策]、[WAF対策]をバンドルしています。

■上表のCDNベンダは[JPドメインのCDNシェア(2023年10月調査)]で検知されたCDNベンダをベースに選択しました。(上記以外にもたくさんあります)

■上位3社(Cloudflare~Akamai)で市場の90%のシェアを占めるという一部のCDNベンダの寡占状態の市場になっています。

 

CDNベンダを調べる方法

[クライアント]と[Webサーバ]の間に[CDN業者のネットワーク]が入るのがCDN(Contents Delivery Network)です。

よってWebサーバのURLのIPアドレスを調べると、何処のCDNを利用しているかが判ります。

①[IPアドレス検索]でWebサイトのURLを指定して検索する

上記でWebサイトのIPアドレスから利用しているCDN業者が判ります。

②[DNS情報取得]でWebサイトのURLを指定して検索する

上記でCDN事業者との接続方法が判ります。

業者名 解説
CloudFlare [IPアドレス検索]でURLを検索すると、ISPが[Cloudflare]になっています。

[DNS情報取得]でURLを検索すると、CNAMEレコードがあれば[CNAMEセットアップ]、なければ[フルセットアップ]になります。

[CNAMEセットアップ]はDNSに対するDDoS攻撃に対応できません解説資料を参照

[CNAMEセットアップ]のサンプルサイト 防衛省京都府滋賀県庁宮崎県庁

[フルセットアップ]サンプルサイト ウクライナ国総省

上記のURLで検索してレコードの違いを確認して下さい。
CloudFront [IPアドレス検索]でURLを検索すると、ISPが[Amazon.com, Inc.]になっています。

[DNS情報取得]でURLを検索すると、CNAMEレコードに[xxxx.cloudfront.net]があります。

サンプルサイト 農林水産省
Akamai [IPアドレス検索]でURLを検索すると、ISPが[Akamai Technologies, Inc.]になっています。

[DNS情報取得]でURLを検索すると、CNAMEレコードに[サイトURL.edgekey.net]と[xxxx.akamaiedge.net]があります。

サンプルサイト 経済産業省
Fastly [IPアドレス検索]でURLを検索すると、ISPが[Fastly, Inc.]になっています。

[DNS情報取得]でURLを検索すると、CNAMEレコードに[xxxx.fastly.net]があります。

サンプル 茨城県庁
J-Stream [IPアドレス検索]でURLを検索すると、ISPが[J-Stream Inc.]になっています。

[DNS情報取得]でURLを検索すると、CNAMEレコードに[xxxx.stream.ne.jp]があります。

サンプルサイト 福井県庁
IIJ GIO [IPアドレス検索]でURLを検索すると、ISPが[Internet Initiative Japan Inc.]になっています。

[DNS情報取得]でURLを検索すると、CNAMEレコードに[xxxx.iijgio.jp]があります。

サンプルサイト 埼玉県庁
Cloud CDN [IPアドレス検索]でURLを検索すると、ISPが[Google Cloud Platform]になっています。

[DNS情報取得]でURLを検索すると、CNAMEレコードに[xxxx.stech-gisc.jp]があります。

サンプルサイト 青森県庁
Incapsula [IPアドレス検索]でURLを検索すると、ISPが[Incapsula Inc]になっています。

[DNS情報取得]でURLを検索すると、CNAMEレコードに[xxxx.impervadns.net]があります。

サンプルサイト 国土交通省

 

Cloudflareが提供するDNSとは

DNSとはアクセスするURLに対するIPアドレスを返すものでインターネットアクセスには不可欠なものです。

ここでは下記項目で解説します。

1.DNS(Domain Name System)とは

2.Cloudflareが無償で提供しているDNSは

1.DNS(Domain Name System)とは

ブラウザから[URL]をDNS(Domain Name System)に問い合わせると、この[URL]に対応する[IPアドレス]を返してくれので、ブラウザはWebサイトにアクセスする事ができます。

このDNSは下図の様に複数のサーバから構成されています。

1.DNSリゾルバ

インターネットを開通させるとISPの[DNSリゾルバ]がデフォルトでデバイスに設定されます。

[DNSリゾルバ]は上図の様に[DNSルートネームサーバ]→[TLDネームサーバ]を検索し、最後の[権威DNSサーバ]からWEBサーバのIPアドレスを取得してクライアントに返します。

 

しかしISPの[DNSリゾルバ]はセキュリティ的に弱く、アクセス速度も遅いという問題があります。

そこで登場したのが[パブリックDNSリゾルバ]で、Cloudflareの[1.1.1.1]、Googleの[8.8.8.8]、IBM連合のQuad9[9.9.9.9]及びCiscoの[208.67.222.222]がこれにあたります。

 

2.DNSルートネームサーバ

全世界に13個(サーバ数ではないです)あり、ICANN(Internet Corporation for Assigned Names and Numbers)と呼ばれる非営利団体によって管理されています。

ここでは(.com、.net、.org)などのルートドメインの下位ドメインを管理しているTLDネームサーバのアドレスを管理しており、このサーバのアドレスを返します。

 

3.TLDネームサーバ

このサーバはドメイン提供業者が管理しているサーバで、DNSルートネームサーバから与えられたドメインの下位ドメインを提供・管理しています。

このサーバにNSレコード等で権威DNSサーバの場所を管理しています。

 

4.権威DNSサーバ

これが狭義のDNSサーバ(ネームサーバ)で、WEBサーバやメールサーバを管理しているユーザが利用するサーバです。

この中に具体的なDNSレコード(A、AAAA、CNAME等)で取得したドメイン名、定義したサブドメイン名等にIPアドレスを定義します。

この権威DNSサーバには

・有償のDNSサーバ

・ドメイン提供業者が提供する無償のDNSサーバ

・Cloudflareの様にドメイン取得とは関係なしに無償で提供しているDNSサーバ

があります。

 

2.Cloudflareが無償で提供しているDNSは

Cloudflare社は下記のDNSを無償提供しています。

1.パブリックDNSリゾルバ

Cloudflare社は、下記の[パブリックDNSリゾルバ]を提供しており、機能詳細は下記のドキュメントを参照して下さい。

  パブリックDNSリゾルバ [1.1.1.1]とは

下記は[1.1.1.1]の機能に加えてマルウェア等のサイトをブロックする機能を持っています。

パブリックDNSリゾルバ [1.1.1.2]とは

下記は[1.1.1.2]の機能に加えてブラウザのセーフサーチ機能を自動でONにする機能を持っています。

パブリックDNSリゾルバ [1.1.1.3]とは

 

2.権威DNSサーバ

Cloudflare社は、ドメイン取得とは関係なしに権威DNSサーバを無償提供していますが、これはDNS機能以外にCDN(Contents Delivery Network)機能を持っています。

詳細は下記を参照して下さい。

CloudflareのCDNとは

 

DDoS対策はCloudflareのCDNだけで大丈夫か?

CloudflareのCDNにはDDoS対策が適用されますが、本当にCDNを利用するだけで良いのでしょうか?

DDoS攻撃の方法には下記の3種類があります。

1.DNSサーバに対する攻撃

2.グローバルIPに対する攻撃

3.オリジンIPに対する攻撃

1.DNSサーバに対する攻撃

これはURLで大量のデータを送り付ける攻撃です。

CloudflareのCDNの設定方法には[フルセットアップ]と[CNAMEセットアップ]があります。

[フルセットアップ]

CoudflareのDNSサーバにCDNを設定する方法なので、[DNSに対するDDoS攻撃]に対応できます

 

[CNAMEセットアップ]

この機能は[Business]または[Enterprise]版の機能で無料版にはありません。

設定方法は

・Cloudflare側でCDNの受け皿を作成する。

・現在利用している権威DNSサーバにCloudflareのCDNをCNAMEで指定する。

これによりCDN機能だけをCloudflareに任せる方法です。

よってCloudflareのDNSを利用していないので[DNSに対するDDoS攻撃]には対応できません

 

CDNが上記のどちらでセットアップされているか?は下記の方法で確認できます。

①サイトのURLを[IPアドレス検索]で検索すると、ISPに[Cloudflare]が表示されれば、CloudflareのCDNが利用されている事がわかります。

②次にサイトのURLを[DNS情報検索]で検索すると、設定されているレコードが表示されます。

ここに表示されている[A]や[AAAA]レコードは総てCloudflareのIPアドレスです。

次に[CNAME]レコードを調べます。

・[CNAME]レコードがなければ[フルセットアップ]です。

・[CNAME]レコードが[サイトのURL.cdn.cloudflare.net]で定義されていれば[CNAMEセットアップ]です。

 メモ

官公庁や都道府県市町村のHPでもCDNはかなり普及してきています。

その中にCloudflareも利用されていますが、残念ながら総てがCNAME接続でした。

この接続方法はDNSサーバに対するDDoS対策がありません。

[利用しているCDN]のサンプルサイトで確認して見て下さい。

自分で設定するのが一番確実ですが、Cloudflareのパートナーを利用する場合は注意して下さい。

 

2.グローバルIPに対する攻撃

[フルセットアップ]も[CNAMEセットアップ]もCDNから返されるグローバルIPは、CloudflareのIPアドレスなのでDDoS対策ができます。

 

3.オリジンIPに対する攻撃

これが一番厄介な攻撃です。

CloudflareのCDNを利用するとWebサーバの[オリジンIP]は外部からは判りません。

しかし世の中には[Shodan]や[Censys]等のツールがあり、これらを利用するとインターネット上にある色々な情報からオリジンIPを探すこともできます。

私のケースでは過去に使っていたSSL証明書からオリジンIPを知りえる事が可能である事が判りました。

 

そこでオリジンIPが判ったとしてもDDoS攻撃を受けなくする対策が必要になります。

①CloudflareとWebサーバ間の通信のIPアドレスを限定する方法

CloudflareのDNSにWebサーバをIPv4(Aレコード)又はIPv6(AAAAレコード)で登録するとCloudflareとWebサーバ間はCloudflareのIPアドレスで会話しています。

そこでファイアウオールにCloudflareで利用するIPアドレスだけ通信を許可する方法でDDoS攻撃をブロックできます。

Cloudflareが利用するIPアドレスは[https://www.cloudflare.com/ja-jp/ips/]で公開されています。

但し、この方法は変更履歴から判るようにIPアドレスは変わるので定期メンテが必要になります。

 

しかしEnterprise版を利用している場合はこの通信に利用するIPアドレスをユーザ固有のものに限定する事ができます。

よってEnterprise版の場合は、このIPアドレスをファイアウオールに設定する事でDDoS攻撃をブロックできます。

 

②CloudflareとWebサーバ間の通信をCloudflareトンネルで接続する方法

Cloudflareトンネルによる接続はポート番号の80/443を利用しません。

よってファイアウオールに80/443をブロックする設定でDDoS攻撃をブロックできます。

この方法は無償版でも利用できるので私はこの方法を利用しています。

 

 ご参考

私のWebサーバはCloudflareのCDNを[フルセットアップ]で利用し、CloudflareとWebサーバ間はトンネル接続としています。

尚、ファイアウオールの設定は80/443だけでなく、総てのポート番号をブロックしています。

設定方法と確認方法は[ポートのブロック]を確認して下さい。

その結果、DDoS攻撃だけでなく総ての悪意がある攻撃を行えない様にしています。

 

そうなると他の社内リソースにもインターネットからアクセスできなくなると思われますが、そこに登場するのがCloudflareのゼロトラストです。

これを利用し社内のローカルネットワークをゼロトラストにトンネル接続する事により、何処からでも社内リソースにアクセスするできる様にしています。

またWAFはCloudflareのデフォルトルールで守り、WordPressの管理者モードのブロックはWAFのカスタマイズではなく、これもCloudflareのゼロトラストのアクセスルールでブロックしています。

 

Cloudflareが提供するDNS+CDNとは

Cloudflare社が提供する[DNSサーバ]はDNS機能以外にCDN(Contents Delivery Network)機能を持っています。

下記項目で[DNS]と[CDN]について解説していきます。

1.DNSサーバとして利用する方法

2.DNS+CDNとして利用する方法

3.CDNを利用すると更に良くなる事

1.DNSサーバとして利用する方法

下記にDNSサーバとしての使い方を説明しますが、普通はCDNで利用するのでDNSとして利用するケースは考えられません

DNSサーバにWebサーバを登録し、プロキシを[OFF]にすると通常のDNSサーバになります。

下図の下がDNS接続の時の表示です。

その結果、Webアクセスは下図の様になり、[クライアント]と[Webサーバ]が直接会話します。

■WebサーバをAレコード(IPv4)で登録すると、IPv4網からアクセスするサーバになります。

■WebサーバをAAAAレコード(IPv6)で登録すると、IPv6網からアクセスするサーバになります。

 メモ

WebサーバとCloudflareの接続方法にはトンネルを使ったCNAME接続もありますが、CNAME接続でプロキシーをOFFにすると、クライアントに返すべきアドレスが無くなるのでDNSサーバとしては機能しません。

 

2.DNS+CDNとして利用する方法

DNSサーバにWebサーバを登録するとデフォルトはプロキシ済みのCDNになります。

■上の方の[プロキシー済み]がCDN接続になります。

CloudflareのCDN(Contents Delivery Network)接続のアクセスは下図の様になります。

CDN接続は、クライアントとWebサーバは直接会話しません。

[クライアント]と[Cloudflare]間

この間の通信は[IPv4]又は[IPv6]アドレスの何れでも可能です。

[Cloudflare]と[Webサーバ]間

この間はISPの[IPv4]、[IPv6]又はCloudflareの[トンネル]の何れかで接続します。

通信はCloudflareのIPアドレスで行われます。

 

その結果、[クライアント]はユーザーの近くにある[Cloudflare]のサーバから情報を受け取るようになり、この中に[HTMLページ]、[JavaScriptファイル]、[スタイルシート]、[画像]、[動画]を含むインターネットコンテンツがキャッシュされています。

キャッシュが無い場合はCloudflareがWebサーバから情報を入手し、キャッシュします。

よってCDNを利用するとWebサーバの性能は、Cloudflareの力を借りて性能を向上させる事ができる様になります。

 

3.CDNを利用すると更に良くなる事

CloudflareのCDNはコンテンツキャッシュ以外に下記の様な機能も併せて持っています。

1.IPv6対応

[クライアント]と[Cloudflare]間はIPv4でも、IPv6でも会話してくれます。

よってはWebサーバをIPv6対応しなくても、自動でIPv6対応Webサーバになります。

 

2.DDoS対策

DoS攻撃(Denial of Service attack)とは、ウェブサイトやサーバーに対して、大量のパケット送りつけるサイバー攻撃です。

DDoS攻撃(Distributed Denial of Service)は、上記を複数のコンピューターから行います。

CloudflareのCDNはDDoS攻撃をブロックしてくれます。

無償プランでも基本的なDDoS対策がありますが、有料プランになると更にDDoS対策が強化されます。

 

但し、DDoS攻撃には[オリジンIP]に対する攻撃もあり、この対応は[DDoS対策はCloudflareのCDNだけで大丈夫か?]を参照して下さい。

 

3.WAF対策

WAF(Web Application Firewall)とは、Webアプリケーションとインターネット間のHTTPトラフィックをフィルタリングおよびモニタリングすることで、Webアプリケーションを保護します。

CloudflareのWAFは無償プランでもデフォルトのルールセットで保護してくれます。

更に有料プランでは、Cloudflareのマネージドルールセット等の高度なWAF対策を提供しています。

 

4.ボット対策

ボットとは人間が操作するのではなく、ソフトウェアが自動で操作するアクセスです。

日本のインターネット通信の22%位がこのボットです。

ボットの中にはクローラーの様にWebサイトにどの様な情報があるのかをサーチしてくれる良いボットもありますが、Webサイトに悪さをするボットもあります。

DDoSもボットですが、これ以外の悪意あるボットもブロックしてくれるのがこの機能です。

 

 メモ

無料プランと有料プランで機能やサポート等がどの様に違うかは下記を参照して下さい。

https://www.cloudflare.com/ja-jp/plans/

表示された画面で下記をクリックすると画面が固定され見易くなります。

■更に[機能詳細]で表示カテゴリを指定すると更に見易くなります。

結論は、個人や小企業でセキュリティはCloudflareを信じる場合は無償版、企業ユースでCloudflareと一緒により高度なセキュリティ対策を行う場合は[Enterprise]版、ある程度、自分達で行うがCloudflareに色々教えてもらいたい場合は[Business]版ではないかと思います。

 

パブリックDNSリゾルバ [1.1.1.3]とは

このドキュメントを読む前に必ず下記ドキュメントを参照してください。

パブリックDNSリゾルバ [1.1.1.1]とは

パブリックDNSリゾルバ [1.1.1.2]とは

 

[1.1.1.3]は[1.1.1.2]のマルウェア等のサイトブロックに加えて、ブラウザの[セーフサーチ機能]を自動でONにする事によりアダルトサイトを表示させないDNSになります。

1. [1.1.1.3]を利用する方法

利用するDNSの設定はデバイスのプロパティの設定で下記を指定する事によって行います。

IPv4 IPv6
プライマリ セカンダリ プライマリ セカンダリ
1.1.1.3 1.0.0.3 2606:4700:4700::1113 2606:4700:4700::1003

しかし、上記は面倒なのでCloudflareの[1.1.1.1]アプリケーションを利用します。

 

1.[1.1.1.3]に切り替える方法

①画面の下にある歯車の隣のアイコンをクリックします。

下図は[1.1.1.1]モードの図ですが[1.1.1.1 with WARP]モードでも操作方法は同じです。

両者の違いは[接続方法の違い]を参照して下さい。

 

②表示された画面から[接続]を選択し、接続先を切り替えます。

■[マルウェアとアダルトコンテンツをブロック]を選択します。

以上で[1.1.1.1]モード又は[1.1.1.1 with WARP]モードでも[1.1.1.3]に接続されます。

 

2.確認方法

1.危険なサイトのブロックの確認

下記のURLクリックで確認して下さい。これは[1.1.1.2]と同じです。

カテゴリ URL
Command and Control & Botnet https://commandandcontrolandbotnet.testcategory.com
Cryptomining https://cryptomining.testcategory.com
Malware https://malware.testcategory.com
Phishing https://phishing.testcategory.com
Spam https://spam.testcategory.com

 

2.ブラウザの設定変更の確認

検索エンジン 確認URL
Google [https://www.google.com/safesearch]をアクセスします。

セーフサーチ画面が表示されますがOFFには出来ません。
Bing [https://www.bing.com/account/]をアクセスします。

セーフサーチ画面が表示されますがOFFには出来ません。
duckduckgo [https://duckduckgo.com/?t=h_&kp=1]でduckduckgoを起動します。

このブラウザはセーフサーチのON/OFFで制御していません。

よって、実際に[ヌード 動画]等で検索するとセーフサーチが機能している事が確認できます。
yandex [https://yandex.com/]でyandexを起動します。

このブラウザはセーフサーチのON/OFFで制御していません。

よって、実際に[ヌード 動画]等で検索するとセーフサーチが機能している事が確認できます。

 

 メモ

セーフサーチ機能を制御できるのは[Google]、[Bing]、[Yandex]、[DuckDuckGo]だけです。

[Yahoo Japan]や[Opera]等の検索エンジンはセーフサーチ機能を制御できません。

これらのアダルトコンテンツをブロックする為には[1.1.1.3]接続でなく、ZTNAすなわちゼロトラストに移行する必要があり、Cloudflare社は、これも50名までは無償で提供しています。