HOME  /Cloudflare
 /DDoS対策はCloudflareのCDNだけで大丈夫か?
2024年04月15日

DDoS対策はCloudflareのCDNだけで大丈夫か?

CloudflareのCDNにはDDoS対策が適用されますが、本当にCDNを利用するだけで良いのでしょうか?

DDoS攻撃の方法には下記の3種類があります。

1.DNSサーバに対する攻撃

2.グローバルIPに対する攻撃

3.オリジンIPに対する攻撃

1.DNSサーバに対する攻撃

これはURLで大量のデータを送り付ける攻撃です。

CloudflareのCDNの設定方法には[フルセットアップ]と[CNAMEセットアップ]があります。

[フルセットアップ]

CoudflareのDNSサーバにCDNを設定する方法なので、[DNSに対するDDoS攻撃]に対応できます

 

[CNAMEセットアップ]

この機能は[Business]または[Enterprise]版の機能で無料版にはありません。

設定方法は

・Cloudflare側でCDNの受け皿を作成する。

・現在利用している権威DNSサーバにCloudflareのCDNをCNAMEで指定する。

これによりCDN機能だけをCloudflareに任せる方法です。

よってCloudflareのDNSを利用していないので[DNSに対するDDoS攻撃]には対応できません

 

CDNが上記のどちらでセットアップされているか?は下記の方法で確認できます。

①サイトのURLを[IPアドレス検索]で検索すると、ISPに[Cloudflare]が表示されれば、CloudflareのCDNが利用されている事がわかります。

②次にサイトのURLを[DNS情報検索]で検索すると、設定されているレコードが表示されます。

ここに表示されている[A]や[AAAA]レコードは総てCloudflareのIPアドレスです。

次に[CNAME]レコードを調べます。

・[CNAME]レコードがなければ[フルセットアップ]です。

・[CNAME]レコードが[サイトのURL.cdn.cloudflare.net]で定義されていれば[CNAMEセットアップ]です。

 メモ

官公庁や都道府県市町村のHPでもCDNはかなり普及してきています。

その中にCloudflareも利用されていますが、残念ながら総てがCNAME接続でした。

この接続方法はDNSサーバに対するDDoS対策がありません。

[利用しているCDN]のサンプルサイトで確認して見て下さい。

自分で設定するのが一番確実ですが、Cloudflareのパートナーを利用する場合は注意して下さい。

 

2.グローバルIPに対する攻撃

[フルセットアップ]も[CNAMEセットアップ]もCDNから返されるグローバルIPは、CloudflareのIPアドレスなのでDDoS対策ができます。

 

3.オリジンIPに対する攻撃

これが一番厄介な攻撃です。

CloudflareのCDNを利用するとWebサーバの[オリジンIP]は外部からは判りません。

しかし世の中には[Shodan]や[Censys]等のツールがあり、これらを利用するとインターネット上にある色々な情報からオリジンIPを探すこともできます。

私のケースでは過去に使っていたSSL証明書からオリジンIPを知りえる事が可能である事が判りました。

 

そこでオリジンIPが判ったとしてもDDoS攻撃を受けなくする対策が必要になります。

①CloudflareとWebサーバ間の通信のIPアドレスを限定する方法

CloudflareのDNSにWebサーバをIPv4(Aレコード)又はIPv6(AAAAレコード)で登録するとCloudflareとWebサーバ間はCloudflareのIPアドレスで会話しています。

そこでファイアウオールにCloudflareで利用するIPアドレスだけ通信を許可する方法でDDoS攻撃をブロックできます。

Cloudflareが利用するIPアドレスは[https://www.cloudflare.com/ja-jp/ips/]で公開されています。

但し、この方法は変更履歴から判るようにIPアドレスは変わるので定期メンテが必要になります。

 

しかしEnterprise版を利用している場合はこの通信に利用するIPアドレスをユーザ固有のものに限定する事ができます。

よってEnterprise版の場合は、このIPアドレスをファイアウオールに設定する事でDDoS攻撃をブロックできます。

 

②CloudflareとWebサーバ間の通信をCloudflareトンネルで接続する方法

Cloudflareトンネルによる接続はポート番号の80/443を利用しません。

よってファイアウオールに80/443をブロックする設定でDDoS攻撃をブロックできます。

この方法は無償版でも利用できるので私はこの方法を利用しています。

 

 ご参考

私のWebサーバはCloudflareのCDNを[フルセットアップ]で利用し、CloudflareとWebサーバ間はトンネル接続としています。

尚、ファイアウオールの設定は80/443だけでなく、総てのポート番号をブロックしています。

設定方法と確認方法は[ポートのブロック]を確認して下さい。

その結果、DDoS攻撃だけでなく総ての悪意がある攻撃を行えない様にしています。

 

そうなると他の社内リソースにもインターネットからアクセスできなくなると思われますが、そこに登場するのがCloudflareのゼロトラストです。

これを利用し社内のローカルネットワークをゼロトラストにトンネル接続する事により、何処からでも社内リソースにアクセスするできる様にしています。

またWAFはCloudflareのデフォルトルールで守り、WordPressの管理者モードのブロックはWAFのカスタマイズではなく、これもCloudflareのゼロトラストのアクセスルールでブロックしています。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントはメニュの「Wordpress(応用編)タブ」か下記の関連記事一覧から探して下さい。

又、このサイトには、Google広告が掲載されています。

この記事が貴方の参考になりましたら、広告もご覧頂ければ幸いです。


<関連記事一覧>

「cloudflare」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

IPアドレスから判る事(IPアドレス、ポート開放状況、回線速度、利用CDN)

IPアドレスを調べると、色々な事が判ります。 ここではIPアドレスの解説から、利用しているCDNは何か?までの色々な情報の調査方法を解説します。 1.IPアドレスとは 2.利用しているIPアドレスを調べる方法 3.インタ […]

Cloudflareが提供するDNSとは

DNSとはアクセスするURLに対するIPアドレスを返すものでインターネットアクセスには不可欠なものです。 ここでは下記項目で解説します。 1.DNS(Domain Name System)とは 2.Cloudflareが […]

Cloudflareが提供するDNS+CDNとは

Cloudflare社が提供する[DNSサーバ]はDNS機能以外にCDN(Contents Delivery Network)機能を持っています。 下記項目で[DNS]と[CDN]について解説していきます。 1.DNSサ […]

パブリックDNSリゾルバ [1.1.1.3]とは

このドキュメントを読む前に必ず下記ドキュメントを参照してください。   パブリックDNSリゾルバ [1.1.1.1]とは   パブリックDNSリゾルバ [1.1.1.2]とは   [1.1.1.3]は[1.1. […]

パブリックDNSリゾルバ [1.1.1.1]とは

DNS(Domain Name System)は[ドメイン名]を[グローバルIP]に変換してくれるもので、インターネットアクセスには不可欠なものです。   1.ISPのDNSリゾルバ インターネットを開通させる […]

パブリックDNSリゾルバ [1.1.1.2]とは

このドキュメントを読む前に必ず下記ドキュメントを参照してください。   パブリックDNSリゾルバ [1.1.1.1]とは   Cloudflare社はインターネット通信を常時監視しアクセス状況やアタックの状況を […]

CloudflareのCDNにWebサーバを接続する方法とセキュリティ対策

WebサーバをCloudflareのCDN(DNS)に接続する方法には下記があります。 ①IPv4で接続する(Aレコード) ②IPv6で接続する(AAAAレコード) ③Cloudflareのトンネルで接続する(CNAME […]

 Cloudflareのアカウントの作成から各種の設定

ここではCloudflareの下記項目について解説しています。 1.Cloudflareのアカウントを作成する 2.ドメイン(サイト)の追加 3.クイック設定の確認 4.Webサーバの登録 5.Cloudflareアカウ […]

Cloudflareで利用するドメインをXServerから取得する

ここではXserverからドメイン名を取得する方法を解説しています。