HOME  /Cloudflare
 /DDoS対策はCloudflareのCDNだけで大丈夫か?
2024年04月07日

DDoS対策はCloudflareのCDNだけで大丈夫か?

CloudflareのCDNにはDDoS対策が適用されますが、本当にCDNを利用するだけで良いのでしょうか?

DDoS攻撃の方法には下記の3種類があります。

1.DNSサーバに対する攻撃

2.グローバルIPに対する攻撃

3.オリジンIPに対する攻撃

1.DNSサーバに対する攻撃

これはURLで大量のデータを送り付ける攻撃です。

CloudflareのCDNの設定方法には[フルセットアップ]と[CNAMEセットアップ]があります。

[フルセットアップ]

CoudflareのDNSサーバにCDNを設定する方法なので、[DNSに対するDDoS攻撃]に対応できます

 

[CNAMEセットアップ]

この機能は[Business]または[Enterprise]版の機能で無料版にはありません。

設定方法は

・Cloudflare側でCDNの受け皿を作成する。

・現在利用している権威DNSサーバにCloudflareのCDNをCNAMEで指定する。

これによりCDN機能だけをCloudflareに任せる方法です。

よってCloudflareのDNSを利用していないので[DNSに対するDDoS攻撃]には対応できません

 

CDNが上記のどちらでセットアップされているか?は下記の方法で確認できます。

①サイトのURLを[IPアドレス検索]で検索すると、ISPにCloudflareが表示されればCloudflareのCDNが利用されている事がわかります。

②次にサイトのURLを[DNS情報検索]で検索すると、設定されているレコードが表示されます。

ここに表示されているAやAAAAレコードは総てCloudflareのIPアドレスです。

次にCNAMEレコードを調べます。

・CNAMEレコードがなければ[フルセットアップ]です。

・CNAMEレコードが[サイトのURL.cdn.cloudflare.net]で定義されていれば[CNAMEセットアップ]です。

 メモ

官公庁や都道府県市町村のHPでもCDNはかなり普及してきています。

その中にCloudflareも利用されていますが、残念ながら総てCNAME接続でした。

これではDNSサーバに対するDDoS対策がありません。

自分で設定するのが一番確実ですが、Cloudflareのパートナーを利用する場合は注意して下さい。

 

2.グローバルIPに対する攻撃

[フルセットアップ]も[CNAMEセットアップ]もCDNから返されるグローバルIPは、CloudflareのIPアドレスなのでDDoS対策ができます。

 

3.オリジンIPに対する攻撃

これが一番厄介な攻撃です。

CloudflareのCDNを利用するとWebサーバの[オリジンIP]は外部からは判りません。

しかし世の中には[Shodan]や[Censys]等のツールが提供されており、これら利用するとインターネット上にある色々な情報からオリジンIPを探すことができます。

私のケースでは過去に使っていたSSL証明書からオリジンIPを知りえる事が可能である事が判りました。

 

そこでオリジンIPが判ったとしてもDDoS攻撃を受けなくする対策が必要になります。

①CloudflareとWebサーバ間の通信のIPアドレスを限定する方法

CloudflareのDNSにWebサーバをIPv4(Aレコード)又はIPv6(AAAAレコード)で登録するとCloudflareとWebサーバ間はCloudflareのIPアドレスで会話しています。

そこでファイアウオールにCloudflareで利用するIPアドレスだけ通信を許可する方法でDDoS攻撃をブロックできます。

Cloudflareが利用するIPアドレスは[https://www.cloudflare.com/ja-jp/ips/]で公開されています。

但し、この方法は変更履歴から判るようにIPアドレスは変わるので定期メンテが必要になります。

 

しかしEnterprise版を利用している場合はこの通信に利用するIPアドレスをユーザ固有のものに限定する事ができます。

よってEnterprise版の場合は、このIPアドレスをファイアウオールに設定する事でDDoS攻撃をブロックできます。

 

②CloudflareとWebサーバ間の通信をCloudflareトンネルで接続する方法

Cloudflareトンネルによる接続はポート番号の80/443を利用しません。

よってファイアウオールに80/443だけでなくポート番号の総てをブロックしても問題ありません。

これによりDDoS攻撃以外の攻撃もブロックする事ができ様になります。

この方法は無償版でも利用できるので私はこの方法でブロックしています。

 

 ご参考

私のWebサーバはCloudflareのCDNを[フルセットアップ]で利用し、CloudflareとWebサーバ間はトンネル接続としています。

尚、ファイアウオールの設定は80/443だけでなく、ポート番号の総てをブロックしています。

よってオリジンIPが判ったとしても、DDoS攻撃を含めた総ての悪意がある攻撃ができなくしています。

 

またWAFはCloudflareのデフォルトルールで守り、WordPressの管理者モードのブロックはWAFのカスタマイズでもできますが、Cloudflareのゼロトラストでブロックしています。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントはメニュの「Wordpress(応用編)タブ」か下記の関連記事一覧から探して下さい。

又、このサイトには、Google広告が掲載されています。

この記事が貴方の参考になりましたら、広告もご覧頂ければ幸いです。


<関連記事一覧>

「cloudflare」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

IPアドレスを調べると、色々な事が判ります。 ここではIPアドレスの解説から、利用しているCDNは何か?までの色々な情報の調査方法を解説します。 1.IPアドレスとは 2.利用しているIPアドレスを調べる方法 3.インタ […]

DNSとはアクセスするURLに対するIPアドレスを返すものでインターネットアクセスには不可欠なものです。 ここでは下記項目で解説します。 1.DNS(Domain Name System)とは 2.Cloudflareが […]

Cloudflare社が提供する[DNSサーバ]はDNS機能以外にCDN(Contents Delivery Network)機能を持っています。 下記項目で[DNS]と[CDN]について解説していきます。 1.DNSサ […]

このドキュメントを読む前に必ず下記ドキュメントを参照してください。   パブリックDNSリゾルバ [1.1.1.1]とは   パブリックDNSリゾルバ [1.1.1.2]とは   [1.1.1.3]は[1.1. […]

DNS(Domain Name System)は[ドメイン名]を[グローバルIP]に変換してくれるもので、インターネットアクセスには不可欠なものです。   1.ISPのDNSリゾルバ インターネットを開通させる […]

このドキュメントを読む前に必ず下記ドキュメントを参照してください。   パブリックDNSリゾルバ [1.1.1.1]とは   Cloudflare社はインターネット通信を常時監視しアクセス状況やアタックの状況を […]

WebサーバをCloudflareのCDN(DNS)に接続する方法には下記があります。 ①IPv4で接続する(Aレコード) ②IPv6で接続する(AAAAレコード) ③Cloudflareのトンネルで接続する(CNAME […]

ここではCloudflareの下記項目について解説しています。 1.Cloudflareのアカウントを作成する 2.ドメイン(サイト)の追加 3.クイック設定の確認 4.Webサーバの登録 5.Cloudflareアカウ […]

ここではXserverからドメイン名を取得する方法を解説しています。