DDoS攻撃から保護する

定額制のDDoS軽減サービスでパフォーマンスと可用性を維持

分散型サービス拒否拒否(DDoS)攻撃の頻度と強度は増大しています。セキュリティ保護されていない無数のモノのインターネット(IoT)デバイスを悪用し、高度に分散された帯域幅消費型攻撃を実行するボットネットの作成が容易になり、これまでになく重大な影響を及ぼしています。攻撃規模の拡大に加え、標的はネットワーク層およびトランスポート層からアプリケーション層(レイヤー7)へと移行しています。アプリケーション層への攻撃はきわめて高度であり、通常、少ないリソースでWebサイトやアプリケーションに障害を発生させて業務を妨げるだけでなく、より大きな影響を与えることができます。

DDoS攻撃はWebサイトやアプリケーションのパフォーマンスと可用性を低下させることで通常の業務を妨げ、時には完全にオフラインに落とす場合もあります。インフラストラクチャの障害によるダウンタイムの平均コストは1時間あたり$100,000です。この種の攻撃は、顧客離れ、ブランド力の低下、ビジネスの損失を引き起こす恐れがあります。

最大かつ最新の攻撃に対抗するため、Webサイトとアプリケーションにはスケーラブルなネットワークの回復力とインテリジェンスが必要です。セキュリティによって生じるレイテンシーを理由に、脅威からの保護がパフォーマンスを低下させることはありません。また、新たな脆弱性が入り込むような構成ミスを避けるため、セキュリティサービスは簡単に設定できる必要があります。

Defend against the largest ddos attack icon

最大規模の攻撃を防御

Cloudflareのネットワーク容量は、これまでに記録した最大規模のDDoS攻撃の15x倍です。20 Tbpsの容量で、DNSインフラストラクチャを標的とした攻撃などあらゆる最新の分散型攻撃に対処できます。

Shared Network Intelligence icon

ネットワークインテリジェンスを共有

新しい資産が導入されるたびに、Cloudflareのネットワークは進化します。CloudflareのIPレピュテーションデータベースは、ネットワーク上にある700万の資産すべてに対して新たな脅威や進化し続ける脅威を特定し、ブロックします。

No Performance Tradeoffs icon

パフォーマンスを犠牲にしない

Cloudflareに含まれるパフォーマンスサービス(CDN、スマートルーティング、Webサイトの最適化、最新のWeb標準など)と統合することにより、セキュリティによるレイテンシーを排除します。

一般的なDDoS攻撃タイプ

ddos attack dns flood

DNSフラッド

DNSフラッド攻撃はDNS解決を妨げることにより、Webサイト、API、Webアプリケーションを不能または完全に利用不可にします。

ddos attacked with dns flood

UDP増幅(レイヤー3と4)

攻撃者はオープンなDNSまたはNTPリゾルバーの機能を利用し、増幅されたリクエストトラフィックで標的サーバーまたはネットワークを圧倒します。この場合のペイロードサイズは配信元リクエストよりも大きくなります。

ddos attacked http flood

HTTPフラッド(レイヤー7)

HTTPフラッド攻撃は、大量のHTTP、GET、POSTリクエストを複数のソースから発生させ、アプリケーション層を標的にしてサービスの低下または使用不可状態を引き起こします。

ddos attack http flood

セキュリティの多層防御

Cloudflareの多層セキュリティによるアプローチは複数のセキュリティ機能を1つのサービスに統合します。このアプローチでは不正トラフィックによる障害を防ぎながら、問題のないトラフィックの通過は許可するため、Webサイト、アプリケーション、APIの高可用性とパフォーマンスを維持できます。

Layered DDoS attack Protection Layered DDoS Protection

主な成果

226,500,000

2015年8月~2016年11月の期間中にブロックされた攻撃の件数。1日50万件の攻撃に対し、成功した攻撃は皆無。

95%

月間合計帯域幅削減量。

$250,000

導入事例を読む

「Cloudflareのおかげで、必要な保護やセキュリティを確保しながら、ほかの候補者が費やしていた何分の1にも満たないコストでトランプ大統領の選挙キャンペーンサイトを運営できました」

Brad Parscale氏

Giles-Parscale代表取締役

トランプ大統領選挙キャンペーンのデジタルディレクター

定額制の価格設定

Cloudflareの全プランに無制限かつ定額制の分散型サービス拒否(DDoS)攻撃の軽減サービスが組み込まれています。攻撃の規模にかかわらず、追加費用は発生しません。分散型攻撃によるネットワークトラフィックの急増によって、お客様がペナルティを課せられることはありません。CloudflareのDDoS攻撃対策によりすべてのインターネット資産がオンラインのまま稼働でき、インフラストラクチャのコストも予測可能になります。

Flat price DDOS protection

攻撃の軽減実績

Cloudflareのエンジニアは、いくつかの史上最大規模の攻撃に直面しました。これらの攻撃にどのように対処したのかについては、開発者のブログをご覧ください。

400Gbps:途方もない冬のレイヤー3 DDoS攻撃

2016年の冬、Cloudflareは過去最大規模のレイヤー3分散型攻撃を軽減しました。また、攻撃を阻止しただけでなく、正確な測定と解析を行いました。続きを読む

400 Gbps NTP増幅攻撃の背景にある詳細

分散型攻撃はあらゆる形状と形態をとります。この400 Gbps増幅攻撃の場合、攻撃者は4,529のNTPサーバーを使い、たった87 Mbpsのソースサーバーから攻撃を増幅しました。
続きを読む

インターネットを破壊しかけたDDoS攻撃

Cloudflareは7年にわたり史上最大規模の分散型攻撃に対処してきました。2013年にSpamhausで発生した120 Gbsの攻撃は大規模な攻撃と思われましたが、CloudflareはこのWebサイトをオンラインの状態に保ち続けることができました。続きを読む

その他のCloudflareセキュリティソリューション

prevent customer data breach diagram

顧客データ漏えいを防止

ユーザー資格情報、クレジットカード情報、個人を特定できるその他の情報など、顧客の秘密データを攻撃者による侵害から保護します。

block malicious bot abuse diagram

悪意のあるボット乱用をブロック

コンテンツスクレイピング、決済詐欺、アカウントの乗っ取りによって、迷惑ボットがインターネット資産に損害を与えないようにブロックします。

10,000,000を超えるドメインからの信頼

Cloudflareの特徴

Cloudflareのパフォーマンスとセキュリティサービスは、DDoS攻撃、迷惑ボット、データ漏えいから保護しながら、連携してWebサイト、モバイルアプリ、APIエンドツーエンドのレイテンシーを削減します。

パフォーマンス

Cloudflareのパフォーマンスサービスは、アプリケーションの可用性を維持しながらWebとモバイルのパフォーマンスを高速化することで、コンバージョン率を高め、顧客離れを防ぎ、訪問者の操作性を向上します。

  • コンテンツ配信ネットワーク(CDN)

    CloudflareのエニーキャストCDNは、74か国に154か所あるデータセンターで静的コンテンツをエッジに保存し、地理的距離が最も近い場所で訪問者に資産を配信することでレイテンシーを低減します。
  • Webサイトの最適化

    Cloudflareにはインターネットアセットのパフォーマンスを向上する一連のWeb最適化が組み込まれています。最適化には、HTTP/2、TLS 1.3などの最新のWeb標準や、画像およびモバイルデバイスの訪問者に対する独自の拡張機能が含まれます。
  • DNS

    Cloudflareはグロ-バルDNSトラフィック全体の39%を超えるルーティングを担う世界最速のマネージドDNSプロバイダーです。Cloudflareは複数の方法でオンライン資産のパフォーマンスの最大化を実現します。
  • 負荷分散

    Cloudflare Load Balancingは負荷分散、地理的ルーティング、モニタリング、単一のハイブリッドクラウド環境とマルチクラウド環境のフェイルオーバーを提供し、パフォーマンスと可用性を強化します。
  • Argo Smart Routing

    Argo Smart RoutingはCloudflareのプライベートネットワークで最も混雑が少なく、最も信頼性の高いパスに訪問者をルーティングすることで、インターネットアセットのパフォーマンスを平均で35%向上します。
  • Railgun

    Railgunは高画質映像の圧縮に使用されているのと似ている方法を利用して、以前はキャッシュ不可能であったWebオブジェクトを最大99.6%圧縮します。これにより、パフォーマンスが平均200%向上します。
  • Stream

    Cloudflare Streamはデータストレージ、メディアエンコーディング、コンテンツ埋め込みと再生、地域別配信、分析を操作し、ビデオストリーミングを容易にします。
  • Workers

    Cloudflare Workersを使用して、開発者は世界154か所にあるCloudflareのデータセンターでJavaScript Service Workerを実行できます。
  • Mobile SDK

    CloudflareのMobile SDKはあらゆるグローバルキャリアネットワークでアプリケーションパフォーマンスとロード時間を可視化します。

セキュリティ

Cloudflareのセキュリティサービスは、DDoS攻撃、迷惑ボット、データ漏えいからお客様を保護することで、顧客の損失、収益低下、ブランド名低下のリスクを低減します。

  • エニーキャストネットワーク

    Cloudflareのエニーキャストネットワークは74における154か所のデータセンターと20 Tbpsの容量を有し、インターネット資産の可用性とパフォーマンスを維持しながら、分散された攻撃トラフィックを地理別に吸収します。
  • DNSSEC

    DNSSECはスプーフィング不可能なインターネットの発信者IDです。このIDによってWebアプリケーションのトラフィックが正しいサーバーに安全にルーティングされることが保証されるため、サイトの訪問者は隠れた「中間者」攻撃者に妨害されません。
  • Webアプリケーションファイアウォール(WAF)

    CloudflareのエンタープライズクラスのWebアプリケーションファイアウォール(WAF)は、OWASP Top 10ルールセット、アプリケーション固有のルールセット、カスタムルールセットを使用して、ネットワークエッジでアプリケーション層の一般的な脆弱性を検出し、ブロックします。
  • Rate Limiting

    Rate Limitingは不審なリクエストレートの訪問者を微細なコントロールでブロックまたは識別し、重要なリソースを保護します。
  • SSL/TLS

    Transport Security Layer(TLS)暗号化は、訪問者と配信元サーバー間のHTTPS接続を確立し、中間者攻撃、パケットスニッフィング、Webブラウザーに表示される信頼性の警告などを防止します。
  • 安全なレジストラー

    Cloudflareは、レジスターアカウントへのすべての変更を人の手を介してオンラインとオフラインで検証し、組織をドメインハイジャックから保護するICANN認定レジストラーです。
  • Orbit

    Cloudflare Orbitはモノのインターネットデバイスに関するセキュリティ関連の問題をネットワークレベルで解決します。
  • Argo Tunnel

    Cloudflareはパブリック受信ポートを開かずに、最も近いデータセンターとアプリケーションの配信元サーバー間に暗号化されたトンネルを作成します。
  • Workers

    Cloudflare Workersを使用して、開発者は世界154か所にあるCloudflareのデータセンターでJavaScript Service Workerを実行できます。
  • アクセス

    Cloudflare上のあらゆるドメイン、アプリケーション、パスへのユーザーアクセスを保護、認証、監視します。
  • Spectrum

    SpectrumではCloudflareのエニーキャストネットワークを通るWebトラフィック以外のトラフィックにプロキシ処理を行うことにより、TCPアプリケーションおよびポートを帯域幅消費型DDoS攻撃やデータ窃盗から保護します。

あらゆる攻撃から保護

Cloudflareはお客様の全ネットワークトラフィックのプロキシとして機能するため、以下のあらゆる種類の分散型サービス拒否攻撃からお客様を保護できます。

レイヤー3/4

ほとんどの攻撃は通信システムのトランスポート層とネットワーク層を標的としています。これらの層は、OSIモデルのレイヤー3と4と表されます。ネットワークスタックのいわゆる「トランスポート」層は、ネットワーク上の2つのホストが互いに通信するプロトコル(TCPまたはUDPなど)を指定します。レイヤー3と4に向けられた攻撃は、攻撃トラフィックを用いてネットワークインタフェースにフラッド攻撃をしかけ、リソースを圧倒し、正当なトラフィックへの応答機能を拒否することを目的としています。具体的には、この種の攻撃はネットワークスイッチの容量を飽和させるか、サーバーのネットワークカードまたはそのCPUの攻撃トラフィックに対処する機能を圧倒することが目的です。

レベル3と4の攻撃をオンプレミスのソリューションで軽減するのは、不可能ではないにしても困難です。攻撃者から送信されるトラフィックがネットワークリンクで対応できる容量を超えた場合、この攻撃の軽減に利用できる追加のハードウェアリソースはありません。たとえば、10 Gbpsのポートのルーターに対して攻撃者が11 Gbpsの攻撃トラフィックを送信してきた場合、ネットワークリンクが完全な飽和状態にあると、最先端のソフトウェアまたはハードウェアにこの攻撃を阻止する容量はありません。

非常に大規模なレイヤー3/4攻撃は、ほとんど常に多数のソースから発生します。これら多数のソースそれぞれが1つのインターネット上の場所に攻撃トラフィックを送信することで津波のように標的のリソースを圧倒します。この意味において、攻撃は拡散型といえます。攻撃トラフィックのソースは、共同で作業する個人のグループ、危殆化したPCのボットネット、危殆化したサーバーのボットネット、構成が正しくないDNSリゾルバーの場合や、脆弱なパスワードを使用した家庭用インターネットルーターの場合もあります。

レイヤー3/4攻撃をしかける攻撃者は送信したリクエストに対する応答を受信しなくても構わないため、この攻撃を構成するパケットが正確または正しくフォーマットされている必要はありません。攻撃者は、攻撃パケット内のソースIPも含めたすべての情報を定期的にスプーフィングし、この攻撃の発生源が実質的に、無数のソースであるかのように見せかけます。パケットデータは完全にランダム化できるため、アップストリームIPのフィルタリングといったテクノロジーでさえも、事実上役に立たなくなります。

Cloudflareを使用すれば、本来サーバーのインフラストラクチャを直撃していたであろうすべての攻撃トラフィックは自動的にCloudflareのデータセンターのグローバルエニーキャストネットワークにルーティングされます。攻撃トラフィックが移行すると、Cloudflareのネットワークでグローバルな大容量とラックマウント型のサーバーインフラストラクチャを利用し、あふれかえる攻撃トラフィックをネットワークエッジに吸収できるようになります。つまり、Cloudflareは、従来のレイヤー3/4攻撃の攻撃トラフィックからのパケットが1つもCloudflareで保護されたサイトに到達できないように保護します。

DNS増幅攻撃

DRDoSの1つの形態であるDNS増幅攻撃は増え続け、レイヤー3/4攻撃の最大のソースにまで拡大しました。Cloudflareは100 Gpbsを超える攻撃を常時軽減しており、最近ではニューヨークタイムズ紙が「公表されたDDoS攻撃としてインターネット史上最大」と称した300 Gbpsを超える攻撃からお客様を保護しました。

DNSリフレクション攻撃では、攻撃者は標的のIPアドレスになりすましたソースIPアドレスから、大規模なDNSゾーンファイルに対するリクエストを多数のオープンDNSリゾルバーに送信します。リゾルバーはこのリクエストに応答する際、巨大なDNSゾーン回答を標的のIPアドレスに送信します。攻撃者のリクエスト自体は応答と比べてわずかなサイズであるため、攻撃者自身が制御できる帯域幅リソースの何倍にも攻撃を増幅させることができます。

CloudflareなしでのDNSリフレクション攻撃

攻撃者はボットネットやセキュリティ保護されていないDNS Recursorなどのリソースを集め、標的のIPアドレスを模倣します。次にリソースは大量の回答を標的に送信し、標的をオフラインにします。

Unprotected DNS reflection attack

CloudflareありのDNSリフレクション攻撃

攻撃者はボットネットやセキュリティ保護されていないDNS Recursorなどのリソースを集め、標的のIPアドレスを模倣します。次にリソースは大量の回答を標的に送信しますが、Cloudflareのデータセンターで地域別にブロックされます。正当なトラフィックは引き続きWebに問題なくアクセスできます。

DNS reflection attack protection

増幅攻撃には、1)スプーフィングしたソースアドレス(ハンドシェイクが不要なICMPやUDPなどのプロトコルを経由するなど)でクエリを送信でき、2)クエリへの応答がクエリ自体よりもはるかに大きい、という2つの条件があります。DNSはこれらの条件を満たし、どこからでもアクセス可能な核となるインターネットプラットフォームであることから、増幅攻撃の最大規模のソースとなっています。

DNSのクエリは通常、UDPを経由して送信されます。つまり、SMURF攻撃(後述)で使用されるICMPクエリなどは、射ち放し式です。その結果、DNSクエリのソースの属性はスプーフィングできるようになり、受信側が応答する前にその信ぴょう性を確認する術はありません。DNSはクエリよりもはるかに大きな応答を生成することもできます。たとえば、次のような(小さい)クエリを送信するとします(「x.x.x.x」はオープンDNSリゾルバーのIPを示します)。

dig ANY isc.org @x.x.x.x +edns=0

すると、次のような膨大な応答が返されます。

; <<>> DiG 9.7.3 <<>> ANY isc.org @x.x.x.x
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5147
;; flags: qr rd ra; QUERY: 1, ANSWER: 27, AUTHORITY: 4, ADDITIONAL: 5
;; QUESTION SECTION:
;isc.org. IN ANY
;; ANSWER SECTION:
isc.org. 4084 IN SOA ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600
isc.org. 4084 IN A 149.20.64.42
isc.org. 4084 IN MX 10 mx.pao1.isc.org.
isc.org. 4084 IN MX 10 mx.ams1.isc.org.
isc.org. 4084 IN TXT "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 4084 IN TXT "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"
isc.org. 4084 IN AAAA 2001:4f8:0:2::d
isc.org. 4084 IN NAPTR 20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.
isc.org. 484 IN NSEC _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF
isc.org. 4084 IN DNSKEY 256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=
isc.org. 4084 IN DNSKEY 257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd
isc.org. 4084 IN SPF "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 484 IN RRSIG NS 5 2 7200 20121125230752 20121026230752 4442 isc.org. oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1j AkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NX UHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcp Aco=
isc.org. 484 IN RRSIG SOA 5 2 7200 20121125230752 20121026230752 4442 isc.org. S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGac XCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s 0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrR hKk=
isc.org. 484 IN RRSIG MX 5 2 7200 20121125230752 20121026230752 4442 isc.org. VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu /rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+b zNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbS Lcw=
isc.org. 484 IN RRSIG TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
isc.org. 484 IN RRSIG AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
isc.org. 484 IN RRSIG NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
isc.org. 484 IN RRSIG NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
isc.org. 484 IN RRSIG SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
isc.org. 484 IN RRSIG A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; AUTHORITY SECTION:
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; ADDITIONAL SECTION:
mx.ams1.isc.org. 484 IN A 199.6.1.65
mx.ams1.isc.org. 484 IN AAAA 2001:500:60::65
mx.pao1.isc.org. 484 IN A 149.20.64.53
mx.pao1.isc.org. 484 IN AAAA 2001:4f8:0:2::2b
_sip._udp.isc.org. 4084 IN SRV 0 1 5060 asterisk.isc.org.
;; Query time: 176 msec
;; SERVER: x.x.x.x#53(x.x.x.x)
;; WHEN: Tue Oct 30 01:14:32 2012
;; MSG SIZE rcvd: 3223

これは、64バイトのクエリが3,223バイトの応答を生成した例です。つまり、攻撃者は、オープンDNSリゾルバーに対して開始したトラフィックを50倍も増幅できることになります。

Cloudflareの「エニーキャスト」ネットワークは大規模なレイヤー3/4攻撃の阻止に特化して設計されています。エニーキャストを使用すれば、世界154か所にあるCloudflareの各データセンターから同じIPアドレスをアナウンスできます。ネットワーク自体はリクエストを最寄りの施設に負荷分散します。通常の環境においては、サイト訪問者がCloudflareのネットワークで最寄りのデータセンターに自動的にルーティングされることは、最適なパフォーマンスを確保するうえで役立ちます。攻撃がある場合、エニーキャストは効果的に攻撃トラフィックを散乱させ、データセンターのネットワーク全体に攻撃トラフィックを分散します。すべてのデータセンターがCloudflareのすべてのユーザーに対して同じIPアドレスをアナウンスするため、トラフィックを1つの場所に集中することはありません。攻撃が多対1になるのではなく、ネットワークのどの単一点にも単一障害点を持たない多対多になります。

レイヤー7攻撃

OSIモデルのレイヤー7である「アプリケーション」層を標的とした新種の攻撃です。この攻撃はボトルネックを作成するWebアプリケーション固有の特徴に的を絞ります。たとえば、「Slow Read」攻撃は複数の接続を通じて低速にパケットを送信します。Apacheは接続ごとに新しいスレッドを開き、トラフィックが送信される限り接続は維持されるため、攻撃者はそのスレッドプールを比較的早く使い果たすことでWebサーバーを圧倒できます。

Cloudflareはこうした多数の攻撃に対する保護を用意しており、実績として、通常HTTP攻撃トラフィックの90%を削減しています。この削減率は、ほとんどの攻撃に対し、またほとんどのお客様がオンラインのまま稼働し続けるうえで十分です。ただし、従来の保護をすり抜ける残りの10%のトラフィックは、お客様のリソースが限られている場合や大規模な攻撃の場合には依然として脅威となりえます。この場合、Cloudflareは「I’m Under Attack」モード(IUAM)と呼ばれるセキュリティ設定を提供します。

IUAMは攻撃にさらされたサイトに設定できるセキュリティレベルです。IUAMを有効にすると、Cloudflareは追加の保護層を適用して悪意のあるHTTPトラフィックがサーバーに通過するのを阻止します。多数の追加チェックがバックグラウンドで実行される間、インタースティシャルページがサイトの訪問者に5秒間表示され、この間にチェックが完了します。この方法は、テストが自動化され、訪問者によるCAPTCHAの入力が不要になるためのチャレンジととらえてください。

Layer 7 attack protection

自動テストで正当性が検証されると、訪問者は制限なくサイトを閲覧できます。このテストにはJavaScriptとCookieが必要とされ、テストが正しく通過したことを記録する必要があります。IUAM中に訪問者に表示されるページは、ブランドに合わせて完全にカスタマイズ可能です。I’m Under Attackモードでは、検索エンジンクローラーまたは既存のCloudflareのホワイトリストはブロックされません。

SMURF攻撃

SMURF攻撃は、初期の増幅攻撃の1つとして知られています。SMURF攻撃では、攻撃者は背後にあるすべてのデバイスにICMPを中継するように設定しているルーターからアナウンスされたネットワークのブロードキャストアドレス(X.X.X.255)に、ICMPリクエスト(つまり、ping要求)を送信します。次に攻撃者はICMPリクエストのソースを標的のIPアドレスにスプーフィングします。ICMPにはハンドシェイクが含まれないため、宛先にそのソースIPアドレスの正当性を検証する手段はありません。ルーターはリクエストを受信して、その背後にあるすべてのデバイスに渡します。その後、各デバイスはpingに応答します。攻撃者はルーターを経由するデバイスの数に相当する倍数で攻撃を増幅できます(つまり、ルーターを経由するデバイスが5台ある場合、下図のとおり攻撃者は攻撃を5倍増幅できます)。

DNS Smurf attack

SMURF攻撃のほとんどは過去のものであり、ネットワークオペレーターは通常、ネットワークのブロードキャストアドレスに送信されるICMPリクエストのリレーを無効にするように各ルーターを設定しています。