Cloudflare導入後もオリジンIPへ75%が直撃、687件/日の攻撃を検知。iptablesでCloudflare IPのみ許可し永続化する具体手順を紹介。
サーバーのポートはまったく開かずにtunnelsを使ってcloudflareとの間をつなぐのが簡単確実でおすすめよ!
アクセス制御がなければ折角の施策は無駄になる。
WAF入れただけで満足しちゃう初心者あるある。結局オリジン隠さないと意味ないってのは教科書通りだけど、実体験のログ付きは勉強になる
この時点でネットワーク知識が怪しいので…もう。“DNS浸透すれば完璧だろう”
そもそもWordPressをやめよう
SNIなTLSならとりあえずアプリ層へのちょっかいからは守れそうな気はするが『PHP webshell探索 388件 .env ファイル探索 143件 .git/config 探索 109件 xmlrpc.php 攻撃 47件 』
オリジンは最初から隠して建てないと。いざターゲットにされてから慌てて隠してもUDP floodとかで帯域潰すこともできる。ばれないようにするのが一番。
えー、ボクの入れたのに75%も素通りだったの?! ひどいにゃ!
最近はじめてCloudflare使ったところだったのでビビったけど、Tunnelsからしかアクセスできないようにすれば、とりあえずは大丈夫なものなのかな?(後で確認
これ例えば AWS で ALB の前段に CloudFront/WAFv2 を置く場合も同様で、Security Group とかで CloudFront 以外からのアクセスを弾いておかないと意味ないんだよね
浸透って言うとDNS浸透警察に逮捕されるやで
iptablesは古いので今ならnftablesを覚えた方がいいと思う。中身がnftables-wrapperになってるかもだけど
基本的にIPアドレスに対する無差別攻撃だからオリジンIP秘匿の効果はかなり限定的なので、オリジンサーバーの対策はちゃんとやらないといけませんね
カスタムヘッダをリバースプロキシでチェックするやつが簡単じゃない?
“Day 1: Cloudflare経由でアクセス ↓ ブロックされた ↓ Day 2: 「直接IP叩けばいけるじゃん」 ↓ Day 3: 直接アクセス75%に”
ネットワークじゃなくてサーバー単位で塞ぐの大変そう。FWとかVPCとかない環境なのかな
これってクラウドじゃないローカル物理サーバーでやってるの?前の記事見るとawsっぽさあるが、awsならそもそもなぜpublicにしておくのかという
なんとかってプラグイン一個入れるだけって昔教わったけど今違うの?つうか改めてWirdpressのサイト制作学び直したいんだが。
そりゃそうでしょ、としか…。ALBだって導入したらALB以外からのアクセス蹴りますよね、普通…
“Cloudflare + iptables の二重防御で、ようやく本当の防御が完成します。 無料プランでもここまでできる。中小サイトのセキュリティ対策の参考になれば。”
Cloudflare入れたのに75%素通りだった話 ー 攻撃者も学習する
Cloudflare導入後もオリジンIPへ75%が直撃、687件/日の攻撃を検知。iptablesでCloudflare IPのみ許可し永続化する具体手順を紹介。
サーバーのポートはまったく開かずにtunnelsを使ってcloudflareとの間をつなぐのが簡単確実でおすすめよ!
アクセス制御がなければ折角の施策は無駄になる。
WAF入れただけで満足しちゃう初心者あるある。結局オリジン隠さないと意味ないってのは教科書通りだけど、実体験のログ付きは勉強になる
この時点でネットワーク知識が怪しいので…もう。“DNS浸透すれば完璧だろう”
そもそもWordPressをやめよう
SNIなTLSならとりあえずアプリ層へのちょっかいからは守れそうな気はするが『PHP webshell探索 388件 .env ファイル探索 143件 .git/config 探索 109件 xmlrpc.php 攻撃 47件 』
オリジンは最初から隠して建てないと。いざターゲットにされてから慌てて隠してもUDP floodとかで帯域潰すこともできる。ばれないようにするのが一番。
えー、ボクの入れたのに75%も素通りだったの?! ひどいにゃ!
最近はじめてCloudflare使ったところだったのでビビったけど、Tunnelsからしかアクセスできないようにすれば、とりあえずは大丈夫なものなのかな?(後で確認
これ例えば AWS で ALB の前段に CloudFront/WAFv2 を置く場合も同様で、Security Group とかで CloudFront 以外からのアクセスを弾いておかないと意味ないんだよね
浸透って言うとDNS浸透警察に逮捕されるやで
iptablesは古いので今ならnftablesを覚えた方がいいと思う。中身がnftables-wrapperになってるかもだけど
基本的にIPアドレスに対する無差別攻撃だからオリジンIP秘匿の効果はかなり限定的なので、オリジンサーバーの対策はちゃんとやらないといけませんね
カスタムヘッダをリバースプロキシでチェックするやつが簡単じゃない?
“Day 1: Cloudflare経由でアクセス ↓ ブロックされた ↓ Day 2: 「直接IP叩けばいけるじゃん」 ↓ Day 3: 直接アクセス75%に”
ネットワークじゃなくてサーバー単位で塞ぐの大変そう。FWとかVPCとかない環境なのかな
これってクラウドじゃないローカル物理サーバーでやってるの?前の記事見るとawsっぽさあるが、awsならそもそもなぜpublicにしておくのかという
なんとかってプラグイン一個入れるだけって昔教わったけど今違うの?つうか改めてWirdpressのサイト制作学び直したいんだが。
そりゃそうでしょ、としか…。ALBだって導入したらALB以外からのアクセス蹴りますよね、普通…
“Cloudflare + iptables の二重防御で、ようやく本当の防御が完成します。 無料プランでもここまでできる。中小サイトのセキュリティ対策の参考になれば。”