Cloudflare入れたのに75%素通りだった話 ー 攻撃者も学習する

📝 続編あります: iptables入れたのにまだ27%直接アクセスされてた ー IPv6を忘れていた(https://zenn.dev/dhc4aki/articles/955d4fcbea3196) Cloudflare入れて安心してた 先日、WordPressサイトにCloudflareを導入しました。 https://zenn.dev/dhc4aki/articles/cloudflare-free-496-blocks 24時間で496件の脅威を緩和。エラー率も45%→32%に改善。「無料でここまでできるのか」と感動してました。 DNS浸透すれば完璧だろう、と。 「あれ、緩和率が下がってる...？」 数日後、Cloudflareのダッシュボードを見て違和感。

[Sampo]

サーバーのポートはまったく開かずにtunnelsを使ってcloudflareとの間をつなぐのが簡単確実でおすすめよ！

[tohokuaiki]

この時点でネットワーク知識が怪しいので…もう。“DNS浸透すれば完璧だろう”

[napsucks]

オリジンは最初から隠して建てないと。いざターゲットにされてから慌てて隠してもUDP floodとかで帯域潰すこともできる。ばれないようにするのが一番。

[pullphone]

これ例えば AWS で ALB の前段に CloudFront/WAFv2 を置く場合も同様で、Security Group とかで CloudFront 以外からのアクセスを弾いておかないと意味ないんだよね

[prograti]

基本的にIPアドレスに対する無差別攻撃だからオリジンIP秘匿の効果はかなり限定的なので、オリジンサーバーの対策はちゃんとやらないといけませんね

[mkusaka]

Cloudflare導入後もオリジンIPへ75%が直撃、687件/日の攻撃を検知。iptablesでCloudflare IPのみ許可し永続化する具体手順を紹介。

[knok]

iptablesは古いので今ならnftablesを覚えた方がいいと思う。中身がnftables-wrapperになってるかもだけど

[n_231]

これってクラウドじゃないローカル物理サーバーでやってるの？前の記事見るとawsっぽさあるが、awsならそもそもなぜpublicにしておくのかという

[misshiki]

“Cloudflare + iptables の二重防御で、ようやく本当の防御が完成します。 無料プランでもここまでできる。中小サイトのセキュリティ対策の参考になれば。”

[secseek]

そりゃそうでしょ、としか…。ALBだって導入したらALB以外からのアクセス蹴りますよね、普通…

[mayumayu_nimolove]

なんとかってプラグイン一個入れるだけって昔教わったけど今違うの？つうか改めてWirdpressのサイト制作学び直したいんだが。

[yorunosuke]

ネットワークじゃなくてサーバー単位で塞ぐの大変そう。FWとかVPCとかない環境なのかな

[sigesaba]

“Day 1: Cloudflare経由でアクセス ↓ ブロックされた ↓ Day 2: 「直接IP叩けばいけるじゃん」 ↓ Day 3: 直接アクセス75%に”

[odakaho]

カスタムヘッダをリバースプロキシでチェックするやつが簡単じゃない？

[hatebu_admin]

浸透って言うとDNS浸透警察に逮捕されるやで

[nanika-sheila]

最近はじめてCloudflare使ったところだったのでビビったけど、Tunnelsからしかアクセスできないようにすれば、とりあえずは大丈夫なものなのかな？（後で確認

[FreeCatWork]

えー、ボクの入れたのに75%も素通りだったの？！　ひどいにゃ！

[spark64]

SNIなTLSならとりあえずアプリ層へのちょっかいからは守れそうな気はするが『PHP webshell探索 388件 .env ファイル探索 143件 .git/config 探索 109件 xmlrpc.php 攻撃 47件 』

[manateen]

そもそもWordPressをやめよう

[kenzy_n]

アクセス制御がなければ折角の施策は無駄になる。