WebサイトにHTTPリクエストが殺到し、その結果応答が遅くなった場合は、レート制限機能を有効にできます。 レート制限が有効になっている場合、Dynamic Route for CDN (DCDN) は、異常な量のリクエストを送信するIPアドレスを識別し、識別されたIPアドレスからのリクエストを制限します。 これにより、Webサイトのセキュリティが向上します。
レート制限機能を有効にする
左側のナビゲーションウィンドウで、ドメイン名.
[ドメイン名] ページで、管理するドメイン名を見つけ、アクション 列の 設定 をクリックします。
- ドメイン名の左側のナビゲーションウィンドウで、セキュリティ設定 をクリックします。
- レート制限 タブをクリックします。
- レート制限をオンにします。
- [変更] をクリックします。
- レート制限 ダイアログボックスで、[パラメーターチェック] をオンにし、[制限モード] を設定します。
パラメーター 説明 パラメーターチェック パラメータチェックを有効にすると、URIはすべてのパラメータを保持し、レート制限ルールと照合されます。 パラメーターチェックはURIのみをチェックします。 カスタムレート制限モードに設定されているカスタムマッチングルールは、この機能には適用されません。 説明 パラメーターチェックは、カスタムレート制限ルールでのみ有効です。制限モード 次のいずれかのモードを選択できます。 - 通常
デフォルトのレート制限モードです。 このモードを選択すると、Webサイトのネットワークトラフィックが予想範囲内にある場合に誤検知を減らすことができます。
- 緊急事態
Webサイトの応答速度が遅く、ネットワークトラフィック、CPU使用率、メモリ使用率などのメトリックが正常範囲外の場合は、このモードを選択します。
- カスタム
ビジネス要件に基づいてカスタムレート制限ルールを作成する場合は、このモードを選択します。 このモードは、IPアドレスから頻繁に送信されるリクエストを検出し、HTTPフラッド攻撃を軽減します。 カスタムルールを追加する方法の詳細については、「カスタムレート制限ルールの作成」をご参照ください。
- 通常
カスタムレート制限ルールの作成
- 制限モードをカスタムに設定した場合、カスタムレート制限ルールを作成する必要があります。 他の制限モードは、カスタムレート制限ルールを必要としない。
- 最大5つのカスタムレート制限ルールを作成できます。
- [カスタムルール] の右側にある [ルールの追加] をクリックします。
- 画面の指示に従って、カスタムレート制限ルールを作成します。 次の表に、構成可能なパラメーターを示します。
パラメーター 説明 クラスター名 - 名前は4 ~ 30文字で、英数字を使用できます。
- 同じドメイン名に設定されているルールの名前は一意である必要があります。
URI 保護するURIを入力します (例: /register) 。 URIに/user?action=loginなどのパラメーターが含まれている場合は、パラメーターチェックをオンにする必要があります。マッチモード 次のいずれかのマッチモードを選択できます。 デフォルトでは、一致モードは、完全一致、プレフィックス一致、およびファジー一致の順序でリストされ、実行されます。 レート制限ルールで一致モードの優先順位を調整できます。 次に、マッチモードがリストされ、それらの優先順位に基づいて実行される。 - プレフィックスマッチ
このモードでは、指定されたURIで始まるURIから発生するリクエストのレートが監視されます。 たとえば、URIが
/registerに設定されている場合、/register.htmlからのリクエストの割合が監視されます。 - 完全一致
このモードでは、指定されたURIに正確に一致するURIから発生するリクエストの割合が監視されます。
- Regexマッチ
このモードでは、リクエストボディが指定された正規表現と一致するリクエストの割合が監視されます。
監視対象オブジェクト 監視する次のオブジェクトのいずれかを選択できます。 - クライアントIPアドレス
- リクエストヘッダー
- URLパラメーター
インターバル リクエストのレートが監視される期間を設定します。 このパラメーターは、監視対象オブジェクトを指定した場合にのみ有効です。 間隔は10秒以上でなければなりません。 対戦 [ルールの追加] をクリックし、[タイプ] 、[パラメータ] 、[リレーショナル演算子] 、[値] のパラメーターを設定します。 説明 指定されたルールに一致するリクエストの数は、各DCDNノードで監視されます。 レート制限ルールをトリガーするには時間がかかる場合があります。 DCDNノードにさらに多くのリクエストを送信して、ルールをトリガーできます。Action 指定された条件がトリガーされた後に実行するアクションを指定します。 [ブロック] または [キャプチャ] を選択できます。 - ブロック
このアクションがトリガーされると、HTTP 403のステータスコードがすべてのリクエストに返されます。
- CAPTCHA
このアクションがトリガーされると、HTTP 200ステータスコードが返され、リクエストは検証チャレンジにリダイレクトされます。 要求は、検証チャレンジの完了に成功した場合にのみ、要求されたリソースへのアクセスが許可される。
たとえば、IPアドレスが20秒以内に5つを超えるリクエストを開始すると、CAPTCHAがトリガーされます。 次の10分以内のIPアドレスからのすべてのリクエストには、検証チャレンジが表示されます。 このIPアドレスからのリクエストは、リクエストが検証チャレンジに合格した場合にのみリソースにアクセスできます。
TTL IPアドレスがブロックされたままの期間を指定します。 時間は少なくとも60秒でなければなりません。 - [OK] をクリックします。
例
| シナリオ | 監視対象オブジェクト | インターバル | マッチング | Action | TTL | 期待される結果 |
| 4xxまたは5xxエラー | IP | 10 秒 | "status_ratio | 404">60% && "count">50 | ブロック | 10 分 | IPアドレスに返されるすべてのHTTPステータスコードのうち、HTTP 404ステータスコードの割合が60% に達し、少なくとも50のリクエストがIPアドレスから送信されている場合、IPアドレスは10分間ブロックされます。 IPアドレスからのすべてのリクエストは、HTTP 403ステータスコードを受け取ります。 |
| 1秒あたりのクエリ (QPS) エラー | ドメイン名 | 10 秒 | 「カウント」> N説明 ビジネス要件に基づいてNの値を指定します。 | CAPTCHA | 10 分 | ドメイン名に送信されるリクエストの数がNの値に達すると、CAPTCHAがトリガーされます。 次の10分以内に、ドメイン名に送信されたすべてのリクエストに検証チャレンジが表示されます。 リクエストが検証チャレンジに合格した場合にのみ、リクエストはドメイン名にアクセスできます。 |