サービスの内部API、ログオンAPI、およびSMS APIを理解し、HTTPフラッド攻撃による損失を防ぐためにAPIの保護ポリシーを設定する必要があります。
シナリオ
DCDNコンソールでカスタム保護ポリシーを設定できます。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。 次の例は、HTTPフラッド攻撃からログオンAPIを保護するための保護ポリシーを設定する方法を示しています。
HTTPフラッド攻撃に対するログオンAPIの保護の例1
パラメーター | 例 | 説明 |
ルール名 | ルールの名前を設定します。 名前は最大64文字で、英数字、アンダースコア (_) を使用できます。 | リクエストされたURIにログオンAPIが含まれている場合、リクエストはルールに一致します。 |
マッチ条件 |
| |
レート制限 | レート制限をオンにします。 | クッキーが10秒間に2回以上挿入されると、クッキーの値がブラックリストに追加されます。 |
統計オブジェクト | [セッション] を選択します。 | |
統計間隔 |
| |
レートしきい値 |
| |
ステータスコード | デフォルトでは、このスイッチはオフになっています。 | JavaScriptの検証は、レート制限条件を満たすすべてのリクエストに対して600秒で実行されます。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。 |
申請先 | [現在のドメイン名] を選択します。 | |
ブラックリストのタイムアウト期間 |
| |
Action | [JavaScriptの検証] を選択します。 |
HTTPフラッド攻撃からログオンAPIを保護する例2
パラメーター | 例 | 説明 |
ルール名 | ルールの名前を設定します。 名前は最大64文字で、英数字、アンダースコア (_) を使用できます。 | リクエストされたURIにログオンAPIが含まれている場合、リクエストはルールに一致します。 |
マッチ条件 |
| |
レート制限 | レート制限をオンにします。 | クッキーが60秒間に6回以上挿入されると、クッキーの値がブラックリストに追加されます。 |
統計オブジェクト | [セッション] を選択します。 | |
統計間隔 |
| |
レートしきい値 |
| |
ステータスコード | デフォルトでは、このスイッチはオフになっています。 | 600秒以内にレート制限条件を満たすすべてのリクエストがブロックされます。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。 |
申請先 | [現在のドメイン名] を選択します。 | |
ブラックリストのタイムアウト期間 |
| |
Action | [ブロック] を選択します。 |
訪問者のIPアドレスを修正できる場合は、内部APIへの攻撃に対する保護ポリシーを追加できます。 詳細については、「次の例」をご参照ください。
ホワイトリストの構成
ホワイトリストを設定します。 詳細は、ホワイトリストの構成をご参照ください。
パラメーター | 例 | 説明 |
ルール名 | ルールの名前を設定します。 名前は最大64文字で、英数字、アンダースコア (_) を使用できます。 | 要求されたIPアドレスがホワイトリストに追加するIPアドレスである場合、要求はルールに一致します。 |
マッチ条件 |
| |
モジュール | [カスタムモジュール] > [カスタムルール] を選択します。 | IPアドレスはカスタムルールのアクションをトリガーしません。 |
内部APIにアクセスする外部リクエストをブロックする
カスタムポリシーを設定します。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。
パラメーター | 例 | 説明 |
ルール名 | ルールの名前を設定します。 名前は最大64文字で、英数字、アンダースコア (_) を使用できます。 | リクエストされたURIに内部APIが含まれている場合、リクエストはルールに一致します。 |
マッチ条件 |
| |
レート制限 | デフォルトでは、[レート制限] スイッチはオフになっています。 | 統計オブジェクトによって開始されたすべての要求はブロックされます。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。 |
Action | [ブロック] を選択します。 |