PHP の DoS 攻撃防御サービスの構成

App Engine のサービス拒否（DoS）防御サービスを利用すると、サービス拒否攻撃や類似した不正行為を受けたときに、アプリケーションの割り当て不足を回避できます。IP アドレスやサブネットをブラックリストに登録すると、これらのアドレスやサブネットからルーティングされたリクエストは、アプリケーションコードが呼び出される前に破棄されます。課金の有無を問わず、このようなリクエストでリソースの割り当てが消費されることはありません。

デフォルトでは、App Engine はブラックリストに登録されたアドレスに汎用エラーページを表示します。代わりにカスタムレスポンスを提供するようにアプリを構成できます。

始める前に

アプリケーションの root ディレクトリに dos.yaml ファイルを作成します。ブラックリストに登録する IP アドレスとネットワークをこのファイルで指定します。

DoS ブラックリストによるリクエストのブロック

IP アドレスと IP サブネットをブラックリストに登録すると、アプリへのアクセスをブロックできます。

dos.yaml のエントリ数は 100 に制限されています。DoS 攻撃が発生している場合、サブネット全体のブロックが必要になる可能性があります。アプリに対する DoS 攻撃で同じネットワークの複数の IP アドレスが使用されている場合にも、これは有効な手段となります。

ブラックリストに IP アドレスを登録する

1 つ以上の IP アドレスがアプリにアクセスしないようにするには、それらの IP アドレスを IPv4 または IPv6 形式で dos.yaml ファイルに定義します。次に例を示します。

blacklist:
- subnet: 192.0.2.1
  description: A single IPv4 address
- subnet: abcd::123:4567
  description: A single IPv6 address

分散型サービス拒否攻撃（DDoS）では、個別の IP アドレスではなく、サブネット全体をブロックする必要があります。

例については、dos.yaml リファレンスをご覧ください。

作成した dos.yaml は、アプリにアップロードする必要があります。

ブラックリストに IP サブネットを登録する

IP サブネットのアプリへのアクセスを禁止するには、その IP サブネットを CIDR 形式で定義します。CIDR 表記法を使用するルールを作成する際には、IP to CIDR ツールが役立ちます。

blacklist:
- subnet: 1.2.3.4/24
  description: an IPv4 subnet
- subnet: abcd::123:4567/48
  description: an IPv6 subnet

例については、dos.yaml リファレンスをご覧ください。

作成した dos.yaml は、アプリにアップロードする必要があります。

ブラックリストに登録されたリクエストに対するカスタムエラーメッセージを作成する

デフォルトでは、リクエストが DoS 防止サービスによりブロックされると、汎用のエラーページが表示されます。分散型サービス拒否攻撃には正当なユーザーのマシンが利用されることがありますが、このページで、アクセスが拒否された理由をそのユーザーに説明できます。

リクエストが DoS 防御サービスでブロックされたときに表示する静的ファイルを、アプリケーションディレクトリに作成します。
app.yaml ファイルで、静的ファイルへのパスを指定し、error_handlers 型の dos_api_denial を追加することにより、DoS レスポンスのエラーハンドラを指定します。
```
error_handlers:
- error_code: dos_api_denial
  file: dos-response.html
```

すべてのブラックリストエントリの削除

すべてのブラックリストエントリを削除するには:

dos.yaml ファイルの内容が以下の行だけになるよう編集します。
```
blacklist:
```
dos.yaml を削除してもブラックリストは削除されません。
dos.yaml を再デプロイして変更内容を有効にします。

Console に DoS 拒否エラーを表示する

拒否されたリクエストの数をグラフで表示できます。

Google Cloud Platform Console で App Engine ダッシュボードに移動します。

App Engine のエラー詳細グラフを開く
必要に応じグラフの時間枠を調整して、結果を表示します。

DOS ブラックリストのアップロード

gcloud ツールを使用して、更新された DoS 構成ファイルを App Engine のアプリにデプロイします。たとえば、次のコマンドを実行して dos.yaml の内容で DoS 防御サービスを更新します。

 gcloud app deploy dos.yaml

次のステップ

問題を迅速に特定して警告するように、Stackdriver Monitoring をセットアップします。
お客様の体験（2013 年 1 月）を読んで、分散型サービス拒否攻撃（DDoS）への対処方法を確認します。

このページは役立ちましたか？評価をお願いいたします。

Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see our Site Policies. Java is a registered trademark of Oracle and/or its affiliates.

最終更新日: 8月 27, 2019