Cloudflare は、サービス拒否攻撃などに対する防御策として、ネットワーク ポート 80 (HTTP) および 443 (HTTPS) で Web サーバーのトラフィックをプロキシすることで名声を博しました。
木曜日、オンライン セキュリティ企業は、IPv4 下で残っている可能性のある TCP/IP ネットワーク ポートの監視を拡張することで、その野心を拡大しました。
Cloudflareは、分散型サービス拒否攻撃防御、負荷分散、コンテンツ加速サービスが現在65,533ポートに拡張されていると述べ、Spectrumというサービスを導入した。
計算すると、65,533にポート80と443の2を足すと65,535となり、ポート1から2の16乗-1までの全範囲をカバーしますが、ここには多少の計算上の誤りがあります。Cloudflareは以前、ウェブサイトで使用されるポート以外にも、Cloudflareアプリ用に2つのポートしか対応していなかったにもかかわらず、いくつかのポートをプロキシしていました。
しかし、細かいことはさておき、結局のところ、少なくとも Cloudflare のエンタープライズ顧客にとっては、他のあらゆる種類の TCP ベースのプロトコルを保護、シフト、高速化できることになります。
CloudFlareのCEOがISISテロ支援のAnonymousの主張を激しく非難
続きを読む
つまり、メール サーバー、SSH、IoT デバイス、ゲーム サーバーなど、他のポートで実行されているサービスは、ネオナチのヘイトスピーチに関連するものを除き、予防的なプロキシの背後に隠れることができます。
Mirai ボットネットからの DDoS 攻撃の標的となったゲーム サービスの Hypixel も、このサービスをテストしている組織の一つです。
「Spectrum導入前は、不安定なサービスや技術に頼らざるを得ず、遅延が増加し、ユーザーエクスペリエンスが悪化していました」と、HypixelのCTO、ブルース・ブレア氏は述べています。「今では、遅延を増やすことなく継続的に保護できるようになりました。これは、オンラインゲームなど、遅延と稼働時間に敏感なサービスにとって最適な選択肢です。」
システムを動作させるのは、ちょっとした技術的難題でした。CloudflareのエッジLinuxサーバーを支えるBSDソケットAPIは、どのポートでも受信接続を受け入れるように設定するのが困難でした。同社のエンジニアは、bind65535個のサーバーポートそれぞれにシステムコールを使用することもできましたが、技術的な問題により、その方法は実行不可能でした。
代わりに、技術者たちは Cloudflare のファイアウォールを使用して IP パケットを分析し、それらを保持するかどうかを決定し、比較的目立たない TPROXY iptables モジュールと組み合わせて、着信パケットのソケット ディスパッチを処理しました。
「この機能のおかげで、標準のBSDソケットAPIでは不可能だと思っていたことが、カスタムカーネルパッチを必要とせずに実行できるようになりました」と、CloudflareのネットワークエンジニアであるMarek Majkowski氏はブログ記事で説明しています。®
