用cloudflare這套防護策略,防ddos及cc攻擊都很好

分享點防護經(jīng)驗，這幾天又漲了技能了，不過，多虧一位網(wǎng)友的幫助。

cloudflare這個Cdn防護真的是太強了，完全免費，勝過很多的主機服務(wù)商，說是全球數(shù)一數(shù)二的cdn商家一點兒也不夸張。

最近我遇到的攻擊，是我做網(wǎng)站十多年來遇到的最大的一次。從統(tǒng)計數(shù)據(jù)來看，ddos峰值達(dá)到了480G，cc攻擊的時候并發(fā)量達(dá)到了280萬，帶寬消耗超過200M，預(yù)計對方手里控制了30-40萬的肉雞。

早上的時候，有個做高防的商家聯(lián)系我說他家的高防產(chǎn)品不錯，當(dāng)我把我的數(shù)據(jù)報給他后，他直接回復(fù)我說做不了?？梢娺@樣的攻擊規(guī)模有多大。

好在免費的cloudflare幫我防住了。

這里講一下防護策略，具體怎么操作我就不詳細(xì)說了。

cloudflare如何防ddos攻擊

cloudflare這邊可以說是無視ddos攻擊，只要你不暴露源服務(wù)器ip就行了。

如何防止源ip不暴露，其實是很難的，如果對手比較強大的話，有很多方法可以搞到你的源ip

比如你網(wǎng)站上的smtp郵局功能，以及Ssl證書都有可能暴露，再就是還有一些黑科技網(wǎng)站可以掃描到你的源服務(wù)器ip

如果你的源服務(wù)器ip保護不了，你就必須要上一些高防服務(wù)器才行。

如果沒有暴露源服務(wù)器ip，那么直接將你的域名ns/dns換成cloudflare的，然后在cloudflare這邊添加解析到你的源服務(wù)器，并且打開代理加速功能，也就是我們常說的Cdn防護，就完全可以防住了。

cloudflare如何防護cc攻擊

使用cloudflare防Cc的功能也是非常強大的，如果沒有暴露你的源服務(wù)器ip，只需要把你的網(wǎng)站的安全級別調(diào)整到I’m under attack模式就可以高枕無憂了。

當(dāng)然這種模式防護能力是強大，但是用戶體驗不是很友好，因為會出來一個5秒的人機驗證界面（實際可能比5秒更長），有時候5秒會自動跳轉(zhuǎn)進入網(wǎng)站，有時候需要進行點擊驗證碼進行人機驗證才能進入網(wǎng)站。

那么這個5秒盾，我們可以使用腳本進行控制，當(dāng)服務(wù)器負(fù)載量不高的時候讓它關(guān)閉，太高的時候就讓它打開，這樣也不錯。

如果你的源服務(wù)器ip暴露了，那么使用cloudflare來防Cc攻擊的時候，還需要配合下寶塔自帶的防火墻才行。

怎么配合呢？

就是在寶塔防火墻中設(shè)置，給cloudflare的所有服務(wù)器ip開一個白名單，然后其余的所有ip地址都給禁止掉。這樣做的目的，就是把你的網(wǎng)站內(nèi)容只開放給cloudflare，不管是網(wǎng)友還是攻擊只能請求到cloudflare的cdn節(jié)點上的內(nèi)容，這樣就不會因為攻擊量大而導(dǎo)致你的服務(wù)器負(fù)載過高后出現(xiàn)502503等錯誤。

補充

cloudflare的服務(wù)器ip地址，官方有全部列出。

IPv4 Ipv6

173.245.48.0/20 2400:cb00::/32

103.21.244.0/22 2606:4700::/32

103.22.200.0/22 2803:f800::/32

103.31.4.0/22 2405:b500::/32

141.101.64.0/18 2405:8100::/32

108.162.192.0/18 2a06:98c0::/29

190.93.240.0/20 2c0f:f248::/32

188.114.96.0/20

197.234.240.0/22

198.41.128.0/17補充

162.158.0.0/15 131.0.72.0/22

104.16.0.0/12

172.64.0.0/13

那個自動開盾自動關(guān)盾的腳本，大家可以去笨牛網(wǎng)cdn平臺找一下。把這個腳本找到后在寶塔的計劃任務(wù)中開啟就行了。開啟后，注意檢查運行日志，看有沒有出錯。

再就是給搜索引擎的蜘蛛ip設(shè)置下白名單，否則百度蜘蛛也抓取不到你網(wǎng)站的內(nèi)容的。加完白名單后，自己去百度站長中心測試下抓取有沒有問題就行了。

最后，說一句抱歉了，這里只分享防護策略，具體操作過程，我就不寫了。