Cloudflare DDoS預(yù)防措施最佳做法

了解防止啟用了Cloudflare的站點(diǎn)遭受DDoS工具的最佳做法。

概述

加入Cloudflare之后，請(qǐng)遵循以下建議，確保您的站點(diǎn)充分準(zhǔn)備好防御潛在的DDoS攻擊。

將您的DNS記錄代理到Cloudflare

攻擊者試圖識(shí)別您的原始IP地址，以直接攻擊沒有Cloudflare保護(hù)的源站W(wǎng)eb服務(wù)器。通過將流量代理到Cloudflare隱藏您的原始IP地址，使其免受直接攻擊。

通過以下步驟設(shè)置您的DNS記錄，以獲得最大程度的保護(hù)：

1.啟用Cloudflare代理（橙色云）

2.刪除用于FTP或SSH的DNS記錄，改為使用您的原始IP直接執(zhí)行FTP或SSH請(qǐng)求?；蛘?，通過Cloudflare Spectrum代理FTP和SSH。

3.將與您郵件服務(wù)器對(duì)應(yīng)的A、AAAA或CNAME記錄列入灰色云

4.刪除Free、Pro或Business域中的通配符記錄，因?yàn)樗鼈儠?huì)暴露您的原始IP地址。Cloudflare僅保護(hù)Enterprise計(jì)劃中的通配符記錄。

不要限制或阻止來(lái)自Cloudflare IP的請(qǐng)求

將流量代理到Cloudflare之后，對(duì)源站W(wǎng)eb服務(wù)器的連接將來(lái)自Cloudflare的IP地址。因此，源站W(wǎng)eb服務(wù)器務(wù)必要將Cloudflare IP列入白名單，并且明確阻止并非來(lái)自Cloudflare或您信任的合作伙伴、供應(yīng)商或應(yīng)用程序IP地址的流量。

在源站日志中恢復(fù)原始訪問者IP

若要查看攻擊背后的真實(shí)IP，請(qǐng)?jiān)谀脑凑救罩局谢謴?fù)原始訪問者IP。否則，所有流量都會(huì)在您的日志中列出Cloudflare的IP。Cloudflare始終在請(qǐng)求中包含原始訪問者IP地址，作為HTTP標(biāo)頭。告知您的主機(jī)提供商，您將使用反向代理，并在查看當(dāng)前連接時(shí)所有流量都將來(lái)自Cloudflare的IP。

將站點(diǎn)移至Cloudflare后更改服務(wù)器IP地址

對(duì)于代理到Cloudflare的流量，Cloudflare會(huì)隱藏您的源站服務(wù)器IP地址。作為額外的安全預(yù)防措施，建議您與主機(jī)提供商聯(lián)系，并請(qǐng)求新的源站IP。

這可能會(huì)產(chǎn)生費(fèi)用，因此請(qǐng)根據(jù)站點(diǎn)遭受攻擊的風(fēng)險(xiǎn)等級(jí)與您的主機(jī)提供商協(xié)商。

使用Rate Limiting來(lái)防止暴力破解和第7層DDoS攻擊

為阻止偽裝成正常HTTP請(qǐng)求的攻擊，Rate Limiting允許網(wǎng)站管理員在期望其Web服務(wù)器接收的負(fù)載上指定細(xì)粒度的閾值。只需點(diǎn)擊一下，即可設(shè)置基本速率限制，防止您的登錄頁(yè)面遭受暴力攻擊。

Cloudflare Free、Pro和Business計(jì)劃每月包含10000個(gè)免費(fèi)請(qǐng)求。