了解防止啟用了Cloudflare的站點(diǎn)遭受DDoS工具的最佳做法。
概述
加入Cloudflare之后,請(qǐng)遵循以下建議,確保您的站點(diǎn)充分準(zhǔn)備好防御潛在的DDoS攻擊。
將您的DNS記錄代理到Cloudflare
攻擊者試圖識(shí)別您的原始IP地址,以直接攻擊沒有Cloudflare保護(hù)的源站W(wǎng)eb服務(wù)器。通過將流量代理到Cloudflare隱藏您的原始IP地址,使其免受直接攻擊。
通過以下步驟設(shè)置您的DNS記錄,以獲得最大程度的保護(hù):
1.啟用Cloudflare代理(橙色云)
2.刪除用于FTP或SSH的DNS記錄,改為使用您的原始IP直接執(zhí)行FTP或SSH請(qǐng)求?;蛘?,通過Cloudflare Spectrum代理FTP和SSH。
3.將與您郵件服務(wù)器對(duì)應(yīng)的A、AAAA或CNAME記錄列入灰色云
4.刪除Free、Pro或Business域中的通配符記錄,因?yàn)樗鼈儠?huì)暴露您的原始IP地址。Cloudflare僅保護(hù)Enterprise計(jì)劃中的通配符記錄。
不要限制或阻止來(lái)自Cloudflare IP的請(qǐng)求
將流量代理到Cloudflare之后,對(duì)源站W(wǎng)eb服務(wù)器的連接將來(lái)自Cloudflare的IP地址。因此,源站W(wǎng)eb服務(wù)器務(wù)必要將Cloudflare IP列入白名單,并且明確阻止并非來(lái)自Cloudflare或您信任的合作伙伴、供應(yīng)商或應(yīng)用程序IP地址的流量。
在源站日志中恢復(fù)原始訪問者IP
若要查看攻擊背后的真實(shí)IP,請(qǐng)?jiān)谀脑凑救罩局谢謴?fù)原始訪問者IP。否則,所有流量都會(huì)在您的日志中列出Cloudflare的IP。Cloudflare始終在請(qǐng)求中包含原始訪問者IP地址,作為HTTP標(biāo)頭。告知您的主機(jī)提供商,您將使用反向代理,并在查看當(dāng)前連接時(shí)所有流量都將來(lái)自Cloudflare的IP。
將站點(diǎn)移至Cloudflare后更改服務(wù)器IP地址
對(duì)于代理到Cloudflare的流量,Cloudflare會(huì)隱藏您的源站服務(wù)器IP地址。作為額外的安全預(yù)防措施,建議您與主機(jī)提供商聯(lián)系,并請(qǐng)求新的源站IP。
這可能會(huì)產(chǎn)生費(fèi)用,因此請(qǐng)根據(jù)站點(diǎn)遭受攻擊的風(fēng)險(xiǎn)等級(jí)與您的主機(jī)提供商協(xié)商。
使用Rate Limiting來(lái)防止暴力破解和第7層DDoS攻擊
為阻止偽裝成正常HTTP請(qǐng)求的攻擊,Rate Limiting允許網(wǎng)站管理員在期望其Web服務(wù)器接收的負(fù)載上指定細(xì)粒度的閾值。只需點(diǎn)擊一下,即可設(shè)置基本速率限制,防止您的登錄頁(yè)面遭受暴力攻擊。
Cloudflare Free、Pro和Business計(jì)劃每月包含10000個(gè)免費(fèi)請(qǐng)求。