怎樣利用Cloudflare防御DDoS攻擊？

加入 Cloudflare 之后，請(qǐng)遵循以下建議，確保站點(diǎn)充分準(zhǔn)備好防御潛在的 DDoS 攻擊。

將您的 DNS 記錄代理到 Cloudflare

攻擊者試圖識(shí)別您的原始 IP 地址，以直接攻擊沒有 Cloudflare 保護(hù)的源站 Web 服務(wù)器。通過將流量代理到 Cloudflare 隱藏您的原始 IP 地址，使其免受直接攻擊。

通過以下步驟設(shè)置您的 DNS 記錄，以獲得最大程度的保護(hù)：

啟用 Cloudflare 代理（橙色云）

刪除用于 FTP 或 SSH 的 DNS 記錄，改為使用您的原始 IP 直接執(zhí)行 FTP 或 SSH 請(qǐng)求?；蛘撸ㄟ^ Cloudflare Spectrum 代理 FTP 和 SSH。

將與您郵件服務(wù)器對(duì)應(yīng)的 A、AAAA 或 CNAME 記錄列入灰色云

刪除 Free、Pro 或 Business 域中的通配符記錄，因?yàn)樗鼈儠?huì)暴露您的原始 IP 地址。Cloudflare 僅保護(hù) Enterprise 計(jì)劃中的通配符記錄。

不要限制或阻止來自 Cloudflare IP 的請(qǐng)求

將流量代理到 Cloudflare 之后，對(duì)源站 Web 服務(wù)器的連接將來自 Cloudflare 的 IP 地址。因此，源站 Web 服務(wù)器務(wù)必要將 Cloudflare IP 列入白名單，并且明確阻止并非來自 Cloudflare 或您信任的合作伙伴、供應(yīng)商或應(yīng)用程序 IP 地址的流量。

在源站日志中恢復(fù)原始訪問者 IP

若要查看攻擊背后的真實(shí) IP，請(qǐng)?jiān)谀脑凑救罩局谢謴?fù)原始訪問者 IP。否則，所有流量都會(huì)在您的日志中列出 Cloudflare 的 IP。Cloudflare 始終在請(qǐng)求中包含原始訪問者 IP 地址，作為 HTTP 標(biāo)頭。告知您的主機(jī)提供商，您將使用反向代理，并在查看當(dāng)前連接時(shí)所有流量都將來自 Cloudflare 的 IP。

將站點(diǎn)移至 Cloudflare 后更改服務(wù)器 IP 地址

對(duì)于代理到 Cloudflare 的流量，Cloudflare 會(huì)隱藏您的源站服務(wù)器 IP 地址。作為額外的安全預(yù)防措施，建議您與主機(jī)提供商聯(lián)系，并請(qǐng)求新的源站 IP。

使用 Rate Limiting 來防止暴力破解和第 7 層 DDoS 攻擊

為阻止偽裝成正常 HTTP 請(qǐng)求的攻擊，Rate Limiting 允許網(wǎng)站管理員在期望其 Web 服務(wù)器接收的負(fù)載上指定細(xì)粒度的閾值。只需點(diǎn)擊一下，即可設(shè)置基本速率限制，防止您的登錄頁面遭受暴力攻擊。