Cloudflare DDoS預(yù)防措施最佳做法

了解防止啟用了Cloudflare的站點遭受DDoS工具的最佳做法。

概述

加入Cloudflare之后，請遵循以下建議，確保您的站點充分準備好防御潛在的DDoS攻擊。

將您的DNS記錄代理到Cloudflare

攻擊者試圖識別您的原始IP地址，以直接攻擊沒有Cloudflare保護的源站W(wǎng)eb服務(wù)器。通過將流量代理到Cloudflare隱藏您的原始IP地址，使其免受直接攻擊。

通過以下步驟設(shè)置您的DNS記錄，以獲得最大程度的保護：

1.啟用Cloudflare代理（橙色云）

2.刪除用于FTP或SSH的DNS記錄，改為使用您的原始IP直接執(zhí)行FTP或SSH請求?；蛘?，通過Cloudflare Spectrum代理FTP和SSH。

3.將與您郵件服務(wù)器對應(yīng)的A、AAAA或CNAME記錄列入灰色云

4.刪除Free、Pro或Business域中的通配符記錄，因為它們會暴露您的原始IP地址。Cloudflare僅保護Enterprise計劃中的通配符記錄。

不要限制或阻止來自Cloudflare IP的請求

將流量代理到Cloudflare之后，對源站W(wǎng)eb服務(wù)器的連接將來自Cloudflare的IP地址。因此，源站W(wǎng)eb服務(wù)器務(wù)必要將Cloudflare IP列入白名單，并且明確阻止并非來自Cloudflare或您信任的合作伙伴、供應(yīng)商或應(yīng)用程序IP地址的流量。

在源站日志中恢復(fù)原始訪問者IP

若要查看攻擊背后的真實IP，請在您的源站日志中恢復(fù)原始訪問者IP。否則，所有流量都會在您的日志中列出Cloudflare的IP。Cloudflare始終在請求中包含原始訪問者IP地址，作為HTTP標頭。告知您的主機提供商，您將使用反向代理，并在查看當(dāng)前連接時所有流量都將來自Cloudflare的IP。

將站點移至Cloudflare后更改服務(wù)器IP地址

對于代理到Cloudflare的流量，Cloudflare會隱藏您的源站服務(wù)器IP地址。作為額外的安全預(yù)防措施，建議您與主機提供商聯(lián)系，并請求新的源站IP。

這可能會產(chǎn)生費用，因此請根據(jù)站點遭受攻擊的風(fēng)險等級與您的主機提供商協(xié)商。

使用Rate Limiting來防止暴力破解和第7層DDoS攻擊

為阻止偽裝成正常HTTP請求的攻擊，Rate Limiting允許網(wǎng)站管理員在期望其Web服務(wù)器接收的負載上指定細粒度的閾值。只需點擊一下，即可設(shè)置基本速率限制，防止您的登錄頁面遭受暴力攻擊。

Cloudflare Free、Pro和Business計劃每月包含10000個免費請求。