最佳做法:DDoS 预防措施
最佳做法:DDoS 预防措施
了解防止启用了 Cloudflare 的站点遭受 DDoS 工具的最佳做法。
概述
加入 Cloudflare 之后,请遵循以下建议,确保您的站点充分准备好防御潜在的 DDoS 攻击。
将您的 DNS 记录代理到 Cloudflare
攻击者试图识别您的原始 IP 地址,以直接攻击没有 Cloudflare 保护的源站 Web 服务器。通过将流量代理到 Cloudflare 隐藏您的原始 IP 地址,使其免受直接攻击。
通过以下步骤设置您的 DNS 记录,以获得最大程度的保护:
- 启用 Cloudflare 代理(橙色云)
- 删除用于 FTP 或 SSH 的 DNS 记录,改为使用您的原始 IP 直接执行 FTP 或 SSH 请求。或者,通过 Cloudflare Spectrum 代理 FTP 和 SSH。
- 将与您邮件服务器对应的 A、AAAA 或 CNAME 记录列入灰色云
- 删除 Free、Pro 或 Business 域中的通配符记录,因为它们会暴露您的原始 IP 地址。 Cloudflare 仅保护 Enterprise 计划中的通配符记录。
不要限制或阻止来自 Cloudflare IP 的请求
将流量代理到 Cloudflare 之后,对源站 Web 服务器的连接将来自 Cloudflare 的 IP 地址。因此,源站 Web 服务器务必要将 Cloudflare IP 列入白名单,并且明确阻止并非来自 Cloudflare 或您信任的合作伙伴、供应商或应用程序 IP 地址的流量。
在源站日志中恢复原始访问者 IP
若要查看攻击背后的真实 IP,请在您的源站日志中 恢复原始访问者 IP。否则,所有流量都会在您的日志中列出 Cloudflare 的 IP。Cloudflare 始终在请求中包含原始访问者 IP 地址, 作为 HTTP 标头。告知您的主机提供商,您将使用反向代理,并在查看当前连接时所有流量都将来自 Cloudflare 的 IP。
将站点移至 Cloudflare 后更改服务器 IP 地址
对于代理到 Cloudflare 的流量,Cloudflare 会隐藏您的源站服务器 IP 地址。作为额外的安全预防措施,建议您与主机提供商联系,并请求新的源站 IP。
使用 Rate Limiting 来防止暴力破解和第 7 层 DDoS 攻击
为阻止伪装成正常 HTTP 请求的攻击,Rate Limiting 允许网站管理员在期望其 Web 服务器接收的负载上指定细粒度的阈值。只需点击一下,即可设置基本速率限制, 防止您的登录页面遭受暴力攻击。
Cloudflare Free、Pro 和 Business 计划每月包含 10000 个免费请求。有关更多详细信息,请参阅 Cloudflare Rate Limiting 指南。