目前位置: 首页 » 主机 »正文

用cloudflare这套防护策略,防ddos及cc攻击都很好

分享点防护经验,这几天又涨了技能了,不过,多亏一位网友的帮助。

cloudflare这个Cdn防护真的是太强了,完全免费,胜过很多的主机服务商,说是全球数一数二的cdn商家一点儿也不夸张。

最近我遇到的攻击,是我做网站十多年来遇到的最大的一次。从统计数据来看,ddos峰值达到了480G,cc攻击的时候并发量达到了280万,带宽消耗超过200M,预计对方手里控制了30-40万的肉鸡。

早上的时候,有个做高防的商家联系我说他家的高防产品不错,当我把我的数据报给他后,他直接回复我说做不了。可见这样的攻击规模有多大。

好在免费的cloudflare帮我防住了。

这里讲一下防护策略,具体怎么操作我就不详细说了。

免费cdn

cloudflare如何防ddos攻击

cloudflare这边可以说是无视ddos攻击,只要你不暴露源服务器ip就行了。

如何防止源ip不暴露,其实是很难的,如果对手比较强大的话,有很多方法可以搞到你的源ip

比如你网站上的smtp邮局功能,以及Ssl证书都有可能暴露,再就是还有一些黑科技网站可以扫描到你的源服务器ip

如果你的源服务器ip保护不了,你就必须要上一些高防服务器才行。

如果没有暴露源服务器ip,那么直接将你的域名ns/dns换成cloudflare的,然后在cloudflare这边添加解析到你的源服务器,并且打开代理加速功能,也就是我们常说的Cdn防护,就完全可以防住了。

cloudflare如何防护cc攻击

使用cloudflare防Cc的功能也是非常强大的,如果没有暴露你的源服务器ip,只需要把你的网站的安全级别调整到I’m under attack模式就可以高枕无忧了。

当然这种模式防护能力是强大,但是用户体验不是很友好,因为会出来一个5秒的人机验证界面(实际可能比5秒更长),有时候5秒会自动跳转进入网站,有时候需要进行点击验证码进行人机验证才能进入网站。

那么这个5秒盾,我们可以使用脚本进行控制,当服务器负载量不高的时候让它关闭,太高的时候就让它打开,这样也不错。

如果你的源服务器ip暴露了,那么使用cloudflare来防Cc攻击的时候,还需要配合下宝塔自带的防火墙才行。

怎么配合呢?

就是在宝塔防火墙中设置,给cloudflare的所有服务器ip开一个白名单,然后其余的所有ip地址都给禁止掉。这样做的目的,就是把你的网站内容只开放给cloudflare,不管是网友还是攻击只能请求到cloudflare的cdn节点上的内容,这样就不会因为攻击量大而导致你的服务器负载过高后出现502\503等错误。

补充

cloudflare的服务器ip地址,官方有全部列出。

IPv4 Ipv6
173.245.48.0/20 2400:cb00::/32
103.21.244.0/22 2606:4700::/32
103.22.200.0/22 2803:f800::/32
103.31.4.0/22 2405:b500::/32
141.101.64.0/18 2405:8100::/32
108.162.192.0/18 2a06:98c0::/29
190.93.240.0/20 2c0f:f248::/32
188.114.96.0/20
197.234.240.0/22
198.41.128.0/17 补充
162.158.0.0/15 131.0.72.0/22
104.16.0.0/12
172.64.0.0/13

那个自动开盾自动关盾的脚本,大家可以去笨牛网cdn平台找一下。把这个脚本找到后在宝塔的计划任务中开启就行了。开启后,注意检查运行日志,看有没有出错。

再就是给搜索引擎的蜘蛛ip设置下白名单,否则百度蜘蛛也抓取不到你网站的内容的。加完白名单后,自己去百度站长中心测试下抓取有没有问题就行了。

最后,说一句抱歉了,这里只分享防护策略,具体操作过程,我就不写了。因 为看着简单,要操作到位还是非常消耗精力的,你如果自己搞不定,需要帮忙的话,可以加qq469723677(加Q请说明来自于有货街),这边需要收取少量的费用,80-320元不等。

推荐阅读