用cloudflare这套防护策略,无视任何攻击

作者:寒风笔记 2020-11-19 浏览:26
今日头条: 趣闲赚一个单干一天赚一百的项目

一直以为不会到自己身上的,却还是来了,被攻击了,预感果然没错,邮件就来了,反正网站没赚到钱,我就陪你们好好玩玩。大不了重新再来,虽然技术不行,但是还是找到了一篇文章,希望能帮助到大家。

cloudflare这个Cdn防护真的是太强了,完全免费,胜过很多的主机服务商,说是全球数一数二的cdn商家一点儿也不夸张。

最近我遇到的攻击,是我做网站十多年来遇到的最大的一次。从统计数据来看,ddos峰值达到了480G,cc攻击的时候并发量达到了280万,带宽消耗超过200M,预计对方手里控制了30-40万的肉鸡。

早上的时候,有个做高防的商家联系我说他家的高防产品不错,当我把我的数据报给他后,他直接回复我说做不了。可见这样的攻击规模有多大。

好在免费的cloudflare帮我防住了。

这里讲一下防护策略,具体怎么操作我就不详细说了。

image.png

cloudflare如何防ddos攻击

cloudflare这边可以说是无视ddos攻击,只要你不暴露源服务器ip就行了。

如何防止源ip不暴露,其实是很难的,如果对手比较强大的话,有很多方法可以搞到你的源ip

比如你网站上的smtp邮局功能,以及Ssl证书都有可能暴露,再就是还有一些黑科技网站可以扫描到你的源服务器ip

如果你的源服务器ip保护不了,你就必须要上一些高防服务器才行。

如果没有暴露源服务器ip,那么直接将你的域名ns/dns换成cloudflare的,然后在cloudflare这边添加解析到你的源服务器,并且打开代理加速功能,也就是我们常说的Cdn防护,就完全可以防住了。

cloudflare如何防护cc攻击

使用cloudflare防Cc的功能也是非常强大的,如果没有暴露你的源服务器ip,只需要把你的网站的安全级别调整到I’m under attack模式就可以高枕无忧了。

当然这种模式防护能力是强大,但是用户体验不是很友好,因为会出来一个5秒的人机验证界面(实际可能比5秒更长),有时候5秒会自动跳转进入网站,有时候需要进行点击验证码进行人机验证才能进入网站。

那么这个5秒盾,我们可以使用脚本进行控制,当服务器负载量不高的时候让它关闭,太高的时候就让它打开,这样也不错。

如果你的源服务器ip暴露了,那么使用cloudflare来防Cc攻击的时候,还需要配合下宝塔自带的防火墙才行。

怎么配合呢?

就是在宝塔防火墙中设置,给cloudflare的所有服务器ip开一个白名单,然后其余的所有ip地址都给禁止掉。这样做的目的,就是把你的网站内容只开放给cloudflare,不管是网友还是攻击只能请求到cloudflare的cdn节点上的内容,这样就不会因为攻击量大而导致你的服务器负载过高后出现502\503等错误。

补充

cloudflare的服务器ip地址,官方有全部列出。

IPv4Ipv6
173.245.48.0/202400:cb00::/32
103.21.244.0/222606:4700::/32
103.22.200.0/222803:f800::/32
103.31.4.0/222405:b500::/32
141.101.64.0/182405:8100::/32
108.162.192.0/182a06:98c0::/29
190.93.240.0/202c0f:f248::/32
188.114.96.0/20
197.234.240.0/22
198.41.128.0/17补充
162.158.0.0/15131.0.72.0/22
104.16.0.0/12
172.64.0.0/13

那个自动开盾自动关盾的脚本,大家可以去笨牛网cdn平台找一下。把这个脚本找到后在宝塔的计划任务中开启就行了。开启后,注意检查运行日志,看有没有出错。

再就是给搜索引擎的蜘蛛ip设置下白名单,否则百度蜘蛛也抓取不到你网站的内容的。加完白名单后,自己去百度站长中心测试下抓取有没有问题就行了。


非常感谢有货街站长的分享。

本文转载:https://www.yohojie.com/boke/15751.html

转载请注明出处:寒风笔记,如有疑问,请联系(寒风日记)。
本文地址:https://www.uscbbs.com/36.html