分享點防護經驗,這幾天又漲了技能了,不過,多虧一位網友的幫助。
cloudflare這個Cdn防護真的是太強了,完全免費,勝過很多的主機服務商,說是全球數一數二的cdn商家一點兒也不誇張。
最近我遇到的攻擊,是我做網站十多年來遇到的最大的一次。從統計數據來看,ddos峰值達到了480G,cc攻擊的時候並發量達到了280萬,帶寬消耗超過200M,預計對方手裡控制了30-40萬的肉雞。
早上的時候,有個做高防的商家聯繫我說他家的高防產品不錯,當我把我的數據報給他後,他直接回復我說做不了。可見這樣的攻擊規模有多大。
好在免費的cloudflare幫我防住了。
這裡講一下防護策略,具體怎麼操作我就不詳細說了。
cloudflare如何防ddos攻擊
cloudflare這邊可以說是無視ddos攻擊,只要你不暴露源伺服器ip就行了。
如何防止源ip不暴露,其實是很難的,如果對手比較強大的話,有很多方法可以搞到你的源ip
比如你網站上的smtp郵局功能,以及Ssl證書都有可能暴露,再就是還有一些黑科技網站可以掃描到你的源伺服器ip
如果你的源伺服器ip保護不了,你就必須要上一些高防伺服器才行。
如果沒有暴露源伺服器ip,那麼直接將你的域名ns/dns換成cloudflare的,然後在cloudflare這邊添加解析到你的源伺服器,並且打開代理加速功能,也就是我們常說的Cdn防護,就完全可以防住了。
cloudflare如何防護cc攻擊
使用cloudflare防Cc的功能也是非常強大的,如果沒有暴露你的源伺服器ip,只需要把你的網站的安全級別調整到I’m under attack模式就可以高枕無憂了。
當然這種模式防護能力是強大,但是用戶體驗不是很友好,因為會出來一個5秒的人機驗證界面(實際可能比5秒更長),有時候5秒會自動跳轉進入網站,有時候需要進行點擊驗證碼進行人機驗證才能進入網站。
那麼這個5秒盾,我們可以使用腳本進行控制,當伺服器負載量不高的時候讓它關閉,太高的時候就讓它打開,這樣也不錯。
如果你的源伺服器ip暴露了,那麼使用cloudflare來防Cc攻擊的時候,還需要配合下寶塔自帶的防火牆才行。
怎麼配合呢?
就是在寶塔防火牆中設置,給cloudflare的所有伺服器ip開一個白名單,然後其餘的所有ip地址都給禁止掉。這樣做的目的,就是把你的網站內容只開放給cloudflare,不管是網友還是攻擊只能請求到cloudflare的cdn節點上的內容,這樣就不會因為攻擊量大而導致你的伺服器負載過高后出現502\503等錯誤。
補充
cloudflare的伺服器ip地址,官方有全部列出。
IPv4Ipv6173.245.48.0/202400:cb00::/32103.21.244.0/222606:4700::/32103.22.200.0/222803:f800::/32103.31.4.0/222405:b500::/32141.101.64.0/182405:8100::/32108.162.192.0/182a06:98c0::/29190.93.240.0/202c0f:f248::/32188.114.96.0/20那個自動開盾自動關盾的腳本,大家可以去笨牛網cdn平臺找一下。把這個腳本找到後在寶塔的計劃任務中開啟就行了。開啟後,注意檢查運行日誌,看有沒有出錯。
再就是給搜尋引擎的蜘蛛ip設置下白名單,否則百度蜘蛛也抓取不到你網站的內容的。加完白名單後,自己去百度站長中心測試下抓取有沒有問題就行了。
最後,說一句抱歉了,這裡只分享防護策略,具體操作過程,我就不寫了。