利用cloudflare防CC、ddos操作思路整理

　　打開Cloudflare找到要防御的站點

　　一、設置安全性

　　安全性 > 設置>安全級別設置為：高

　　咨詢通過期設置為：15到30分鐘

　　嚴重可以設置5分鐘(這里慎重設置，不要太低，不要太高!)

　　瀏覽器完整性檢查設置為：打開

　　二、安全性 > DDoS

　　1、點右邊箭頭中的 部署DDos

　　2、按照下面的圖片配置

　　替代名稱：ddos

　　規則集操作：阻止

　　規則敏感度：高

　　3、配置完記得點右下角的保存

　　三、安全性 > 自動程序

　　把自動程序攻擊模式：開啟

　　四、安全性 > WAF > 速率限制規則

　　1、先創建規則

　　規則名稱 (必需)：自己填個

　　如果傳入請求匹配…

　　字段               URL路徑

　　運算符               選擇“包含”

　　值                     自己輸入英文的：/

　　速率限制匹配運算符包含輸入英文 / 是關鍵，也代表網站所有目錄都匹配

　　則…

　　選擇操作：阻止

　　響應類型為 ：默認 Cloudflare 速率限制響應(響應類型為 ：默認 Cloudflare 速率限制響應，這會告訴訪問被阻止，跳轉到CF速度限制阻止頁面。如果您想告訴您的網站訪客發生了什么可以自定義HTML，利用UTF-8編碼自己寫個中文頁面。)

　　對于…

　　持續時間 (必需) 10秒

　　當速率超過…

　　請求 (必需)35

　　期間 (必需)10秒鐘

　　請求：35 可以設置為25.但會影響正常用戶，最好不要低于20.如果太低了，用戶正常訪問都會被阻止。

　　五、安全性 > WAF > 自定義規則

　　1、創建一個規則，名稱隨意

　　2、點編輯表達式，把表達式代碼復制進去保存

　　表達式代碼如下：

　　

(http.request.uri.path contains "/aaa") or (http.request.uri.path contains "/xmlrpc") or (http.request.uri.path contains "/trust") or (http.request.uri.path contains ".zip") or (http.request.uri.path contains ".tar") or (http.request.uri.path contains ".htm")

　　六、網絡 > 洋蔥路由 關掉

　　七、重啟服務器

　　配置完以大概30秒生效，一定要重啟一下服務器，讓服務器斷開所有的程序連接

　　不要依賴在服務器上設置防火墻，因為流量已經到你服務器了，只要攻擊夠大，64/128核都可以干廢。同樣CF也會自動機器學習，哪怕設置好以后，服務器短暫滿載，過一會，CF就會通過AI學習，不停的更新規則，這個規則更新不需要你人工干預。CF為什么免費?就是因為免費用戶被攻擊拿來做機器學習。別擔心CF免費扛不住，或者被清退。理論上您被一次性攻擊幾十億，CF還會拿你做文章。

　　第二波調整如下：

　　1、

　　安全性>WAF>速率限制規則

　　當速率超過…

　　請求 (必需)50

　　期間 (必需)10秒鐘

　　2、

　　然后采取措施…

　　選擇操作：(必需)阻止

　　響應類型為 ：自定義文本

　　響應代碼為：403

　　響應正文：666

　　持續時間達...

　　持續時間 (必需)：10秒鐘

　　3、安全性 > WAF > 自定義規則 >刪除

　　4、

　　網絡>WebSocket>關閉

　　網絡>Pseudo IPv4>覆蓋表頭

 

　　5、網絡>網絡 管理您網站的網絡設置網絡>gRPC>開啟

　　6、緩存>Cache Rules>創建新緩存規則

　　當傳入請求匹配時...

　　字段：URI 路徑

　　運算符：不包含

　　值：.php

　　字段：URI 路徑：

　　運算符：不包含

　　值：search

　　緩存資格(必填)>符合緩存條件

　　邊緣 TTL(可選)>忽略緩存控制標頭，使用此 TTL>輸入生存時間 (TTL) (必需)>12小時

　　狀態代碼 TTL>添加狀態碼設置>

　　范圍：大于或等于

　　狀態代碼：100

　　持續時間：12 小時

　　瀏覽器 TTL(可選)>替代源服務器，使用此 TTL>12 小時