網站如何運用cloudflare防CC、ddos攻擊思路

打開Cloudflare找到要防御的站點

一、設置安全性

安全性 > 設置>安全級別設置為：高

咨詢通過期設置為：15到30分鐘 嚴重可以設置5分鐘(這里慎重設置，不要太低，不要太高!)

瀏覽器完整性檢查設置為：打開

二、安全性 > DDoS

1、點右邊箭頭中的 部署DDos

2、按照下面的圖片配置

替代名稱：DDos

規則集操作：阻止

規則敏感度：高

3、配置完記得點右下角的保存

三、安全性 > 自動程序

把自動程序攻擊模式：開啟

四、網絡板塊設置

網絡>WebSocket>關閉

網絡>Pseudo IPv4>覆蓋表頭

網絡 > 洋蔥路由 關掉

網絡>網絡 管理您網站的網絡設置網絡>gRPC>開啟

五、安全性 > WAF > 速率限制規則

1、先創建規則

規則名稱 (必需)：速率限制規則

如果傳入請求匹配…

字段               URL路徑

運算符               選擇“包含”

值                     自己輸入英文的：/

速率限制匹配運算符包含輸入英文 / 是關鍵，也代表網站所有目錄都匹配

具有相同特征… IP

當速率超過… 50 10秒鐘

然后采取措施…：阻止

持續時間達...10秒鐘

響應類型為 ：默認 Cloudflare 速率限制響應(響應類型為 ：默認 Cloudflare 速率限制響應，這會告訴訪問被阻止，跳轉到CF速度限制阻止頁面。如果您想告訴您的網站訪客發生了什么可以自定義HTML，利用UTF-8編碼自己寫個中文頁面。)

表達式預覽
 

(starts_with(http.request.uri.path, "/"))

六、緩存>Cache Rules>創建新緩存規則

當傳入請求匹配時...

字段：URI 路徑

運算符：不包含

值：.php

字段：URI 路徑：

運算符：不包含

值：search

緩存資格(必填)>符合緩存條件

邊緣 TTL(可選)>忽略緩存控制標頭，使用此 TTL>輸入生存時間 (TTL) (必需)>12小時

狀態代碼 TTL>添加狀態碼設置>

范圍：大于或等于

狀態代碼：100

持續時間：12 小時

瀏覽器 TTL(可選)>替代源服務器，使用此 TTL>12 小時

七、自定義規則

WAF安全性>自定義規則

1、SEO規則(目的是放行搜索蜘蛛抓取頁面)

表達式預覽

(cf.client.bot) or (http.user_agent contains "Baiduspider") or (http.user_agent contains "bingbot") or (http.user_agent contains "Sogou") or (http.user_agent contains "YisouSpider") or (http.user_agent contains "360Spider") or (http.user_agent contains "YandexBot") or (http.user_agent contains "Quark")

然后采取措施…跳過

2、惡意流量

表達式預覽

(cf.threat_score ge 5 and not cf.client.bot) or (not http.request.version in {"HTTP/2" "HTTP/3"}) or (ip.geoip.country ne "CN")

然后采取措施…托管質詢

3、單獨國家地區規則 當國家地區不等于中國時

表達式預覽
 

(ip.geoip.country ne "CN")

八、重啟服務器

配置完以大概30秒生效，一定要重啟一下服務器，讓服務器斷開所有的程序連接

不要依賴在服務器上設置防火墻，因為流量已經到你服務器了，只要攻擊夠大，64/128核都可以干廢。同樣CF也會自動機器學習，哪怕設置好以后，服務器短暫滿載，過一會，CF就會通過AI學習，不停的更新規則，這個規則更新不需要你人工干預。CF為什么免費?就是因為免費用戶被攻擊拿來做機器學習。別擔心CF免費扛不住，或者被清退。理論上您被一次性攻擊幾十億，CF還會拿你做文章。