一个网站
你懂的

防CC攻击经验分享(三):通过Cloudflare防CC攻击

本文由@91yun发布

这个是防CC攻击分享的最后一章了。很感谢在上次被攻击中帮助我的80host的老板和kvmla的k总,他们积极分享这些防御经验,受益匪浅。也很感谢所有在被攻击过程一直支持我的朋友门,在攻击停止后又快速回来继续支持我。也希望这些经验能帮助到更多的人。

我战战兢兢的做站,也尽量不说任何人坏话,如果有什么伤害到你利益的事情也可以直接沟通,感谢。

CDN并防不了cc攻击

首先澄清一个误区。其实CDN对防御CC基本没有任何作用,而且还会有很大的副作用。因为CDN一般只对静态文件进行缓存,PHP等动态文件还是回源请求的,所以首先这个原因就基本对CC没有任何帮助作用。而且由于你用了CDN,如果你没有对webserver做特殊的设置,就会导致你的web日志收集到的都是CDN服务器的IP,而不是真实的攻击来源IP,导致你收集不到真实的IP。

Cloudflare的Security Level

Cloudflare放CC也主要靠一个功能,就是Firewall里面,Security Level的“i am under attacks!

QQ图片20160703031159

我并不确定其他CDN是否提供了这个功能。如果其他CDN没有提供这个功能,那就是基本对cc防御没有任何帮助。

这个功能的主要作用是访问任何页面的时候强制在CF的认证页面停留5秒,5秒后才正式转入目标网页。因为cc攻击一般都是用程序直接瞬时发起一个请求,并不会等5秒,并且用的还不是正常的浏览器,所以能帮助过滤掉大量非正常访问的请求,达到防止cc攻击的作用。

但这个功能有一个非常大的问题,就是他强制了所有请求,包括API的请求!所以那几天我开启了CF后,大家安装我的锐速安装包就出问题了,因为本来要下载一个匹配文件,结果下下来的都是CF的这个强制认证页面。

而且要使用CF的这个功能,还需要:

  1. 把域名的DNS解析转入CF
  2. 开启这个域名的CDN功能

即使有这么多不方便的地方,但CF的这个防御无疑是成本最低的防御方法。

打赏
未经允许不得转载:91云(91yun.org) » 防CC攻击经验分享(三):通过Cloudflare防CC攻击
分享到:更多 ()

留言 6

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #3

    有个错别字

    超越自我吧6个月前 (07-13)回复
  2. #2
  3. #1

    cf可以利用闲置域名增加个二级域名给需要的域名cname就不用ns了

    拒绝py7个月前 (07-09)回复
    • 好像是个不错的方法?

      91yun7个月前 (07-09)回复
      • 可以的我一直这样毕竟主域名太多二级域名如果换ns等解析严重影响

        拒绝py6个月前 (07-10)回复
    • 这样过段时间就会被封

      Qa6个月前 (07-12)回复