CloudFlare防攻击设置

2023 年 12 月 25 日 星期一(已编辑)
/
42
这篇文章上次修改于 2023 年 12 月 25 日 星期一,可能部分内容已经不适用,如有疑问可询问作者。

CloudFlare防攻击设置

CloudFlare 为所有免费用户在使用其免费 CDN 功能都提供了一定的攻击防御功能,但很多人并没有做好这个配置。导致攻击依然能够穿进源站里,所以今天在这篇文章写一下有关 CloudFlare CDN 的相关设置(基于免费版)

注意

CloudFlare 免费版默认设置是针对整个域名的,如果你有其他二级域名站点,需要注意下这个策略对你其他站点有没有影响。

在你使用 CloudFlare 前请先确保你的源站 IP(服务器 IP)没有暴露,否则对方可以直接指定 Hosts 攻击到你的源站 IP,CloudFlare 防御就形同虚设。

如果源站 IP 已经暴露,先把数据备份出来。然后开一台新服务器创建站点或者向服务商申请更换服务器的 IP。

另外策略设置有优先级,排名靠前的优先级大于后方策略。所以说针对搜索引擎蜘蛛的策略,一定放在第一个!

WAF 设置

位置

域名 > 安全性 > WAF

搜索引擎蜘蛛设置

涉及字段:已知自动程序

表达式: (cf.client.bot) 作用:CloudFlare 对于常见搜索引擎蜘蛛 IP 有自己的一份数据库,符合此要求的请求将会直接访问网站数据。不会经过 CloudFlare 的 WAF 策略等。避免正常蜘蛛访问被拦截。

威胁分数策略(防 CC 与恶意 IP)

涉及字段:威胁分数用户代理已知自动程序 表达式: (cf.threat_score ge 2 and not http.user_agent contains "rss" and not cf.client.bot) 作用:威胁分数大于等于 2,可以阻挡 90% 的恶意 IP。CloudFlare 默认推荐分数 5;实测基本给攻击全漏了进来,设置 3 同样有漏 IP。所以根据 2023 年 12 月目前的网络来说,这里建议设置为 2!

rss 是因为站点有很多人通过 RSS 进行订阅,所以针对此类请求我们不要对他进行人机验证。

针对 RSS 策略比较简单,如果攻击者知道了你的策略可能会针对性攻击,我们实际使用时可以选择适当变通一下。

细化策略

涉及字段:国家/地区已知自动程序URI完整用户代理IP源地址

表达式: (ip.geoip.country ne "CN" and not cf.client.bot and not http.request.full_uri contains "/feed" and not http.user_agent contains "WellKnownBot" and cf.threat_score gt 3 and ip.src ne 源站IP) 作用:首先过滤国家不等于 china,因为来自国内的攻击 IP 极少。我们的访客绝大多数也来自 china 所以直接略过国家。

/feed 是我们的 RSS 订阅地址,我们同样略过此地址。

IP 源地址是我们的源站 IP,针对源站 IP 来的请求数据我们同样略过。

UA 字段 WellKnownBot,查询资料时有博主说好像是个正常请求。所以给他过滤了。

威胁分数大于 3,这里是保证整个策略不至于过于严格,只针对威胁分数大于 3 的 IP 生效。

DDoS 设置

位置

域名 > 安全性 > DDoS

配置

CloudFlare 针对 DDOS 有自己的分析策略可供我们使用。

CloudFlare 会分析请求是否是 DDOS,对于符合的请求我们可以选择进行验证。另外规则集敏感度也可以进行调整。

如果你正在被攻击,可以将敏感度设置为高。误差比较少,如果网站长期套 CloudFlare,我们可以设置为中。

  • Loading...
  • Loading...
  • Loading...
  • Loading...
  • Loading...