cloudflare这套防护策略,防ddos及cc攻击都很好

分享点防护经验，这几天又涨了技能了，不过，多亏一位网友的帮助。

cloudflare这个Cdn防护真的是太强了，完全免费，胜过很多的主机服务商，说是全球数一数二的cdn商家一点儿也不夸张。

最近我遇到的攻击，是我做网站十多年来遇到的最大的一次。从统计数据来看，ddos峰值达到了480G，cc攻击的时候并发量达到了280万，带宽消耗超过200M，预计对方手里控制了30-40万的肉鸡。

早上的时候，有个做高防的商家联系我说他家的高防产品不错，当我把我的数据报给他后，他直接回复我说做不了。可见这样的攻击规模有多大。

好在免费的cloudflare帮我防住了。

这里讲一下防护策略，具体怎么操作我就不详细说了。

cloudflare如何防ddos攻击

cloudflare这边可以说是无视ddos攻击，只要你不暴露源服务器ip就行了。

如何防止源ip不暴露，其实是很难的，如果对手比较强大的话，有很多方法可以搞到你的源ip

比如你网站上的smtp邮局功能，以及Ssl证书都有可能暴露，再就是还有一些黑科技网站可以扫描到你的源服务器ip

如果你的源服务器ip保护不了，你就必须要上一些高防服务器才行。

如果没有暴露源服务器ip，那么直接将你的域名ns/dns换成cloudflare的，然后在cloudflare这边添加解析到你的源服务器，并且打开代理加速功能，也就是我们常说的Cdn防护，就完全可以防住了。

cloudflare如何防护cc攻击

使用cloudflare防Cc的功能也是非常强大的，如果没有暴露你的源服务器ip，只需要把你的网站的安全级别调整到I’m under attack模式就可以高枕无忧了。

当然这种模式防护能力是强大，但是用户体验不是很友好，因为会出来一个5秒的人机验证界面（实际可能比5秒更长），有时候5秒会自动跳转进入网站，有时候需要进行点击验证码进行人机验证才能进入网站。

那么这个5秒盾，我们可以使用脚本进行控制，当服务器负载量不高的时候让它关闭，太高的时候就让它打开，这样也不错。

如果你的源服务器ip暴露了，那么使用cloudflare来防Cc攻击的时候，还需要配合下宝塔自带的防火墙才行。

怎么配合呢？

就是在宝塔防火墙中设置，给cloudflare的所有服务器ip开一个白名单，然后其余的所有ip地址都给禁止掉。这样做的目的，就是把你的网站内容只开放给cloudflare，不管是网友还是攻击只能请求到cloudflare的cdn节点上的内容，这样就不会因为攻击量大而导致你的服务器负载过高后出现502503等错误。

补充

cloudflare的服务器ip地址，官方有全部列出。

IPv4 Ipv6

173.245.48.0/20 2400:cb00::/32

103.21.244.0/22 2606:4700::/32

103.22.200.0/22 2803:f800::/32

103.31.4.0/22 2405:b500::/32

141.101.64.0/18 2405:8100::/32

108.162.192.0/18 2a06:98c0::/29

190.93.240.0/20 2c0f:f248::/32

188.114.96.0/20

197.234.240.0/22

198.41.128.0/17补充

162.158.0.0/15 131.0.72.0/22

104.16.0.0/12

172.64.0.0/13

那个自动开盾自动关盾的脚本，大家可以去笨牛网cdn平台找一下。把这个脚本找到后在宝塔的计划任务中开启就行了。开启后，注意检查运行日志，看有没有出错。

再就是给搜索引擎的蜘蛛ip设置下白名单，否则百度蜘蛛也抓取不到你网站的内容的。加完白名单后，自己去百度站长中心测试下抓取有没有问题就行了。

最后，说一句抱歉了，这里只分享防护策略，具体操作过程，我就不写了。