用cloudflare这套防护策略,防ddos及cc攻击都很好

分享点防护经验，这几天又涨了技能了，不过，多亏一位网友的帮助。

cloudflare这个Cdn防护真的是太强了，完全免费，胜过很多的主机服务商，说是全球数一数二的cdn商家一点儿也不夸张。

最近我遇到的攻击，是我做网站十多年来遇到的最大的一次。从统计数据来看，ddos峰值达到了480G，cc攻击的时候并发量达到了280万，带宽消耗超过200M，预计对方手里控制了30-40万的肉鸡。

早上的时候，有个做高防的商家联系我说他家的高防产品不错，当我把我的数据报给他后，他直接回复我说做不了。可见这样的攻击规模有多大。

好在免费的cloudflare帮我防住了。

这里讲一下防护策略，具体怎么操作我就不详细说了。

cloudflare如何防ddos攻击

cloudflare这边可以说是无视ddos攻击，只要你不暴露源服务器ip就行了。

如何防止源ip不暴露，其实是很难的，如果对手比较强大的话，有很多方法可以搞到你的源ip

比如你网站上的smtp邮局功能，以及Ssl证书都有可能暴露，再就是还有一些黑科技网站可以扫描到你的源服务器ip

如果你的源服务器ip保护不了，你就必须要上一些高防服务器才行。

如果没有暴露源服务器ip，那么直接将你的域名ns/dns换成cloudflare的，然后在cloudflare这边添加解析到你的源服务器，并且打开代理加速功能，也就是我们常说的Cdn防护，就完全可以防住了。

cloudflare如何防护cc攻击

使用cloudflare防Cc的功能也是非常强大的，如果没有暴露你的源服务器ip，只需要把你的网站的安全级别调整到I’m under attack模式就可以高枕无忧了。

当然这种模式防护能力是强大，但是用户体验不是很友好，因为会出来一个5秒的人机验证界面（实际可能比5秒更长），有时候5秒会自动跳转进入网站，有时候需要进行点击验证码进行人机验证才能进入网站。

那么这个5秒盾，我们可以使用脚本进行控制，当服务器负载量不高的时候让它关闭，太高的时候就让它打开，这样也不错。

如果你的源服务器ip暴露了，那么使用cloudflare来防Cc攻击的时候，还需要配合下宝塔自带的防火墙才行。

怎么配合呢？

就是在宝塔防火墙中设置，给cloudflare的所有服务器ip开一个白名单，然后其余的所有ip地址都给禁止掉。这样做的目的，就是把你的网站内容只开放给cloudflare，不管是网友还是攻击只能请求到cloudflare的cdn节点上的内容，这样就不会因为攻击量大而导致你的服务器负载过高后出现502\503等错误。

补充

cloudflare的服务器ip地址，官方有全部列出。

那个自动开盾自动关盾的脚本，大家可以去笨牛网cdn平台找一下。把这个脚本找到后在宝塔的计划任务中开启就行了。开启后，注意检查运行日志，看有没有出错。

再就是给搜索引擎的蜘蛛ip设置下白名单，否则百度蜘蛛也抓取不到你网站的内容的。加完白名单后，自己去百度站长中心测试下抓取有没有问题就行了。

最后，说一句抱歉了，这里只分享防护策略，具体操作过程，我就不写了。因 为看着简单，要操作到位还是非常消耗精力的，你如果自己搞不定，需要帮忙的话，可以加qq469723677（加Q请说明来自于有货街），这边需要收取少量的费用，80-320元不等。