了解 Cloudflare 如何防御 DDoS 攻击,以及如何识别您的网站是否遭受攻击。
概述
分布式拒绝服务攻击(DDoS)企图使在线服务无法提供给最终用户使用。对于所有计划类型,Cloudflare 都提供第 3、4 和 7 层 DDoS 攻击未计量缓解。Cloudflare 不按攻击大小计费,也没有攻击大小、类型或持续时间的上限。
Cloudflare 的网络设计旨在自动监测和缓解大型 DDoS 攻击。在 Cloudflare 缓存内容也能防止您的网站遭受小型 DDoS 攻击,但是未缓存的资产需要额外手动应对 DDoS 攻击。
此外,Cloudflare 也会在以下情况下帮助缓解较小的 DDoS 攻击:
- 对于任何计划中的区域,当 HTTP 错误率高于高(默认)敏感度级别,即每秒 1,000 个错误的错误率阈值时。您可以配置 HTTP DDoS 攻击防护托管规则集以降低敏感度级别。
- 对于 Pro、Business 和 Enterprise 计划中的区域,Cloudflare 会执行额外检查以提高检测准确性:每秒错误率还必须至少是正常源站流量水平的五倍。
Cloudflare 根据 52X 范围内(内部服务器错误)和 53X 范围内的所有 HTTP 错误来确定错误率,但错误 530除外。
HTTP DDoS 攻击缓解在 Firewall Analytics 仪表板中显示为 HTTP DDoS 事件。这些事件也可通过 Cloudflare Logs 查看。
目前,对于基于 HTTP 错误率的 DDoS 缓解,客户无法排除特定的 HTTP 错误代码。
在 Cloudflare 学习中心了解有关著名 DDoS 攻击和 DDoS 的更多信息。也可以在本文末尾的相关资源部分中查阅 DDoS 案例研究。
Cloudflare HTTP DDoS 攻击防护托管规则集
Cloudflare HTTP DDoS 攻击防护托管规则集是一组预先配置的规则,用于匹配已知攻击模式、已知攻击工具、可疑模式、协议违规、导致大量源站错误的请求、命中源站/缓存的过多流量,以及边缘应用程序层的其他攻击手段。该规则集适用于 Cloudflare 任一计划的客户,并且默认启用。
如果您预计合法流量会出现大幅激增,请考虑自定义 DDoS 防护设置以避免误报。误报是指合法流量被错误地识别为攻击流量并被阻止/质询。
在 Cloudflare 开发人员门户中详细了解 Cloudflare HTTP DDoS 攻击防护托管规则集和可用的配置设置。
如需详细了解 HTTP DDoS 攻击防护系统所采用的操作,请参阅 HTTP DDoS 攻击防护参数:操作。
Cloudflare 网络层 DDoS 攻击防护托管规则集
Cloudflare 网络层 DDoS 攻击防护托管规则集是一组预先配置的规则,用于匹配 OSI 模型第 3 层和第 4 层已知的 DDoS 攻击手段。该规则集适用于 Cloudflare 任一计划的客户,并且默认启用。
在 Cloudflare 开发人员门户中详细了解 Cloudflare 网络层 DDoS 攻击防护托管规则集和可用的配置设置。
如需详细了解 L3/4 DDoS 攻击防护系统所采用的操作,请参阅网络层 DDoS 攻击防护参数:操作。
判断您是否遭受 DDoS 攻击
遭受 DDoS 攻击的常见迹象包括:
- 网站离线,或请求响应很慢。
- Cloudflare Analytics 应用的 Requests Through Cloudflare 或 Bandwidth 的图表中出现意外激增。
- 源站 Web 服务器日志中有奇怪的请求,与正常的访问者行为不符。
Cloudflare 在攻击我吗?
两种常见情况造成错误地认为 Cloudflare 攻击您的站点:
- 除非您恢复源访问者 IP 地址,否则服务器日志中所有代理请求都显示 Cloudflare IP 地址。
- 攻击者在假冒 Cloudflare 的 IP。Cloudflare 仅通过几个特定端口向您的源 Web 服务器发送流量,除非您使用了 Cloudflare Spectrum。
理想情况下,由于 Cloudflare 是反向代理,因此您的托管服务提供商会观察到从 Cloudflare IP 地址连接的攻击流量。另一方面,如果您看到来自不属于 Cloudflare 的 IP 地址的连接,则攻击直接针对您的源 Web 服务器。Cloudflare 无法阻止直接针对您的源站 IP 地址的攻击,因为流量绕过了 Cloudflare 的网络。