了解 Cloudflare 如何防御 DDoS 攻击,以及如何识别您的网站是否遭受攻击。
概述
分布式拒绝服务攻击(DDoS)企图使在线服务无法提供给最终用户使用。对于所有计划类型,Cloudflare 都提供第 3、4 和 7 层 DDoS 攻击未计量缓解。Cloudflare 不按攻击大小计费,也没有攻击大小、类型或持续时间的上限。
Cloudflare 的网络设计为自动监控和缓解大型 DDoS 攻击。在 Cloudflare 缓存内容也能防止您的网站遭受小型 DDoS 攻击,但是未缓存的资产需要额外手动响应 DDoS 攻击。此外,Cloudflare 也会在以下情况下帮助缓解针对任何计划的域的较小 DDoS 攻击:
- HTTP 5XX 错误率高于每秒 150 个错误;并且
- 当前错误率至少是过去 7 天平均错误率的五倍。
在考量错误率时,除了错误 500、503 和 530 外,会考虑 5XX 范围内的所有 HTTP 错误(内部服务器错误)。错误 530 与 1xxx 错误一起返回,因此可以豁免。错误 530 并不表示因 HTTP 洪水而导致的源站故障,它通常属于 DNS 配置错误。
HTTP 洪水缓解在 Firewall Analytics 仪表板中显示为 HTTP DDoS 事件。这些事件也可通过 Cloudflare Logs 查看。
目前,对于基于 HTTP 错误率的 DDoS 缓解,客户不能:
- 禁用缓解;
- 更改缓解阈值;或者
- 排除特定的 HTTP 错误代码。
在 Cloudflare 学习中心了解有关著名 DDoS 攻击和 DDoS 的更多信息。也可以在本文末尾的相关资源部分中查阅 DDoS 案例研究。
判断您是否遭受 DDoS 攻击
遭受 DDoS 攻击的常见迹象包括:
- 网站离线,或请求响应很慢。
- Cloudflare Analytics 应用的 Requests Through Cloudflare 或 Bandwidth 的图表中出现意外激增。
- 源站 Web 服务器日志中有奇怪的请求,与正常的访问者行为不符。
Cloudflare 在攻击我吗?
两种常见情况造成错误地认为 Cloudflare 攻击您的站点:
- 除非您恢复源访问者 IP 地址,否则服务器日志中所有代理请求都显示 Cloudflare IP 地址。
- 攻击者在假冒 Cloudflare 的 IP。Cloudflare 仅通过几个特定端口向您的源 Web 服务器发送流量,除非您使用了 Cloudflare Spectrum。
理想情况下,由于 Cloudflare 是反向代理,因此您的托管服务提供商会观察到从 Cloudflare IP 地址连接的攻击流量。另一方面,如果您看到来自不属于 Cloudflare 的 IP 地址的连接,则攻击直接针对您的源 Web 服务器。Cloudflare 无法阻止直接针对您的源站 IP 地址的攻击,因为流量绕过了 Cloudflare 的网络。