了解 Cloudflare 如何防御 DDoS 攻击,以及如何识别您的网站是否遭受攻击。
概述
分布式拒绝服务攻击(DDoS)企图使在线服务无法提供给最终用户使用。对于所有计划类型,Cloudflare 都提供第 3、4 和 7 层 DDoS 攻击未计量缓解。Cloudflare 不按攻击大小计费,也没有攻击大小、类型或持续时间的上限。
Cloudflare 的网络设计旨在自动监控和缓解大型 DDoS 攻击。在 Cloudflare 缓存内容也能防止您的网站遭受小型 DDoS 攻击,但是未缓存的资产需要额外手动响应 DDoS 攻击。此外,Cloudflare 也会在以下情况下帮助缓解针对任何计划的域的较小 DDoS 攻击:
- HTTP 52X 错误率高于每秒 150 个错误;并且
- 当前错误率至少是过去 7 天平均错误率的五倍。(仅适用于加入 Pro 计划或更高计划的区域)。
在考量错误率时,会考虑 52X 范围内的所有 HTTP 错误(内部服务器错误)。
HTTP DDoS 攻击缓解在 Firewall Analytics 仪表板中显示为 HTTP DDoS 事件。这些事件也可通过 Cloudflare Logs 查看。
目前,对于基于 HTTP 错误率的 DDoS 缓解,客户无法排除特定的 HTTP 错误代码。
在 Cloudflare 学习中心了解有关著名 DDoS 攻击和 DDoS 的更多信息。也可以在本文末尾的相关资源部分中查阅 DDoS 案例研究。
Cloudflare HTTP DDoS 托管规则集
Cloudflare HTTP DDoS 托管规则集是一组预先配置的规则,用于匹配已知攻击模式、已知攻击工具、可疑模式、协议违规、导致大量源站错误的请求、命中源站/缓存的过多流量,以及边缘应用程序层的其他攻击手段。该规则集适用于 Cloudflare 任一计划的客户,并且默认启用。
如果您预计合法流量会出现大幅激增,请考虑自定义 DDoS 防护设置以避免误报。误报是指合法流量被错误地识别为攻击流量并被阻止/质询。
在 Cloudflare 开发人员门户中详细了解 Cloudflare HTTP DDoS 托管规则集和可用的配置设置。
判断您是否遭受 DDoS 攻击
遭受 DDoS 攻击的常见迹象包括:
- 网站离线,或请求响应很慢。
- Cloudflare Analytics 应用的 Requests Through Cloudflare 或 Bandwidth 的图表中出现意外激增。
- 源站 Web 服务器日志中有奇怪的请求,与正常的访问者行为不符。
Cloudflare 在攻击我吗?
两种常见情况造成错误地认为 Cloudflare 攻击您的站点:
- 除非您恢复源访问者 IP 地址,否则服务器日志中所有代理请求都显示 Cloudflare IP 地址。
- 攻击者在假冒 Cloudflare 的 IP。Cloudflare 仅通过几个特定端口向您的源 Web 服务器发送流量,除非您使用了 Cloudflare Spectrum。
理想情况下,由于 Cloudflare 是反向代理,因此您的托管服务提供商会观察到从 Cloudflare IP 地址连接的攻击流量。另一方面,如果您看到来自不属于 Cloudflare 的 IP 地址的连接,则攻击直接针对您的源 Web 服务器。Cloudflare 无法阻止直接针对您的源站 IP 地址的攻击,因为流量绕过了 Cloudflare 的网络。