DDoS 防护
Cloudflare 提供企业级的 DDoS(分布式拒绝服务攻击)防护,能够自动检测和缓解大规模攻击。免费计划也包含基础 DDoS 防护功能。
DDoS 攻击概述
什么是 DDoS 攻击?
DDoS 攻击通过大量请求淹没目标服务器,使其无法正常响应合法用户的请求。攻击类型包括:
网络层攻击(L3/L4):
- SYN Flood
- UDP Flood
- ICMP Flood
- Amplification 攻击
应用层攻击(L7):
- HTTP Flood
- Slowloris
- DNS 查询攻击
Cloudflare DDoS 防护优势
自动检测:机器学习模型实时检测异常流量。
即时缓解:攻击在边缘节点被拦截,不影响源服务器。
无限容量:Cloudflare 网络可以处理 Tbps 级别的攻击。
免费包含:基础 DDoS 防护在免费计划中提供。
防护机制
流量分析
Cloudflare 实时分析所有经过的流量:
用户请求 → Cloudflare 边缘节点
↓
流量分析引擎
↓
检测到攻击?
/ \
是 否
↓ ↓
缓解措施 正常转发
缓解措施
网络层:
- 丢弃恶意数据包
- 限速特定协议
- 黑名单 IP
应用层:
- JavaScript 挑战
- CAPTCHA 验证
- 速率限制
- IP 封禁
配置 DDoS 防护
网络层 DDoS
网络层防护默认开启,无需配置。
查看防护状态:
Security → DDoS → Network
HTTP DDoS
HTTP 层防护也默认开启,可以配置规则:
Security → DDoS → HTTP
创建自定义规则
- 点击 "Create DDoS override"
- 设置规则名称
- 配置匹配条件
- 设置敏感级别
敏感级别
| 级别 | 说明 | 适用场景 |
|---|---|---|
| Low | 低敏感度,较少误报 | 一般网站 |
| Medium | 中等敏感度 | 推荐 |
| High | 高敏感度,可能误报 | 高风险网站 |
| Off | 关闭防护 | 不推荐 |
速率限制
配置速率限制规则
Security → WAF → Rate limiting rules
示例:保护登录接口
规则名称: Protect Login
匹配条件: URI Path equals "/login" AND Request Method equals "POST"
速率阈值: 10 requests per 1 minute per IP
动作: Block for 10 minutes
示例:保护 API
规则名称: API Rate Limit
匹配条件: URI Path starts with "/api/"
速率阈值: 100 requests per 1 minute per IP
动作: Challenge
I'm Under Attack 模式
当遭受大规模攻击时,可以开启 "I'm Under Attack" 模式:
Security → Settings → Security Level
选择: I'm Under Attack
工作原理
- 所有访问者看到验证页面
- 浏览器执行 JavaScript 挑战
- 通过验证的访问者被放行
- 自动化工具无法通过验证
注意事项
- 可能影响正常用户体验
- 仅在攻击时开启
- 攻击结束后及时关闭
高级防护
Bot 管理
识别和管理 Bot 流量:
Security → Bots
Bot Fight Mode:阻止已知恶意 Bot
Super Bot Fight Mode(付费):
- 允许/阻止 Verified Bots
- 处理 Likely Automated 流量
WAF 规则
配合 WAF 规则增强防护:
Security → WAF → Custom rules
示例规则
阻止特定国家:
条件: Country equals XX
动作: Block
阻止特定 User-Agent:
条件: User Agent contains "bot"
动作: Challenge
阻止已知攻击 IP:
条件: IP Source Address in list [malicious_ips]
动作: Block
监控与分析
查看攻击事件
Security → Events
可以看到:
- 攻击类型
- 攻击来源
- 攻击规模
- 缓解措施
分析面板
Security → DDoS → Analytics
查看:
- 攻击趋势
- 流量分布
- 缓解统计
设置告警
配置攻击告警:
Notifications → Add
选择: DDoS Attack Alert
设置通知方式:
- 邮件
- Webhook
- Slack
攻击响应流程
发现攻击
- 收到攻击告警
- 查看 Security Events
- 分析攻击类型和来源
立即响应
- 开启 "I'm Under Attack" 模式
- 添加针对性 WAF 规则
- 配置速率限制
持续监控
- 观察攻击流量变化
- 调整防护规则
- 记录攻击特征
攻击后分析
- 分析攻击日志
- 优化防护配置
- 更新安全策略
最佳实践
预防措施
- 启用所有安全功能:WAF、DDoS 防护、Bot 管理
- 配置速率限制:保护关键接口
- 设置访问控制:限制敏感区域访问
- 启用 Always Use HTTPS:防止降级攻击
攻击期间
- 保持冷静:Cloudflare 自动缓解大部分攻击
- 开启攻击模式:大规模攻击时开启
- 监控日志:了解攻击特征
- 联系支持:严重攻击联系 Cloudflare 支持
长期策略
- 定期审查规则:更新 WAF 和速率限制规则
- 监控异常流量:建立流量基线
- 备份应急方案:准备备用域名或服务
常见问题
DDoS 防护会影响性能吗?
正常情况下影响极小。Cloudflare 在边缘节点处理,延迟通常小于 1ms。
免费计划能防护多大攻击?
免费计划包含基础 DDoS 防护,可以防护大多数常见攻击。大规模攻击可能需要升级计划。
如何测试 DDoS 防护?
不建议自行测试 DDoS 防护。可以使用 Cloudflare 的安全评分功能评估安全状态。
攻击日志保存多久?
免费计划保留 24 小时,付费计划可延长。
参考链接
下一步
完成 DDoS 防护学习后,接下来学习 最佳实践,了解生产环境配置建议。