先确保源站 IP 没有暴露,不然 CF 没有任何效果,在服务器防火墙仅允许 Cloudflare IP 段回源。并且配置 Authenticated Origin Pulls ,不要使用 CF 提供的默认证书。原因可参考这个文章:Relying solely on IP Allowlisting with Cloudflare is WRONG
然后在 Cloudflare 仪表盘设置速率限制规则,速率限制规则可以防小型 CC ,因为小型 CC 可能不会触发 CF 的 http ddos 检测。
以上是众所周知的防 CC 方法。但是在大型 CC 攻击下,仍会有不少漏网之鱼打到源站。我们可以在 Cloudflare 边缘缓存页面,把 TTL 设置成 1 小时,检测 cookie 为登录用户绕过缓存,然后在源站添加代码在内容更新时调用 Cloudflare API 清除缓存。这样可以防止恶意流量打崩服务器,也可以加速正常用户的访问。
这种方法适合论坛、博客这类对实时性要求不高的网站。
Leave a Reply Cancel reply