Поиск по сайту:

Как смягчить DDoS-атаки на ваш сайт с помощью CloudFlare

Введение

Cloudflare — это компания, которая предоставляет сеть доставки контента (CDN) и распределенные службы DNS, выступая в качестве обратного прокси-сервера для веб-сайтов. Бесплатные и платные услуги Cloudflare можно использовать для повышения безопасности, скорости и доступности веб-сайта различными способами.

В этом руководстве вы узнаете, как использовать службу бесплатного уровня Cloudflare для защиты ваших веб-серверов от продолжающихся распределенных атак типа «отказ в обслуживании» (DDoS) на основе HTTP, включив «Режим атаки». Этот режим безопасности может смягчить последствия DDoS. атаки, представляя промежуточную страницу для проверки легитимности соединения перед передачей его на ваш веб-сервер.

Предпосылки

В этом руководстве предполагается, что у вас есть следующее:

  • Веб-сервер
  • Зарегистрированный домен, указывающий на ваш веб-сервер
  • Доступ к панели управления регистратора домена, выдавшего домен

Вы также должны зарегистрировать учетную запись Cloudflare, прежде чем продолжить.

Примечание. Для этого руководства потребуется использование серверов имен Cloudflare.

Шаг 1. Настройка вашего домена для использования Cloudflare

Прежде чем использовать какие-либо функции Cloudflare, вы должны настроить свой домен для использования DNS Cloudflare.

Если вы еще этого не сделали, войдите в Cloudflare.

Добавьте веб-сайт и просканируйте записи DNS

После входа вы попадете на страницу «Начало работы с Cloudflare». Здесь вы должны нажать кнопку «Добавить сайт» вверху, чтобы добавить свой сайт в Cloudflare:

Введите доменное имя, с которым вы хотите использовать Cloudflare, и нажмите кнопку «Добавить сайт». Вы должны попасть на страницу, которая выглядит следующим образом:

В этом уроке мы выберем вариант «Бесплатный план». Если вы хотите заплатить за другой план, потому что вам нужны дополнительные функции Cloudflare, не стесняйтесь делать это. Затем нажмите кнопку «Продолжить».

На следующей странице показаны результаты сканирования записей DNS для вашего сайта. Убедитесь, что все ваши существующие записи DNS присутствуют, так как это записи, которые Cloudflare будет использовать для разрешения запросов к вашему домену. В нашем примере мы использовали flippeddev.com в качестве домена:

Обратите внимание, что для ваших записей A и CNAME, которые указывают на ваш веб-сервер(ы), в столбце «Статус» должно быть оранжевое облако со стрелкой, проходящей через него. Это указывает на то, что трафик будет проходить через обратный прокси-сервер Cloudflare, прежде чем попадет на ваши серверы.

Измените свои серверы имен

На следующей странице будут отображаться серверы имен, которые необходимо удалить, и серверы имен Cloudflare, которые следует добавить. Вот пример того, как может выглядеть страница:

Чтобы изменить серверы имен вашего домена, войдите в панель управления вашего регистратора домена и внесите изменения DNS, представленные Cloudflare. Например, если вы приобрели свой домен через регистратора, такого как Google или NameCheap, вам нужно будет войти в панель управления соответствующего регистратора и внести изменения там.

Процесс зависит от вашего конкретного регистратора домена. Если вы не можете понять, как это сделать, это похоже на процесс, описанный в разделе «Как указать на серверы имен DigitalOcean из общих регистраторов доменов», за исключением того, что вы будете использовать серверы имен Cloudflare вместо серверов DigitalOcean.

В примере домен использует серверы имен DigitalOcean, и нам нужно обновить его, чтобы использовать DNS Cloudflare.

Когда вы закончите изменять свои серверы имен, нажмите кнопку «Продолжить». Переключение серверов имен может занять до 24 часов, но обычно это занимает всего несколько минут.

Подождите, пока серверы имен обновятся

Поскольку обновление серверов имен занимает непредсказуемое количество времени, вполне вероятно, что вы увидите следующую страницу:

Статус Pending означает, что Cloudflare ожидает обновления серверов имен до тех, которые были предписаны (например, olga.ns.Cloudflare.com и rob.ns.Cloudflare.com). ). Если вы изменили серверы имен своего домена, все, что вам нужно сделать, это подождать и позже проверить статус «Активен». Если вы нажмете кнопку «Перепроверить серверы имен» или перейдете к панели инструментов Cloudflare, она проверит, обновлены ли серверы имен.

Cloudflare активен

После обновления серверов имен ваш домен будет использовать DNS Cloudflare, и вы увидите, что он имеет активный статус.

Это означает, что Cloudflare действует как обратный прокси-сервер для вашего веб-сайта, и у вас есть доступ ко всем функциям, доступным для той ценовой категории, на которую вы подписались. Если вы используете уровень бесплатного пользования, как мы в этом руководстве, у вас будет доступ к некоторым функциям, которые могут повысить безопасность, скорость и доступность вашего сайта.

Мы не будем рассматривать все функции в этом руководстве, поскольку мы сосредоточены на смягчении последствий текущих DDoS-атак, но они включают в себя CDN, SSL, кэширование статического контента, брандмауэр (до того, как трафик достигнет вашего сервера) и инструменты анализа трафика.

Также обратите внимание на сводку настроек, прямо под вашим доменом будет показан текущий уровень безопасности вашего сайта (средний по умолчанию) и некоторая другая информация.

Прежде чем продолжить, чтобы получить максимальную отдачу от Cloudflare, вы должны следовать этому руководству: Рекомендуемые первые шаги для всех пользователей Cloudflare. Это важно для того, чтобы Cloudflare разрешал законные подключения от сервисов, которые вы хотите разрешить, и чтобы журналы вашего веб-сервера отображали исходные IP-адреса посетителей (вместо IP-адресов обратного прокси-сервера Cloudflare).

После того, как вы все настроите, давайте взглянем на настройку I’m Under Attack Mode в брандмауэре Cloudflare.

Шаг 2. Включение режима «Я в атаке»

По умолчанию безопасность брандмауэра Cloudflare установлена на средний уровень. Это обеспечивает некоторую защиту от посетителей, которые оцениваются как умеренная угроза, предоставляя им страницу с вызовом, прежде чем позволить им продолжить работу на вашем сайте. Однако, если ваш сайт является целью DDoS-атаки, этого может быть недостаточно для поддержания работоспособности вашего сайта. В этом случае вам может подойти режим «Я в атаке».

Если вы включите этот режим, любому посетителю вашего веб-сайта будет представлена промежуточная страница, которая выполняет некоторые проверки браузера и задерживает посетителя примерно на 5 секунд, прежде чем передать его на ваш сервер. Это будет выглядеть примерно так;

Если проверка пройдена, посетитель будет пропущен на ваш сайт. Комбинации предотвращения и задержки подключения злоумышленников к вашему сайту часто бывает достаточно, чтобы поддерживать его работоспособность даже во время DDoS-атаки.

Примечание. У посетителей сайта должны быть включены JavaScript и файлы cookie, чтобы перейти на промежуточную страницу. Если это неприемлемо, рассмотрите возможность использования параметра безопасности «Высокий» брандмауэра.

Имейте в виду, что вы хотите, чтобы режим «Я в атаке» был включен только тогда, когда ваш сайт стал жертвой DDoS-атаки. В противном случае его следует отключить, чтобы обычные пользователи не задержали доступ к вашему сайту без причины.

Как включить режим «Я в атаке»

Если вы хотите включить режим «Я в атаке», самый простой способ — перейти на страницу обзора Cloudflare (страница по умолчанию) и включить его на правой боковой панели:

Настройки безопасности немедленно переключатся на статус «Я под атакой». Теперь всем посетителям вашего сайта будет представлена промежуточная страница Cloudflare, описанная выше.

Как отключить режим «Я в атаке»

Поскольку режим «Я под атакой» следует использовать только во время чрезвычайных ситуаций DDoS, вам следует отключить его, если вы не подвергаетесь атаке. Для этого перейдите на страницу обзора Cloudflare и выключите ее. Это откроет модальное окно, подобное этому:

Затем выберите уровень безопасности, на который вы хотите переключиться. По умолчанию и обычно рекомендуемый режим — средний.

Заключение

Теперь, когда ваш веб-сайт использует Cloudflare, у вас есть еще один инструмент для простой защиты от DDoS-атак на основе HTTP. Cloudflare также предоставляет множество других инструментов, которые могут вас заинтересовать, например, бесплатные SSL-сертификаты. Поэтому рекомендуется изучить варианты и посмотреть, что для вас полезно.

Вы можете узнать больше об использовании Cloudflare для защиты своих сайтов из нашего учебника «Как разместить веб-сайт с помощью Cloudflare и Nginx в Ubuntu 22.04».