Вступление
CloudFlare - это компания, которая предоставляет сеть доставки контента (CDN) и распределенные службы DNS, выступая в качестве обратного прокси-сервера для веб-сайтов. Бесплатные и платные услуги CloudFlare можно использовать для повышения безопасности, скорости и доступности веб-сайта различными способами. В этом руководстве мы покажем вам, как использовать бесплатный многоуровневый сервис CloudFlare для защиты ваших веб-серверов от продолжающихся DDoS-атак на основе HTTP, включив «Я в режиме атаки». Этот режим безопасности может смягчить атаки DDoS, предоставляя промежуточную страницу для проверки законности соединения перед его передачей на веб-сервер.
Предпосылки
В этом руководстве предполагается, что у вас есть следующее:
-
Веб-сервер
-
Зарегистрированный домен, который указывает на ваш веб-сервер
-
Доступ к панели управления регистратора домена, выдавшего домен
Вы также должны зарегистрировать учетную запись CloudFlare, прежде чем продолжить. Обратите внимание, что это руководство потребует использования серверов имен CloudFlare.
Настройте свой домен для использования CloudFlare
Прежде чем использовать какие-либо функции CloudFlare, вы должны настроить свой домен для использования DNS CloudFlare.
Если вы еще этого не сделали, войдите в CloudFlare.
Добавить сайт и сканировать записи DNS
После входа в систему вы попадете на страницуGet Started with CloudFlare. Здесь вы должны добавить свой сайт в CloudFlare:
Введите доменное имя, с которым вы хотите использовать CloudFlare, и нажмите кнопкуBegin Scan. Вы должны перейти на страницу, которая выглядит следующим образом:
Это займет около минуты. Когда он будет завершен, нажмите кнопкуContinue.
На следующей странице показаны результаты сканирования DNS-записи. Убедитесь, что присутствуют все ваши существующие записи DNS, поскольку именно эти записи CloudFlare будет использовать для разрешения запросов к вашему домену. В нашем примере мы использовалиcockroach.nyc в качестве домена:
Обратите внимание, что для ваших записей A и CNAME, которые указывают на ваш веб-сервер (-ы), столбецStatus должен иметь оранжевое облако со стрелкой, проходящей через него. Это означает, что трафик будет проходить через обратный прокси-сервер CloudFlare, прежде чем попасть на ваш сервер (ы).
Далее выберите свой план CloudFlare. В этом уроке мы выберем опциюFree plan. Если вы хотите заплатить за другой план, потому что вам нужны дополнительные функции CloudFlare, не стесняйтесь делать это:
Изменить свои Nameservers
На следующей странице отобразится таблица текущих серверов имен вашего домена и то, на что они должны быть изменены. Два из них должны быть заменены на серверы имен CloudFlare, а остальные записи должны быть удалены. Вот пример того, как может выглядеть страница, если ваш домен использует серверы имен DigitalOcean:
Чтобы изменить серверы имен вашего домена, войдите в панель управления регистратора вашего домена и внесите изменения DNS, представленные CloudFlare. Например, если вы приобрели свой домен через регистратора, такого как GoDaddy или NameCheap, вам нужно будет войти в панель управления соответствующего регистратора и внести в нее изменения.
Процесс варьируется в зависимости от вашего конкретного регистратора домена. Если вы не можете понять, как это сделать, это похоже на процесс, описанный вHow to Point to DigitalOcean Nameservers From Common Domain Registrars, за исключением того, что вы будете использовать серверы имен CloudFlare вместо DigitalOcean.
В этом примере домен использует серверы имен DigitalOcean, и нам нужно обновить его, чтобы использовать DNS CloudFlare. Домен был зарегистрирован через NameCheap, поэтому мы должны обновить серверы имен.
Когда вы закончите менять свои серверы имен, нажмите кнопкуContinue. Переключение серверов имен может занять до 24 часов, но обычно это занимает всего несколько минут.
Дождитесь обновления серверов имен
Поскольку обновление серверов имен занимает непредсказуемое время, вполне вероятно, что вы увидите следующую страницу:
СтатусPending означает, что CloudFlare ожидает обновления серверов имен до тех, которые он предписал (например, olga.ns.cloudflare.com иrob.ns.cloudflare.com). Если вы изменили серверы имен своего домена, все, что вам нужно сделать, это подождать и проверить позже статусActive. Если вы нажмете кнопкуRecheck Nameservers или перейдете на панель управления CloudFlare, он проверит, обновились ли серверы имен.
CloudFlare активен
После обновления серверов имен ваш домен будет использовать DNS CloudFlare, и вы увидите, что он имеет статусActive, например:
Это означает, что CloudFlare действует как обратный прокси-сервер для вашего веб-сайта, и у вас есть доступ к любым функциям, доступным для уровня цен, на который вы подписаны. Если вы используете уровеньfree, как мы используем в этом руководстве, у вас будет доступ к некоторым функциям, которые могут улучшить безопасность, скорость и доступность вашего сайта. Мы не будем охватывать все функции этого учебного пособия, поскольку сосредоточены на смягчении текущих атак DDoS, но они включают CDN, SSL, статическое кеширование контента, брандмауэр (до того, как трафик достигнет вашего сервера) и инструменты анализа трафика.
Также обратите внимание наSettings Summary, прямо под вашим доменом будет отображаться текущий уровень безопасности вашего сайта (по умолчанию средний) и некоторая другая информация.
Прежде чем продолжить, чтобы получить максимальную отдачу от CloudFlare, вы должны следовать этому руководству:Recommended First Steps for All CloudFlare Users. Это важно для того, чтобы CloudFlare разрешал законные подключения от служб, которые вы хотите разрешить, и чтобы в журналах вашего веб-сервера отображались исходные IP-адреса посетителя (вместо IP-адресов обратного прокси-сервера CloudFlare).
После того, как вы все настроите, давайте взглянем на настройкуI’m Under Attack Mode в брандмауэре CloudFlare.
Я в режиме атаки
По умолчанию безопасность межсетевого экрана CloudFlare установлена наMedium. Это обеспечивает некоторую защиту от посетителей, которые оцениваются как умеренная угроза, предоставляя им страницу вызова, прежде чем позволить им перейти на ваш сайт. Однако, если ваш сайт является целью DDoS-атаки, этого может оказаться недостаточно для поддержания работоспособности вашего сайта. В этом случае вам может подойтиI’m Under Attack Mode.
Если вы включите этот режим, любому посетителю вашего сайта будет представлена промежуточная страница, которая выполняет некоторые проверки браузера и задерживает посетителя примерно на 5 секунд, прежде чем передать их на ваш сервер. Это будет выглядеть примерно так;
Если проверки пройдут, посетитель будет пропущен на ваш сайт. Сочетание предотвращения и задержки подключения злоумышленников к вашему сайту часто достаточно для поддержания его работоспособности даже во время DDoS-атаки.
[.note] #Note: У посетителей сайта должны быть включены JavaScript и файлы cookie, чтобы переходить на промежуточную страницу. Если это неприемлемо, рассмотрите возможность использования настройки безопасности брандмауэра «Высокий».
#
Имейте в виду, что вы хотите, чтобыI’m Under Attack Mode был включен, только когда ваш сайт стал жертвой DDoS-атаки. В противном случае его следует отключить, чтобы обычные пользователи не задерживали доступ к вашему сайту без какой-либо причины.
Как включить режим под атакой?
Если вы хотите включитьI’m Under Attack Mode, самый простой способ - перейти на страницу обзора CloudFlare (страница по умолчанию) и выбрать ее в менюQuick Actions:
Настройки безопасности сразу перейдут в состояниеI’m Under Attack. Теперь всем посетителям вашего сайта будет предоставлена промежуточная страница CloudFlare, которая была описана выше.
Как отключить режим под атакой
ПосколькуI’m Under Attack Mode следует использовать только во время аварийных DDoS-атак, вам следует отключить его, если вы не подвергаетесь атаке. Для этого перейдите на страницу обзора CloudFlare и нажмите кнопкуDisable:
Затем выберите уровень безопасности, на который вы хотите перейти. По умолчанию и обычно рекомендуется использовать режимMedium:
Ваш сайт должен вернуться к состояниюActive, и страница защиты от DDoS-атак будет отключена.
Заключение
Теперь, когда ваш сайт использует CloudFlare, у вас есть еще один инструмент для легкой защиты от атак DDoS на основе HTTP. CloudFlare также предлагает множество других инструментов, которые могут вас заинтересовать в настройке, например, бесплатные сертификаты SSL. Поэтому рекомендуется изучить варианты и посмотреть, что для вас полезно.
Удачи!