打开Cloudflare找到要防御的站点
一、设置安全性
安全性 > 设置>安全级别设置为:高
咨询通过期设置为:15到30分钟
严重可以设置5分钟(这里慎重设置,不要太低,不要太高!)
浏览器完整性检查设置为:打开
二、安全性 > DDoS
1、点右边箭头中的 部署DDos
2、按照下面的图片配置
替代名称:ddos
规则集操作:阻止
规则敏感度:高
3、配置完记得点右下角的保存
三、安全性 > 自动程序
把自动程序攻击模式:开启
四、安全性 > WAF > 速率限制规则
1、先创建规则
规则名称 (必需):自己填个
如果传入请求匹配…
字段 URL路径
运算符 选择“包含”
值 自己输入英文的:/
速率限制匹配运算符包含输入英文 / 是关键,也代表网站所有目录都匹配
则…
选择操作:阻止
响应类型为 :默认 Cloudflare 速率限制响应(响应类型为 :默认 Cloudflare 速率限制响应,这会告诉访问被阻止,跳转到CF速度限制阻止页面。如果您想告诉您的网站访客发生了什么可以自定义HTML,利用UTF-8编码自己写个中文页面。)
对于…
持续时间 (必需) 10秒
当速率超过…
请求 (必需)35
期间 (必需)10秒钟
请求:35 可以设置为25.但会影响正常用户,最好不要低于20.如果太低了,用户正常访问都会被阻止。
五、安全性 > WAF > 自定义规则
1、创建一个规则,名称随意
2、点编辑表达式,把表达式代码复制进去保存
表达式代码如下:
(http.request.uri.path contains "/aaa") or (http.request.uri.path contains "/xmlrpc") or (http.request.uri.path contains "/trust") or (http.request.uri.path contains ".zip") or (http.request.uri.path contains ".tar") or (http.request.uri.path contains ".htm")
六、网络 > 洋葱路由 关掉
七、重启服务器
配置完以大概30秒生效,一定要重启一下服务器,让服务器断开所有的程序连接
不要依赖在服务器上设置防火墙,因为流量已经到你服务器了,只要攻击够大,64/128核都可以干废。同样CF也会自动机器学习,哪怕设置好以后,服务器短暂满载,过一会,CF就会通过AI学习,不停的更新规则,这个规则更新不需要你人工干预。CF为什么免费?就是因为免费用户被攻击拿来做机器学习。别担心CF免费扛不住,或者被清退。理论上您被一次性攻击几十亿,CF还会拿你做文章。
第二波调整如下:
1、
安全性>WAF>速率限制规则
当速率超过…
请求 (必需)50
期间 (必需)10秒钟
2、
然后采取措施…
选择操作:(必需)阻止
响应类型为 :自定义文本
响应代码为:403
响应正文:666
持续时间达...
持续时间 (必需):10秒钟
3、安全性 > WAF > 自定义规则 >删除
4、
网络>WebSocket>关闭
网络>Pseudo IPv4>覆盖表头
5、网络>网络 管理您网站的网络设置网络>gRPC>开启
6、缓存>Cache Rules>创建新缓存规则
当传入请求匹配时...
字段:URI 路径
运算符:不包含
值:.php
字段:URI 路径:
运算符:不包含
值:search
缓存资格(必填)>符合缓存条件
边缘 TTL(可选)>忽略缓存控制标头,使用此 TTL>输入生存时间 (TTL) (必需)>12小时
状态代码 TTL>添加状态码设置>
范围:大于或等于
状态代码:100
持续时间:12 小时
浏览器 TTL(可选)>替代源服务器,使用此 TTL>12 小时
标签: