利用cloudflare的防火墙防御CC攻击

cloudflare默认自带5条防火墙规则,完全免费.
有了防火墙,可以设置自定义规则,防御CC攻击.
这个方法是cloudflare5秒盾防御CC攻击的补充

防火墙规则一


规则名: rule1
规则匹配:
1.标签1: threat score >5
2.标签2: known bots -> off
行动: Challenge (Captcha) 跳出验证码

防火墙规则二


规则名: rule2
规则匹配:
1.标签1: known bots -> off
2.标签2: ip address != 8.8.8.8
行动: Challenge (Captcha) 跳出验证码

防火墙规则:威胁评分防御


(cf.threat_score ge 2 and not cf.client.bot)

防火墙规则:WP登录安全防御


 (http.request.full_uri contains "xmlrpc.php") or (http.request.full_uri contains "wp-login.php") or (http.request.full_uri contains "login.php")  or (http.request.full_uri contains "/wp-admin/" and not http.request.full_uri contains "/wp-admin/admin-ajax.php" and not http.request.full_uri contains "/wp-admin/theme-editor.php")

质询

防火墙规则:HTTP版本和UA


(http.request.method ne "GET" and http.request.method ne "POST") or (http.request.version eq "HTTP/1.0") or (http.user_agent eq "") 

质询

防火墙规则:搜索页防御


 (http.request.full_uri contains "/?s=") or (http.request.full_uri contains "/index.php?s=")

JS质询

防火墙规则:WP评论防御


(cf.threat_score ge 2 and http.request.uri.path eq "/wp-comments-post.php" and http.request.method eq "POST" )

质询

补充CF安全设置

aaa: CF→安全性→设置→安全级别设置为:高

(这里不要打开打开I'm Under Attack!我受到攻击,因为这样就是任何请求会做人机验证,等待5秒钟:会掉收录,API无法通讯,需要写防火墙规则排除。)
质询通过期设置成:15分钟或者30分钟,严重可以设置5分钟(这里慎重设置,不要太低,不要太高!)
浏览器完整性检查:打开

bbb: CF→安全性→DDOS→HTTP DDoS 攻击防护,点右边的配置进入


规则集操作(必填)设置为:托管质询或者直接阻止(建议你在受到攻击的时候直接阻止)
规则集敏感度(必填)设置为:高

ccc: CF→安全性→自动程序:打开自动程序攻击模式


ddd: CF→安全性→WAF→速率限制规则,创建一条速率限制规则,规则如下:


规则名称 (必需):自己填个

如果传入请求匹配…
字段 URL路径
运算符 选择“包含”
值 自己输入英文的:/

速率限制匹配运算符包含输入英文 / 是关键,也代表网站所有目录都匹配

则...
选择操作:阻止
响应类型为 :默认 Cloudflare 速率限制响应(响应类型为 :默认 Cloudflare 速率限制响应,这会告诉访问被阻止,跳转到CF速度限制阻止页面。如果您想告诉您的网站访客发生了什么可以自定义HTML,利用UTF-8编码自己写个中文页面。)

对于…
持续时间 (必需) 10秒
当速率超过…
请求 (必需)35
期间 (必需)10秒钟

请求:35 可以设置为25,但会影响正常用户,最好不要低于20。如果太低了,用户正常访问都会被阻止。如果您的网站是一个博客,我建议这里设置成50以上。如果你的网站类型有文字、有图片、有视频,这里不要低。如果你是CF付费版,建议用托管质询,而不是直接阻止。

日志收集处理


利用上面任意规则后,可以收集到CC攻击的代理IP
收集次数高于n次的IP可以直接添加到防火墙,拉入黑名单

评论


这个方法适合于共享黑名单.
最佳还是5秒盾,因为你还没有开始封禁,巨大的访问量已经到达你的主机

参考文章
https://developers.cloudflare.com/firewall/known-issues-and-faq/#how-can-i-use-the-threat-score-effectively
https://www.hostloc.com/thread-541043-1-1.html
https://hostloc.pw/thread-1094822-1-1.html
https://www.livelu.com/201811322.html

此处评论已关闭