本教程所用到了常接触的 Cloudflare 和宝塔防火墙等工具
以下内容均为个人经验和观点,不代表其他人或所谓最佳做法
第一 WAF规则
正确配置防火墙规则可以规避大半可疑请求。
设置一个质询规则是至关重要的,如图所示:
您可以质询安全得分低于3的请求,同时质询您网站的受众地区外的请求。
您还应该配置一个更为优先的允许规则以放行各种爬虫:
接下来是速率管控,每10秒超过50次阻止可以抵挡小半攻击。
这个数值可以根据您网站的实际情况调整,您可以测量一下首次加载需要的请求数量。
第二 关闭IPV6
由于IPV6的肉鸡数量不少,可以考虑将Cloudflare的IPV6兼容关闭。
由于控制台不允许直接关闭,可以通过API来关闭,对应脚本可以自行上网搜索。
第三 开启通知
在控制台主页的通知模块,您可以创建一个通知规则。
当触发HTTP DDOS时,可以将报警发送到指定邮箱。
第四 结合源站防火墙
以宝塔防火墙为例,您可以开启自动模式,当访客量增加的时候会进行一个非常无感的验证,这样可以抵挡住剩余泄露进源站的攻击。
第五 创建静态缓存
您可以使用堡塔网站加速,缓存您的关键性动态目录。当然,记得设置登录特征,以免蹿内容。
如果您是一些现成的源码,可以直接用内置的规则。
