Cloudflare Docs
Support
Support
Visit Support on GitHub
Set theme to dark (⇧+D)

了解 Cloudflare DDOS 防护

​​ 了解 Cloudflare DDOS 防护

了解 Cloudflare 如何防御 DDoS 攻击,以及如何识别您的网站是否遭受攻击。

​​ 本文内容


​​ 概述

分布式拒绝服务攻击(DDoS)企图使在线服务无法提供给最终用户使用。对于所有计划类型,Cloudflare 都提供第 3、4 和 7 层 DDoS 攻击未计量缓解。Cloudflare 不按攻击大小计费,也没有攻击大小、类型或持续时间的上限。

Cloudflare 的网络设计旨在自动监测和缓解大型 DDoS 攻击。在 Cloudflare 缓存内容也能防止您的网站遭受小型 DDoS 攻击,但是未缓存的资产需要额外 手动应对 DDoS 攻击。

此外,Cloudflare 也会在以下情况下帮助缓解较小的 DDoS 攻击:

  • 对于任何计划中的区域,当 HTTP 错误率高于_高_(默认)敏感度级别,即每秒 1,000 个错误的错误率阈值时。您可以配置 HTTP DDoS 攻击防护托管规则集以降低敏感度级别。

  • 对于 Pro、Business 和 Enterprise 计划中的区域,Cloudflare 会执行额外检查以提高检测准确性:每秒错误率还必须至少是正常源站流量水平的五倍。

Cloudflare 根据 52X 范围内(内部服务器错误)和 53X 范围内的所有 HTTP 错误来确定错误率,但 错误 530除外。

HTTP DDoS 攻击缓解在 Firewall Analytics 仪表板中显示为 HTTP DDoS 事件。这些事件也可通过 Cloudflare Logs 查看。

目前,对于基于 HTTP 错误率的 DDoS 缓解,客户无法排除特定的 HTTP 错误代码。

在 Cloudflare 学习中心了解有关 著名 DDoS 攻击DDoS 的更多信息。也可以在本文末尾的相关资源部分中查阅 DDoS 案例研究。


Cloudflare HTTP DDoS 攻击防护托管规则集是一组预先配置的规则,用于匹配已知攻击模式、已知攻击工具、可疑模式、协议违规、导致大量源站错误的请求、命中源站/缓存的过多流量,以及边缘应用程序层的其他攻击手段。该规则集适用于 Cloudflare 任一计划的客户,并且默认启用。

如果您预计合法流量会出现大幅激增,请考虑自定义 DDoS 防护设置以避免误报。误报是指合法流量被错误地识别为攻击流量并被阻止/质询。

在 Cloudflare 开发人员门户中详细了解 Cloudflare HTTP DDoS 攻击防护托管规则集和可用的配置设置。

如需详细了解 HTTP DDoS 攻击防护系统所采用的操作,请参阅 HTTP DDoS 攻击防护参数:操作


​​ Cloudflare 网络层 DDoS 攻击防护托管规则集

Cloudflare 网络层 DDoS 攻击防护托管规则集是一组预先配置的规则,用于匹配 OSI 模型第 3 层和第 4 层已知的 DDoS 攻击手段。该规则集适用于 Cloudflare 任一计划的客户,并且默认启用。

在 Cloudflare 开发人员门户中详细了解 Cloudflare 网络层 DDoS 攻击防护托管规则集和可用的配置设置。

如需详细了解 L3/4 DDoS 攻击防护系统所采用的操作,请参阅网络层 DDoS 攻击防护参数:操作


​​ 判断您是否遭受 DDoS 攻击

遭受 DDoS 攻击的常见迹象包括:

  • 网站离线,或请求响应很慢。
  • Cloudflare Analytics 应用的 Requests Through CloudflareBandwidth 的图表中出现意外激增。
  • 源站 Web 服务器日志中有奇怪的请求,与正常的访问者行为不符。

​​ Cloudflare 在攻击我吗?

两种常见情况造成错误地认为 Cloudflare 攻击您的站点:

理想情况下,由于 Cloudflare 是反向代理,因此您的托管服务提供商会观察到从 Cloudflare IP 地址连接的攻击流量。另一方面,如果您看到来自不属于 Cloudflare 的 IP 地址的连接,则攻击直接针对您的源 Web 服务器。Cloudflare 无法阻止直接针对您的源站 IP 地址的攻击,因为流量绕过了 Cloudflare 的网络。


​​ 相关资源

​​ 案例研究: