我最近得到了来自多个代理服务器的拒绝服务攻击,所以我安装了cloudflare来防止这种情况.然后我开始注意到他们通过直接连接到服务器的ip地址并伪造主机头来绕过cloudflare.
在不同于cloudflare使用的18个ip地址的连接上返回403的最佳性能是什么?
我试图拒绝所有然后明确允许cloudflare ips,但这不起作用,因为我已经设置它,以便CF-Connecting-IP设置ip允许测试.
我正在使用Nginx 1.6.0.
最佳答案
最高效的方式是服务器前面的硬件防火墙.或者向您的数据中心/上游提供商寻求帮助以减轻攻击.
在Web服务器或iptables中阻止它可能会有所帮助,但仍然使用带宽和系统资源,因此仍然可以进行DoS攻击.您想要的是尽可能阻止上游的流量 – 因此流量永远不会到达您的服务器,并且不会将您的链接充斥到世界其他地方.硬件防火墙可以比网络服务器更快,更快地过滤流量,并且不使用任何服务器资源.当您需要直接连接时,您将希望它们允许来自cloudflare以及您的办公室或其他服务器的流量.
更改服务器的IP也可能有所帮助 – 只有cloudflare需要知道新IP,不要将其发布在公共DNS记录中.