Назад | Перейти на главную страницу

Как CloudFlare защищает веб-сайт?

Меня немного смущает защита, которую предлагает CloudFlare. Я направляю www поддомен через CloudFlare с Оранжевое облако, и еще один поддомен (скажем, direct) с серым облаком. Но когда я tracert к www.example.com или direct.example.com маршрут и конечный IP-адрес одинаковы для обоих.

Я ожидал www субдомен, чтобы заканчиваться на некоторых IP-адресах CloudFlare. Это нормально?

traceroute (или tracert если вы работаете в Windows) не является идеальным инструментом для определения IP-адреса, которому соответствует домен. И нет ping поскольку некоторые люди это используют. Хотя они оба в первую очередь выполняют поиск домена по IP-адресу, это второстепенно по отношению к их основной функции.

Если вы хотите узнать IP-адрес домена, инструменты, специально разработанные для этой цели: nslookup и dig. (nslookup также существует в Windows. dig доступен, если вы устанавливаете Cygwin в Windows или используете любой вариант Unix или Linux.)

Чтобы CloudFlare работал, IP-адрес, который вы получаете, когда используете nslookup или dig в вашем домене должен быть тот, который вам сказал CloudFlare. Если это все еще ваш IP-адрес, вы не используете CloudFlare.

В системе доменных имен много кеширования. Если вы недавно изменили свой домен, чтобы он указывал на CloudFlare, но один из вышеперечисленных инструментов по-прежнему видит, что он указывает на ваш сервер, вероятно, это связано с кешированием. dig также распечатает значение TTL для любого результата, которое указывает, как долго этот результат будет продолжать кэшироваться. Ты можешь сказать dig для получения результатов напрямую от авторитетных серверов имен, которые избегают этого кеширования. (Вот почему dig гораздо более подходящий инструмент, чем ping или traceroute для работы с DNS.) Команда для этого dig @ns1.example.com www.example.com где ns1.example.com это ваш сервер имен и www.example.com это ваш домен.

Из часто задаваемых вопросовCloudFlare требует, чтобы вы изменили свои официальные серверы имен на их собственные. Этот параметр также можно кэшировать и часто имеет очень длинный TTL (несколько дней не редкость).

Даже если ты все еще видят старый кешированный IP-адрес, пока вы видите адрес CloudFlare при использовании авторитетных серверов имен, у некоторых людей может быть правильный. В этом случае вы увидите обращения в журналах вашего веб-сервера из IP-адреса CloudFlare.

Если вы хотите, чтобы исходный IP-адрес вашего посетителя был в ваших журналах, mod_cloudflare доступен для Apache и есть решения для других платформ.

Защита, которую вы получаете от CloudFlare, обеспечивается тремя различными аспектами:

  1. Они действуют как обратный прокси для вашего сайта. Как и в случае со всеми настройками обратного прокси, это означает, что они будут делать действительные запросы только исходному веб-серверу. Они также не будут искусственно замедлять запросы, поэтому атаки Slow Loris (например) не повлияют на ваш веб-сервер.
  2. Они кэшируют ваш статический контент. Это означает, что если вы в конечном итоге перейдете по ссылке с главной страницы Slashdot или Reddit, только примерно 1/10 этого трафика достигнет вашего сервера. Остальные 9/10 будут обслуживаться непосредственно CloudFlare. Это также может помочь смягчить DDoS-атаку в зависимости от ее размера и вашей мощности.
  3. Они отфильтровывают ботов, собирающих электронную почту, спамеров в комментариях к блогам, попытки грубой силы входа в систему и известные уязвимости программного обеспечения, такие как те, которые вы видите постоянно атакующими phpMyAdmin, Wordpress и Joomla. С учетной записью Pro они также будут отфильтровывать любые обнаруженные попытки внедрения XSS и SQL.

Www и корневой домен, безусловно, должны быть проксированы, если они отмечены оранжевым облаком в настройках DNS. Однако мы не можем проксировать прямую запись, поэтому она завершится на IP-адресе сервера (порты CloudFlare могут прокси).