cloudflare免费WAF抵御站点攻击
发布于 2024-03-18 1284 次阅读
一、概述
视频教程地址:https://youtu.be/ki-_Vaa7VRA
1.1 分享内容
根据博主建站的经验,分享下使用cloudflare免费WAF,抵御网站攻击!
1.2 现状
博主达尔文西小站点,每次被请求50多万次,流量有点异常,目前还健在。
发布于 2024-03-18 1284 次阅读
视频教程地址:https://youtu.be/ki-_Vaa7VRA
根据博主建站的经验,分享下使用cloudflare免费WAF,抵御网站攻击!
博主达尔文西小站点,每次被请求50多万次,流量有点异常,目前还健在。
电报极搜🔍机器人,啥都能搜到? 点我一键使用
新极搜🔍,功能也很强大! 点我一键使用
达尔文西畅聊群,大佬团在线解答! 点我一键加入
全能搜索万人群,啥都能搜到! 点我一键加入
达尔文西金融群,金融理财看这里! 点我一键加入
达尔文西畅聊2群,防失联专用群! 点我一键加入
①作用
放通自己的ip,避免策略把自己的拦截了,避免自己每次都需要验证。
②配置截图
①作用
允许谷歌、必应等搜索机器人正常爬取你的网站,有助于网站排名。
②表达式预览
(cf.client.bot) or (http.user_agent contains "duckduckgo") or (http.user_agent contains "facebookexternalhit") or (http.user_agent contains "Feedfetcher-Google") or (http.user_agent contains "LinkedInBot") or (http.user_agent contains "Mediapartners-Google") or (http.user_agent contains "msnbot") or (http.user_agent contains "Slackbot") or (http.user_agent contains "TwitterBot") or (http.user_agent contains "ia_archive") or (http.user_agent contains "yahoo")
③设置策略
跳过,允许机器人搜索。
①作用:
禁止指定区域的用户访问
②操作方式
操作看博主视频操作,这个根据自己的个性化需求自己选择。
③设置策略
阻止
不允许这些用户访问你的站点
很多大兄弟看不到我的站点就是因为我限制了大佬区域,避免被大陆的爬虫爬取到,在国内传播带来不利影响。
效果图:
①作用:
全球所有的用户访问都会有ip记录,方便你追踪,通过5s盾保护安全
②表达式预览
(ip.geoip.continent eq "AF") or (ip.geoip.continent eq "AN") or (ip.geoip.continent eq "AS") or (ip.geoip.continent eq "EU") or (ip.geoip.continent eq "NA") or (ip.geoip.continent eq "OC") or (ip.geoip.continent eq "SA") or (ip.geoip.continent eq "T1")
③设置策略
js质询
所有的用户访问都需要等待1-5s的时间,不用用户点击,会自动跳过,感知比较好,不会太大影响感知体验,并且可以提前加载网页缓存,避免ddos攻击。
效果图:
①作用:
风险评分大的用户,直接让用户交互才能进行下一步,抵御攻击很好用。
②表达式预览:
(cf.threat_score ge 5 and not cf.client.bot) or (not http.request.version in {"HTTP/1.2" "HTTP/2" "HTTP/3" "SPDY/3.1"}) or (not http.user_agent contains "Mozilla/")
③设置策略
托管质询
出来一个框框,需要用户点击才能进行下一步,一定程度影响用户体验。
效果图:
通过配置文件,只能通过域名访问网站,禁止直接通过ip地址+80或者是443访问自己的网站,避免泄露源站的ip地址。
#全局块
#user nobody;
worker_processes auto; #worker_processes指的是开启的线程数,一般跟逻辑CPU核数一致
#event块
events {
worker_connections 1024; #定义每个进程的最大连接数,受系统进程的最大打开文件数量限制
}
#http块
http {
#http全局块
include mime.types;
default_type application/octet-stream; #核心模块指令,默认设置为二进制流
sendfile on; #开启高效文件传输模式
keepalive_timeout 65; #keepalive_timeout设置客户端连接保存活动的超时时间
client_max_body_size 5m;
limit_req_zone $binary_remote_addr zone=one:50m rate=50r/s;
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
return 444;
}
server {
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
ssl_certificate /etc/cert.pem;
ssl_certificate_key /etc/key.pem;
server_name _;
return 444;
}
server {
listen 80;
server_name www.ibeg.eu.org;
return 301 https://$server_name$request_uri;
}
#server虚拟主机块
server {
#server全局块
listen 443 ssl;
listen [::]:443 ssl;
server_name www.ibeg.eu.org; #设置主机域名
ssl_certificate /etc/cert.pem
ssl_certificate_key /etc/key.pem;
location / {
# 应用请求限制
limit_req zone=one burst=50 nodelay;
proxy_pass http://localhost:5555;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
} #这个是server的大括号
#这边可以有多个server块,监听多个端口,直接把上面的server复制下来即可
}
#这个是http的大括号
嗨,我自己黑自己,大胆承认了!
极搜 堪称电报telegram目前最强搜索引擎,啥都能搜到!
censys :查内容是否泄露
达尔文西畅聊群,大佬团在线解答!https://t.me/dewxtalk
免费gpt4.0群,无限制白嫖gpt4.0!https://t.me/freegpt41