如何自定義您的 HTTP DDoS 保護設置

Cloudflare宣布HTTP DDoS 託管規則集可用。這一新功能允許 Cloudflare 客戶獨立定制他們的 HTTP DDoS 保護設置。無論您使用的是免費計劃還是企業計劃,您現在都可以直接從 Cloudflare 儀表板內或通過 API 調整和優化設置。
2021-09-27
by 樂雲

如何自定義您的 HTTP DDoS 保護設置

Cloudflare宣布HTTP DDoS 託管規則集可用。這一新功能允許 Cloudflare 客戶獨立定制他們的 HTTP DDoS 保護設置。無論您使用的是免費計劃還是企業計劃,您現在都可以直接從 Cloudflare 儀表板內或通過 API 調整和優化設置。

我們預計在大多數情況下,Cloudflare 客戶不需要自定義任何設置。我們的使命是讓 DDoS 中斷成為過去,沒有客戶開銷。為了實現這一使命,我們不斷投資於我們的自動檢測和緩解系統。在極少數情況下,需要進行一些配置更改,因此現在 Cloudflare 客戶可以獨立自定義這些保護機制。下一個進化步驟是根據客戶獨特的流量模式,讓這些設置為我們的客戶學習和自動調整。大規模的零接觸 DDoS 保護。

未計量的 DDoS 保護

早在 2017 年,我們就宣布我們永遠不會將客戶踢出我們的網絡,因為他們面臨大規模攻擊,即使他們根本不向我們付款(即使用免費計劃)。此外,我們承諾絕不向客戶收取 DDoS 攻擊流量的費用——無論攻擊的規模和持續時間如何。就在今年夏天,我們的系統自動檢測並緩解了有史以來最大的 DDoS 攻擊之一。與其他供應商不同,Cloudflare 客戶不需要為攻擊流量申請服務信用:我們只是從我們的計費系統中排除 DDoS 流量。這是自動完成的,就像我們的攻擊檢測和緩解機制一樣。

自主 DDoS 保護

由於我們對網絡和技術堆棧的持續投資,我們的無限制 DDoS 保護承諾成為可能。我們網絡的全球覆蓋範圍和容量使我們能夠在沒有人工干預的情況下吸收有史以來最大的攻擊。使用BGP Anycast,流量被路由到最近的 Cloudflare 邊緣數據中心,作為全球數據中心間負載平衡的一種形式。然後在Unimog的幫助下,在服務器之間的數據中心內有效地平衡流量,我們自己開發的 L4 負載均衡器,以確保流量到達負載最低的服務器。然後,每台服務器都會掃描惡意流量,如果檢測到,則在技術堆棧中的最佳位置應用緩解措施。每個服務器完全自主地檢測和緩解攻擊,無需任何集中共識,並使用多播相互共享詳細信息。這是使用我們專有的自主邊緣檢測和緩解系統完成的,這就是我們能夠繼續以我們運營的規模免費提供無計量 DDoS 保護的方式。

可配置的 DDoS 保護

我們的自治系統使用一組動態規則來掃描攻擊模式、已知攻擊工具、可疑模式、違反協議、導致大量源錯誤的請求、訪問源/緩存的過多流量以及其他攻擊向量。每個規則都有一個預定義的敏感度級別和默認操作,默認操作會根據規則對流量確實是攻擊的一部分的置信度而有所不同。

但是我們如何確定這些置信水平呢?答案取決於每個特定規則以及該規則要尋找的內容。一些規則在 HTTP 屬性中查找由已知攻擊工具和殭屍網絡、已知協議違規和其他一般可疑模式生成的模式,以及 交通異常。如果給定規則正在搜索已知攻擊工具的 HTTP 模式,那麼一旦找到,該流量是攻擊的一部分的可能性(即置信度)就很高,因此我們可以安全地阻止所有與該規則匹配的流量. 但是,在其他情況下,檢測到的模式或異常活動可能類似於攻擊,但實際上可能是由生成異常 HTTP 調用的故障應用程序、氾濫其源服務器的行為不當的 API 客戶端,甚至是天真地違反協議標準的合法流量造成的。在這些情況下,我們可能希望對匹配規則的流量進行速率限製或提供挑戰操作以驗證並允許合法用戶進入,同時阻止惡意機器人和攻擊者。

配置 DDoS 保護設置

過去,您必須通過我們的支持渠道來自定義任何默認操作和敏感度級別。在某些情況下,這可能需要比預期更長的時間來解決。通過今天的發布,您可以自行定制和微調我們自主邊緣系統的設置,以針對您的特定應用需求快速提高保護的準確性。

如果您之前聯繫過 Cloudflare 支持以應用自定義,則 DDoS 規則集已根據您現有的自定義設置為您區域的基本關閉或低。您可以訪問儀表板以查看設置並根據需要進行更改。

如果您請求排除或繞過特定 HTTP 屬性或 IP 的緩解措施,或者如果您請求需要 Cloudflare 批准的非常高的閾值,則這些自定義仍然處於活動狀態,但可能尚未在儀表板中可見。

如果您之前沒有遇到過此問題,則無需採取任何措施。但是,如果您想自定義 DDoS 保護設置,請直接轉到DDoS 選項卡或按照以下步驟操作:
登錄Cloudflare 儀表板,然後選擇您的帳戶和網站。
轉至防火牆> DDoS。
在HTTP DDoS 攻擊防護旁邊,單擊配置。
在規則集配置中,為 HTTP DDoS 託管規則集中的所有規則選擇操作和敏感度值。
或者,按照API 文檔以編程方式配置 DDoS 保護設置。

在配置頁面中,您可以選擇不同的Action和Sensitivity Level來覆蓋所有 DDoS 保護規則作為一組規則(即“規則集”)。
或者,您可以單擊瀏覽規則來覆蓋特定規則,而不是將所有規則作為一組規則覆蓋。

緩解行動

緩解操作定義了應用緩解規則時要採取的操作。我們的系統會不斷分析流量並跟踪潛在的惡意活動。當某些每秒請求閾值超過配置的敏感度級別時,將應用具有動態生成的簽名的緩解規則來緩解攻擊。默認緩解操作可能因特定規則而異。可信度較低的規則可能會應用挑戰操作作為軟緩解的一種形式,而當流量是攻擊的一部分的可信度較高時,則應用具有阻止操作的規則- 作為更嚴格的緩解操作的一種形式。

操作的可用值是:
.堵塞
.挑戰(驗證碼)
.日誌
.使用規則默認值
您可能想要更改緩解措施的一些示例包括:
.更安全的登錄:您正在登錄一個新的 HTTP 應用程序,該應用程序具有奇怪的流量模式、天真地違反協議標准或導致尖峰行為。在這種情況下,您可以將操作設置為Log並查看我們的系統標記的流量。之後,您可以根據需要對敏感度級別進行必要的更改,並將緩解操作切換回默認值。
.更嚴格的緩解措施:已檢測到 DDoS 攻擊,但由於規則的默認邏輯,已應用速率限製或挑戰操作。但是,在這種特定情況下,您確定這是惡意流量,因此您可以將操作更改為阻止以進行更完整的緩解。

緩解敏感性

敏感度級別定義了何時應用緩解規則。我們的系統會不斷分析流量並跟踪潛在的惡意活動。當超過特定的每秒請求閾值時,將應用具有動態生成的簽名的緩解規則來緩解攻擊。切換敏感度級別允許您定義何時應用緩解措施。靈敏度越高,應用緩解的速度就越快。可用的靈敏度值為:
1.高(默認)
2.中等的
3.低的
4.基本上關閉
基本上關閉意味著我們設置了極低的敏感度級別,因此在大多數情況下不會為您減輕流量。但是,攻擊流量將在特殊級別得到緩解,以確保 Cloudflare 網絡的安全性和穩定性。
您可能想要更改敏感度操作的一些示例包括:

.避免對合法流量的影響:由於存在可疑模式,其中一項規則已對您的合法流量應用了緩解措施。在這種情況下,您可能希望降低規則敏感性以避免問題再次發生並對您的流量產生負面影響。
.遺留應用程序:您的一個遺留 HTTP 應用程序違反了協議標準,或者您可能錯誤地將錯誤引入了您的移動應用程序/API 客戶端。這些情況可能會導致異常流量活動,我們的系統可能會標記這些活動。在這種情況下,您可以選擇“基本關閉”敏感度級別,直到您最終解決了問題,以避免誤報。

覆蓋特定規則

如上所述,您還可以選擇特定規則來覆蓋其操作和敏感度級別。每規則覆蓋優先於規則集覆蓋。
配置每規則覆蓋時,您會看到某些規則具有DDoS 動態操作。這意味著緩解是多階段的,將根據各種因素(包括攻擊類型、請求特徵和各種其他因素)應用不同的緩解措施。如果您選擇這樣做,也可以覆蓋此動態操作。

DDoS 攻擊分析

當檢測到並緩解 DDoS 攻擊時,您將收到實時 DDoS 警報(如果您已配置),並且您將能夠在防火牆分析儀表板中查看攻擊。攻擊詳細信息和触發的規則 ID 也將顯示在活動日誌中,作為每個已緩解的 HTTP 請求日誌的一部分。