2022-10-09 分類: 網(wǎng)站建設(shè)
將2個(gè)網(wǎng)站搬到阿里云,一個(gè)是因?yàn)榘⒗镌品€(wěn)定,另一個(gè)就是牛逼轟轟的云盾了。之前在博客聯(lián)盟群里模擬CC攻擊過(guò)搭建在阿里云ECS上的博客,結(jié)果云盾毫無(wú)反應(yīng),而網(wǎng)站已經(jīng)掛了。
這次特意細(xì)看了一下云盾上的CC防護(hù)功能,發(fā)現(xiàn)有部分朋友估計(jì)并未正確使用WAF。所以,我在本文就簡(jiǎn)單的分享一下阿里云盾-WAF網(wǎng)站防御的正確使用方法。
一、域名解析
大部分朋友,只是開(kāi)啟了云盾就不管了,這也就是很多朋友受到CC攻擊后,云盾卻毫無(wú)反應(yīng)的原因了。實(shí)際上WAF防御必須配合域名解析來(lái)使用。
阿里云的WAF網(wǎng)站防御實(shí)際上相當(dāng)于沒(méi)有緩存機(jī)制的百度云加速或360網(wǎng)站衛(wèi)士,不過(guò)只能用cname接入方式,后續(xù)是否會(huì)結(jié)合萬(wàn)網(wǎng)解析,新增NS接入方式就不得而知了:
如上圖所示,要開(kāi)啟WAF網(wǎng)站防御,就必須在域名解析那,將主機(jī)記錄cname到云盾生成的CNAME地址。這時(shí)用戶訪問(wèn)網(wǎng)站是這樣一個(gè)情況:
用戶瀏覽器 → 域名解析 →cname到云盾服務(wù)器 → 源服務(wù)器
當(dāng)受到攻擊時(shí),流量會(huì)經(jīng)過(guò)云盾節(jié)點(diǎn),并觸發(fā)清洗機(jī)制,起到CC/DDoS防護(hù)作用。
當(dāng)然,也有部分朋友知道WAF使用方法,但可能是出于SEO考慮,這些朋友也只會(huì)在網(wǎng)站受到攻擊的時(shí)候才會(huì)修改為CNAME解析,因?yàn)镃NAME解析到阿里云WAF域名后,IP并不是固定的,這點(diǎn)和云加速之類的是一致的,不過(guò)遺憾的是WAF并沒(méi)有搜索引擎自動(dòng)回源機(jī)制,所以使用cname之后,IP的頻繁變更會(huì)對(duì)SEO造成不良影響!
如下圖所示,使用WAF之后,網(wǎng)站IP也就變成了云盾節(jié)點(diǎn)IP了:
那該如何解決這個(gè)問(wèn)題呢?想必看過(guò)張戈博客上一篇文章的朋友已經(jīng)了然于心了吧?沒(méi)錯(cuò)!和備案不影響SEO的做法一樣:將默認(rèn)線路cname到阿里云WAF地址,然后再新增一條搜索引擎線路,指定到源服務(wù)器IP即可!這樣就可以長(zhǎng)期開(kāi)啟云盾WAF防御,而不影響SEO了!
本想,百度自家的云加速解析,對(duì)搜索引擎線路的判斷應(yīng)該是最靠譜的(對(duì)于做百度流量的網(wǎng)站來(lái)說(shuō)),畢竟是自家的產(chǎn)品,有哪些蜘蛛IP,都一清二楚,不會(huì)搞錯(cuò)!但實(shí)際測(cè)試發(fā)現(xiàn),百度云加速目前并不支持cname默認(rèn)線路的同時(shí),新增搜索引擎線路,會(huì)提示該記錄已存在!
Ps:嘗鮮版的百度云加速倒是支持,地址是 http://next.su.baidu.com,感興趣的可以自行測(cè)試下。
后來(lái)仔細(xì)一想,百度雖然對(duì)自己的蜘蛛了解透徹,但是對(duì)其他幾家呢?比如搜狗,比如360?估計(jì)是個(gè)半吊子。處于完整性考慮,我推薦使用DNSPOD解析,原因無(wú)它,看圖:
DNSPOD和百度有過(guò)合作,所以有一個(gè)百度專屬線路,額外的還有搜索引擎線路,想必比百度云加速收集的蜘蛛IP更加完善吧!
所以,正確的解析如下所示:
這樣解析不但可以放心使用阿里云WAF防御,還可以隱藏你的網(wǎng)站真實(shí)IP,避免發(fā)生源站被攻擊只能換IP的尷尬(通過(guò)hosts本地解析進(jìn)行攻擊,啥CDN防護(hù)都沒(méi)了作用?。?/strong>
二、防護(hù)設(shè)置
可能開(kāi)啟了云盾,也正確解析了域名,但是被CC攻擊時(shí),云盾還是毫無(wú)反應(yīng)?!實(shí)際上還要設(shè)置下DDoS防護(hù)高級(jí)設(shè)置,因?yàn)樵贫苣J(rèn)的DDoS防護(hù)閾值還是太高,如下所示:
清洗觸發(fā)值: 每秒請(qǐng)求流量:180M 每秒報(bào)文數(shù)量:30000 每秒HTTP請(qǐng)求數(shù):1000
我們這種搭建在阿里云的小博客,大部分帶寬都只有1~2M,別人2M請(qǐng)求流量或100+并發(fā)就已經(jīng)把你的網(wǎng)站打出了翔咯!所以很多朋友就算正確開(kāi)啟了WAF防御,被攻擊的時(shí)候還是非???!
因此,我們必須根據(jù)自己網(wǎng)站的流量設(shè)置下閾值。
看了下,最低的請(qǐng)求流量是10Mbps,也就是10M帶寬,所以一般ECS服務(wù)器根本不夠看,因?yàn)樗芴×恕?。因此,我們需要設(shè)置另一個(gè)閾值:http并發(fā)請(qǐng)求。
對(duì)于我這種1M帶寬的ECS,相信100并發(fā)已經(jīng)卡出了翔。所以,我們考慮設(shè)置在50以下:
Ps:當(dāng)然做好了CDN動(dòng)靜分離的網(wǎng)站可以設(shè)置到100+,比如用了七牛CDN的朋友,總之得根據(jù)實(shí)際情況而定。
閾值只是觸發(fā)的前提,下面還有一個(gè)觸發(fā)之后的清洗限制,也就是發(fā)現(xiàn)并發(fā)超過(guò)閾值時(shí),云盾對(duì)來(lái)訪的單IP做連接數(shù)限制,超過(guò)了這個(gè)限制就返回503:
原則上,觸發(fā)清洗閾值之后,單一IP連接數(shù)限制得越小越好,但是又不能將正常的訪問(wèn)阻擋在門外。所以這個(gè)限制該如何定義還得看實(shí)際情況!當(dāng)然,你可以通過(guò)模擬攻擊去測(cè)試出一個(gè)合理的限制值,但是也得考慮一些局域網(wǎng)公用一個(gè)公網(wǎng)IP上網(wǎng)的情況(得看網(wǎng)站的受眾人群)。
看到這,相信不少用阿里云服務(wù)器的朋友已經(jīng)有所收獲吧?再我看來(lái),使用阿里云WAF的作用主要有2個(gè),一個(gè)是基礎(chǔ)DDoS防護(hù),另一就是隱藏網(wǎng)站真實(shí)IP。當(dāng)你的網(wǎng)站經(jīng)常被攻擊,而云盾都無(wú)法完全清洗時(shí),我們還可以在本文的基礎(chǔ)上再套上一層百度云加速,平常不被攻擊時(shí),百度云加速設(shè)置回源,關(guān)閉加速即可,具體做法我就不多說(shuō)了,看圖即懂:
這種方案的網(wǎng)站訪問(wèn)模式如下:
用戶瀏覽器 → 域名解析 → 百度云加速節(jié)點(diǎn)(緩存開(kāi)啟時(shí)) → 阿里云盾節(jié)點(diǎn) → 源服務(wù)器
當(dāng)然,這個(gè)方案只適用于百度云加速3.0嘗鮮版,地址:http://.su.baidu.com/ ,感興趣的自己去研究下吧!就寫這么多,洗洗睡。
最新補(bǔ)充:提了好幾次工單,才弄清楚云盾中的DDoS和WAF是2個(gè)不同的功能,看來(lái)是我理解錯(cuò)了!最后糾正下,DDoS中的DD/CC防護(hù)和WAF設(shè)置并無(wú)關(guān)系,也就是你不設(shè)置WAF的CNAME也沒(méi)關(guān)系,只要開(kāi)啟了DDoS防護(hù)就可以了!所以本文中的部分描述是不到位的,但是必須說(shuō)明的是,參考本文開(kāi)啟WAF之后,確實(shí)可以實(shí)現(xiàn)隱藏真實(shí)IP的妙用!強(qiáng)烈建議使用!
名稱欄目:阿里云盾網(wǎng)站安全防御(WAF)的使用方法(圖文)
轉(zhuǎn)載注明:http://jinyejixie.com/news32/203782.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站建設(shè)、App開(kāi)發(fā)、面包屑導(dǎo)航、網(wǎng)站內(nèi)鏈、外貿(mào)建站、網(wǎng)站導(dǎo)航
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容