2022-10-09 分類: 網站建設
將2個網站搬到阿里云,一個是因為阿里云穩(wěn)定,另一個就是牛逼轟轟的云盾了。之前在博客聯(lián)盟群里模擬CC攻擊過搭建在阿里云ECS上的博客,結果云盾毫無反應,而網站已經掛了。
這次特意細看了一下云盾上的CC防護功能,發(fā)現(xiàn)有部分朋友估計并未正確使用WAF。所以,我在本文就簡單的分享一下阿里云盾-WAF網站防御的正確使用方法。
一、域名解析
大部分朋友,只是開啟了云盾就不管了,這也就是很多朋友受到CC攻擊后,云盾卻毫無反應的原因了。實際上WAF防御必須配合域名解析來使用。
阿里云的WAF網站防御實際上相當于沒有緩存機制的百度云加速或360網站衛(wèi)士,不過只能用cname接入方式,后續(xù)是否會結合萬網解析,新增NS接入方式就不得而知了:
如上圖所示,要開啟WAF網站防御,就必須在域名解析那,將主機記錄cname到云盾生成的CNAME地址。這時用戶訪問網站是這樣一個情況:
用戶瀏覽器 → 域名解析 →cname到云盾服務器 → 源服務器
當受到攻擊時,流量會經過云盾節(jié)點,并觸發(fā)清洗機制,起到CC/DDoS防護作用。
當然,也有部分朋友知道WAF使用方法,但可能是出于SEO考慮,這些朋友也只會在網站受到攻擊的時候才會修改為CNAME解析,因為CNAME解析到阿里云WAF域名后,IP并不是固定的,這點和云加速之類的是一致的,不過遺憾的是WAF并沒有搜索引擎自動回源機制,所以使用cname之后,IP的頻繁變更會對SEO造成不良影響!
如下圖所示,使用WAF之后,網站IP也就變成了云盾節(jié)點IP了:
那該如何解決這個問題呢?想必看過張戈博客上一篇文章的朋友已經了然于心了吧?沒錯!和備案不影響SEO的做法一樣:將默認線路cname到阿里云WAF地址,然后再新增一條搜索引擎線路,指定到源服務器IP即可!這樣就可以長期開啟云盾WAF防御,而不影響SEO了!
本想,百度自家的云加速解析,對搜索引擎線路的判斷應該是最靠譜的(對于做百度流量的網站來說),畢竟是自家的產品,有哪些蜘蛛IP,都一清二楚,不會搞錯!但實際測試發(fā)現(xiàn),百度云加速目前并不支持cname默認線路的同時,新增搜索引擎線路,會提示該記錄已存在!
Ps:嘗鮮版的百度云加速倒是支持,地址是 http://next.su.baidu.com,感興趣的可以自行測試下。
后來仔細一想,百度雖然對自己的蜘蛛了解透徹,但是對其他幾家呢?比如搜狗,比如360?估計是個半吊子。處于完整性考慮,我推薦使用DNSPOD解析,原因無它,看圖:
DNSPOD和百度有過合作,所以有一個百度專屬線路,額外的還有搜索引擎線路,想必比百度云加速收集的蜘蛛IP更加完善吧!
所以,正確的解析如下所示:
這樣解析不但可以放心使用阿里云WAF防御,還可以隱藏你的網站真實IP,避免發(fā)生源站被攻擊只能換IP的尷尬(通過hosts本地解析進行攻擊,啥CDN防護都沒了作用?。?/strong>
二、防護設置
可能開啟了云盾,也正確解析了域名,但是被CC攻擊時,云盾還是毫無反應?!實際上還要設置下DDoS防護高級設置,因為云盾默認的DDoS防護閾值還是太高,如下所示:
清洗觸發(fā)值: 每秒請求流量:180M 每秒報文數(shù)量:30000 每秒HTTP請求數(shù):1000
我們這種搭建在阿里云的小博客,大部分帶寬都只有1~2M,別人2M請求流量或100+并發(fā)就已經把你的網站打出了翔咯!所以很多朋友就算正確開啟了WAF防御,被攻擊的時候還是非常卡!
因此,我們必須根據自己網站的流量設置下閾值。
看了下,最低的請求流量是10Mbps,也就是10M帶寬,所以一般ECS服務器根本不夠看,因為水管太小了。。因此,我們需要設置另一個閾值:http并發(fā)請求。
對于我這種1M帶寬的ECS,相信100并發(fā)已經卡出了翔。所以,我們考慮設置在50以下:
Ps:當然做好了CDN動靜分離的網站可以設置到100+,比如用了七牛CDN的朋友,總之得根據實際情況而定。
閾值只是觸發(fā)的前提,下面還有一個觸發(fā)之后的清洗限制,也就是發(fā)現(xiàn)并發(fā)超過閾值時,云盾對來訪的單IP做連接數(shù)限制,超過了這個限制就返回503:
原則上,觸發(fā)清洗閾值之后,單一IP連接數(shù)限制得越小越好,但是又不能將正常的訪問阻擋在門外。所以這個限制該如何定義還得看實際情況!當然,你可以通過模擬攻擊去測試出一個合理的限制值,但是也得考慮一些局域網公用一個公網IP上網的情況(得看網站的受眾人群)。
看到這,相信不少用阿里云服務器的朋友已經有所收獲吧?再我看來,使用阿里云WAF的作用主要有2個,一個是基礎DDoS防護,另一就是隱藏網站真實IP。當你的網站經常被攻擊,而云盾都無法完全清洗時,我們還可以在本文的基礎上再套上一層百度云加速,平常不被攻擊時,百度云加速設置回源,關閉加速即可,具體做法我就不多說了,看圖即懂:
這種方案的網站訪問模式如下:
用戶瀏覽器 → 域名解析 → 百度云加速節(jié)點(緩存開啟時) → 阿里云盾節(jié)點 → 源服務器
當然,這個方案只適用于百度云加速3.0嘗鮮版,地址:http://.su.baidu.com/ ,感興趣的自己去研究下吧!就寫這么多,洗洗睡。
最新補充:提了好幾次工單,才弄清楚云盾中的DDoS和WAF是2個不同的功能,看來是我理解錯了!最后糾正下,DDoS中的DD/CC防護和WAF設置并無關系,也就是你不設置WAF的CNAME也沒關系,只要開啟了DDoS防護就可以了!所以本文中的部分描述是不到位的,但是必須說明的是,參考本文開啟WAF之后,確實可以實現(xiàn)隱藏真實IP的妙用!強烈建議使用!
名稱欄目:阿里云盾網站安全防御(WAF)的使用方法(圖文)
轉載注明:http://m.rwnh.cn/news32/203782.html
成都網站建設公司_創(chuàng)新互聯(lián),為您提供品牌網站建設、App開發(fā)、面包屑導航、網站內鏈、外貿建站、網站導航
聲明:本網站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內容