將2個網站搬到阿里云�,一個是因為阿里云穩定��,另一個就是牛逼轟轟的云盾了�。之前在博客聯盟群里模擬CC攻擊過搭建在阿里云ECS上的博客�����,結果云盾毫無反應�,而網站已經掛了����。
這次特意細看了一下云盾上的CC防護功能���,發現有部分朋友估計并未正確使用WAF����。所以��,我在本文就簡單的分享一下阿里云盾-WAF網站防御的正確使用方法��。
一�、域名解析
大部分朋友�,只是開啟了云盾就不管了�,這也就是很多朋友受到CC攻擊后����,云盾卻毫無反應的原因了����。實際上WAF防御必須配合域名解析來使用����。
阿里云的WAF網站防御實際上相當于沒有緩存機制的百度云加速或360網站衛士�����,不過只能用cname接入方式����,后續是否會結合萬網解析�����,新增NS接入方式就不得而知了:
如上圖所示���,要開啟WAF網站防御�����,就必須在域名解析那�����,將主機記錄cname到云盾生成的CNAME地址����。這時用戶訪問網站是這樣一個情況:
用戶瀏覽器 → 域名解析 →cname到云盾服務器 → 源服務器
當受到攻擊時�����,流量會經過云盾節點�,并觸發清洗機制��,起到CC/DDoS防護作用�。
當然�����,也有部分朋友知道WAF使用方法���,但可能是出于seo考慮��,這些朋友也只會在網站受到攻擊的時候才會修改為CNAME解析���,因為CNAME解析到阿里云WAF域名后����,IP并不是固定的��,這點和云加速之類的是一致的�,不過遺憾的是WAF并沒有搜索引擎自動回源機制���,所以使用cname之后���,IP的頻繁變更會對SEO造成不良影響!
如下圖所示���,使用WAF之后����,網站IP也就變成了云盾節點IP了:
那該如何解決這個問題呢?想必看過張戈博客上一篇文章的朋友已經了然于心了吧?沒錯!和備案不影響SEO的做法一樣:將默認線路cname到阿里云WAF地址��,然后再新增一條搜索引擎線路�����,指定到源服務器IP即可!這樣就可以長期開啟云盾WAF防御�,而不影響SEO了!
本想���,百度自家的云加速解析����,對搜索引擎線路的判斷應該是最靠譜的(對于做百度流量的網站來說)�����,畢竟是自家的產品�����,有哪些蜘蛛IP��,都一清二楚��,不會搞錯!但實際測試發現�����,百度云加速目前并不支持cname默認線路的同時��,新增搜索引擎線路�,會提示該記錄已存在!
Ps:嘗鮮版的百度云加速倒是支持�,地址是 http://next.su.baidu.com��,感興趣的可以自行測試下�����。
后來仔細一想�����,百度雖然對自己的蜘蛛了解透徹����,但是對其他幾家呢?比如搜狗���,比如360?估計是個半吊子����。處于完整性考慮�����,我推薦使用DNSPOD解析����,原因無它���,看圖:
DNSPOD和百度有過合作���,所以有一個百度專屬線路�����,額外的還有搜索引擎線路����,想必比百度云加速收集的蜘蛛IP更加完善吧!
所以���,正確的解析如下所示:
這樣解析不但可以放心使用阿里云WAF防御���,還可以隱藏你的網站真實IP��,避免發生源站被攻擊只能換IP的尷尬(通過hosts本地解析進行攻擊��,啥CDN防護都沒了作用?。?/p>
二����、防護設置
可能開啟了云盾����,也正確解析了域名�����,但是被CC攻擊時���,云盾還是毫無反應?!實際上還要設置下DDoS防護高級設置����,因為云盾默認的DDoS防護閾值還是太高�����,如下所示:
清洗觸發值: 每秒請求流量:180M 每秒報文數量:30000 每秒HTTP請求數:1000
我們這種搭建在阿里云的小博客�����,大部分帶寬都只有1~2M��,別人2M請求流量或100+并發就已經把你的網站打出了翔咯!所以很多朋友就算正確開啟了WAF防御���,被攻擊的時候還是非?����??
因此����,我們必須根據自己網站的流量設置下閾值���。
看了下�,最低的請求流量是10Mbps����,也就是10M帶寬�����,所以一般ECS服務器根本不夠看��,因為水管太小了��。�。因此����,我們需要設置另一個閾值:http并發請求�����。
對于我這種1M帶寬的ECS���,相信100并發已經卡出了翔����。所以����,我們考慮設置在50以下:
Ps:當然做好了CDN動靜分離的網站可以設置到100+����,比如用了七牛CDN的朋友�����,總之得根據實際情況而定�����。
閾值只是觸發的前提���,下面還有一個觸發之后的清洗限制�����,也就是發現并發超過閾值時��,云盾對來訪的單IP做連接數限制���,超過了這個限制就返回503:
原則上����,觸發清洗閾值之后��,單一IP連接數限制得越小越好���,但是又不能將正常的訪問阻擋在門外��。所以這個限制該如何定義還得看實際情況!當然��,你可以通過模擬攻擊去測試出一個合理的限制值�,但是也得考慮一些局域網公用一個公網ip上網的情況(得看網站的受眾人群)�����。
看到這����,相信不少用阿里云服務器的朋友已經有所收獲吧?再我看來����,使用阿里云WAF的作用主要有2個��,一個是基礎DDoS防護�,另一就是隱藏網站真實IP�。當你的網站經常被攻擊���,而云盾都無法完全清洗時����,我們還可以在本文的基礎上再套上一層百度云加速��,平常不被攻擊時���,百度云加速設置回源����,關閉加速即可�����,具體做法我就不多說了���,看圖即懂:
這種方案的網站訪問模式如下:
用戶瀏覽器 → 域名解析 → 百度云加速節點(緩存開啟時) → 阿里云盾節點 → 源服務器
當然��,這個方案只適用于百度云加速3.0嘗鮮版�����,地址:http://next.su.baidu.com/ ���,感興趣的自己去研究下吧!就寫這么多�,洗洗睡�。
最新補充:提了好幾次工單�����,才弄清楚云盾中的DDoS和WAF是2個不同的功能�,看來是我理解錯了��!最后糾正下���,DDoS中的DD/CC防護和WAF設置并無關系���,也就是你不設置WAF的CNAME也沒關系�����,只要開啟了DDoS防護就可以了����!所以本文中的部分描述是不到位的����,但是必須說明的是�,參考本文開啟WAF之后����,確實可以實現隱藏真實IP的妙用���!強烈建議使用�����!
更多網絡知識及相關網絡服務請QQ咨詢深圳網站建設公司QQ:2361277551
