十分钟应对DDoS攻击——Cloudflare防护与自定义规则实战

场景描述

服务器遭遇大规模DDoS攻击，流量峰值超过1Tbps，导致服务瘫痪。通过Cloudflare的Anycast网络和自定义防火墙规则，快速过滤恶意流量，10分钟内恢复业务访问。

---

技术实现步骤

1. 启用Cloudflare的DDoS防护模式
在Cloudflare控制台中开启“Under Attack”模式，强制所有请求通过验证挑战（如JS Challenge）：

# 使用Cloudflare API动态开启防护模式
curl -X PATCH "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/settings/security_level" \
-H "Authorization: Bearer ${API_KEY}" \
-H "Content-Type: application/json" \
--data '{"value": "under_attack"}'

2. 配置自定义防火墙规则过滤异常流量
针对SYN Flood和UDP Flood，设置基于请求频率和地理位置的规则：

# 创建规则：屏蔽高频请求IP（示例规则）
curl -X POST "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/firewall/rules" \
-H "Authorization: Bearer ${API_KEY}" \
-H "Content-Type: application/json" \
--data '{
  "description": "Block High-Rate Requests",
  "action": "block",
  "filter": {
    "expression": "(http.request.rate.ge(1000)) and (ip.src.country in {\"CN\" \"RU\"})"
  }
}'

3. 启用Argo Tunnel隐藏源站IP
使用Cloudflare Argo Tunnel建立加密连接，避免源站IP暴露：

# 安装并启动Cloudflared
wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb
sudo dpkg -i cloudflared-linux-amd64.deb
cloudflared tunnel --hostname your-domain.com --url http://localhost:80

---

恢复流程

• 0~2分钟：Cloudflare自动触发Anycast网络分流，吸收攻击流量。
• 3~5分钟：自定义规则生效，屏蔽高频请求和特定地区IP。
• 6~10分钟：Argo Tunnel加密链路建立，源站恢复服务。

---

方案优势

• 全球网络覆盖：Cloudflare的280+节点分散攻击压力。
• 零配置防护：自动识别并拦截常见攻击模式（如HTTP Flood）。
• 成本低廉：免费版即可防御中小规模攻击。