了解 Cloudflare DDOS 防护

了解 Cloudflare 如何防御 DDoS 攻击，以及如何识别您的网站是否遭受攻击。

本文内容

概述

分布式拒绝服务攻击（DDoS）企图使在线服务无法提供给最终用户使用。对于所有计划类型，Cloudflare 都提供第 3、4 和 7 层 DDoS 攻击未计量缓解。Cloudflare 不按攻击大小计费，也没有攻击大小、类型或持续时间的上限。

Cloudflare 的网络设计旨在自动监测和缓解大型 DDoS 攻击。在 Cloudflare 缓存内容也能防止您的网站遭受小型 DDoS 攻击，但是未缓存的资产需要额外手动应对 DDoS 攻击。

此外，Cloudflare 也会在以下情况下帮助缓解较小的 DDoS 攻击：

对于任何计划中的区域，当 HTTP 错误率高于_高_（默认）敏感度级别，即每秒 1,000 个错误的错误率阈值时。您可以配置 HTTP DDoS 攻击防护托管规则集以降低敏感度级别。
对于 Pro、Business 和 Enterprise 计划中的区域，Cloudflare 会执行额外检查以提高检测准确性：每秒错误率还必须至少是正常源站流量水平的五倍。

Cloudflare 根据 52X 范围内（内部服务器错误）和 53X 范围内的所有 HTTP 错误来确定错误率，但错误 530除外。

HTTP DDoS 攻击缓解在 Firewall Analytics 仪表板中显示为 HTTP DDoS 事件。这些事件也可通过 Cloudflare Logs 查看。

目前，对于基于 HTTP 错误率的 DDoS 缓解，客户无法排除特定的 HTTP 错误代码。

在 Cloudflare 学习中心了解有关著名 DDoS 攻击和 DDoS 的更多信息。也可以在本文末尾的相关资源部分中查阅 DDoS 案例研究。

Cloudflare HTTP DDoS 攻击防护托管规则集是一组预先配置的规则，用于匹配已知攻击模式、已知攻击工具、可疑模式、协议违规、导致大量源站错误的请求、命中源站/缓存的过多流量，以及边缘应用程序层的其他攻击手段。该规则集适用于 Cloudflare 任一计划的客户，并且默认启用。

如果您预计合法流量会出现大幅激增，请考虑自定义 DDoS 防护设置以避免误报。误报是指合法流量被错误地识别为攻击流量并被阻止/质询。

在 Cloudflare 开发人员门户中详细了解 Cloudflare HTTP DDoS 攻击防护托管规则集和可用的配置设置。

如需详细了解 HTTP DDoS 攻击防护系统所采用的操作，请参阅 HTTP DDoS 攻击防护参数：操作。

Cloudflare 网络层 DDoS 攻击防护托管规则集

Cloudflare 网络层 DDoS 攻击防护托管规则集是一组预先配置的规则，用于匹配 OSI 模型第 3 层和第 4 层已知的 DDoS 攻击手段。该规则集适用于 Cloudflare 任一计划的客户，并且默认启用。

在 Cloudflare 开发人员门户中详细了解 Cloudflare 网络层 DDoS 攻击防护托管规则集和可用的配置设置。

如需详细了解 L3/4 DDoS 攻击防护系统所采用的操作，请参阅网络层 DDoS 攻击防护参数：操作。

判断您是否遭受 DDoS 攻击

遭受 DDoS 攻击的常见迹象包括：

网站离线，或请求响应很慢。
Cloudflare Analytics 应用的 Requests Through Cloudflare 或 Bandwidth 的图表中出现意外激增。
源站 Web 服务器日志中有奇怪的请求，与正常的访问者行为不符。

Cloudflare 在攻击我吗？

两种常见情况造成错误地认为 Cloudflare 攻击您的站点：

除非您恢复源访问者 IP 地址，否则服务器日志中所有代理请求都显示 Cloudflare IP 地址。
攻击者在假冒 Cloudflare 的 IP。Cloudflare 仅通过几个特定端口向您的源 Web 服务器发送流量，除非您使用了 Cloudflare Spectrum。

理想情况下，由于 Cloudflare 是反向代理，因此您的托管服务提供商会观察到从 Cloudflare IP 地址连接的攻击流量。另一方面，如果您看到来自不属于 Cloudflare 的 IP 地址的连接，则攻击直接针对您的源 Web 服务器。Cloudflare 无法阻止直接针对您的源站 IP 地址的攻击，因为流量绕过了 Cloudflare 的网络。

了解 Cloudflare DDOS 防护