Bài viết này mình chia sẻ cách thiết lập cơ bản chống DDoS cùng với Cloudflare, anh em có thể áp dụng cho site cá nhân hoặc công ty của mình.

Cloudflare là một dịch vụ DNS khổng lồ và uy tín nhất thế giới được cộng đồng tin tưởng. Bài này mình chỉ bàn về cách sử dụng nó làm proxy cho chúng ta núp phía sau để giảm thiểu nguy cơ bị tấn công,

Plan: nếu có điều kiện thì anh em chơi Pro, Business hay Enterprise thì phải nói là bá cháy, đỉnh của chóp.

Còn nếu tài chính không cho phép thì Free cũng là một cách cây nhà lá vườn.

Giới thiệu.

Một số tính năng: JS Challenges, Captcha, UAM (Under Attack Mod), Bot Fight... nó như một nhân viên kiểm soát vé để một request hợp lệ truy cập đến site đích.

Những requests mà địa chỉ IP đã nằm sẵn trong blacklists của Cloudflare sẽ tự động bị áp dụng biện pháp cưỡng chế đặc biệt. Trong đó, Block là biện pháp cuối cùng.

Việc bật JS Challenges, hay UAM ... sẽ làm cho người dùng hơi khó chịu vì cái màn hình loading với thiết kế hơi củ chuối. Nên việc sử dụng rules với fileter hợp lí sẽ dễ chịu hơn nhiều.

Mình chia sẻ cách chống DDoS cơ bản với Cloudflare với 1 rule mà không cần phải bật UAM hay JS Challenges, giúp anh em hạn chế phần nào lượng traffic DDoS vào site của mình

Giải thích: 

- Với rule này thì một request có địa chỉ IP ngoài lãnh thổ Việt Nam và tồn tại tham số Refer trong header sẽ bị áp dụng ( Captcha, JS challenges hoặc Block tuỳ anh em chọn)

Vì sao sử dụng thiết lập này:

- Hơn 90% traffic mình nhận được tại https://firewall.wiki với IP quốc tế đều có thành phần refer từ: yahoo, google, fbi, usatoday..... 

Trung bình mỗi ngày mình có khoảng 1-7GB logs.

Tất nhiên sẽ còn vài chỗ hở trong trường kẻ tấn công bypass Cloudflare hay lượng botnet quá mạnh. 

Hoặc người tấn công anh em là một thanh niên có khả năng modify tool của chính họ hoặc sử dụng IP Việt Nam để tấn công chúng ta.

Đối với trường hợp này thì việc nhanh nhất và hiệu quả nhất rate limit cloudflare hoặc sử dụng các firewall chống DDoS để ngăn chặn. Tất nhiên là có phí, còn đắt rẻ thì anh em có thể tham khảo:

- Cloudflare Pro/Business

- Azure Anti DDoS

- Google Armor

- Akamai

- https://firewall.wiki Anti DDoS

- Vietnix Anti DDos

- AntiDDos VN ...