引言

我相信你在技术探索的过程中，你一定遇到过DDOS攻击。服务器黑洞或者导致你项目不能正常请求，这都是DDOS攻击导致的。DDOS攻击通过大量虚假流量淹没目标服务器，使其瘫痪，导致正常用户无法访问服务。这种攻击不仅会给企业/个人带来巨大的经济损失，还会带来名誉上的损害。可能各位觉得面对攻击我们会束手无策，那么这篇文章可能会改变你的想法。

初识DDOS

DDOS攻击的主要目的是通过大量流量淹没目标服务器，使其无法正常运行。攻击者通常会利用僵尸网络向目标发送海量请求，从而耗尽服务器资源。在国内，某些地区存在恶意利用PCDN进行攻击的情况。PCDN本身是一种通过P2P技术优化内容分发的技术，旨在利用边缘网络中的闲置资源，实现低成本且高效的内容分发。

然而，当企业和机房出于获利目的，将PCDN技术用于恶意用途时，就可能成为DDOS攻击的工具。例如，攻击者可能会利用PCDN的分布式特性，通过控制大量设备向目标发送恶意流量，从而耗尽目标服务器的资源。这种情况下，尽管PCDN技术本身是无害的，但被恶意利用后，其分布式架构反而为攻击提供了便利。

因此，虽然PCDN本身是一种合法的技术，但在某些情况下，它可能会被用于发起DDOS攻击，尤其是在某些地区的企业和机房为了获利而将其用于恶意目的时。

DDoS攻击有多种类型，包括：

1. 流量型攻击：通过发送海量UDP数据包等，迅速耗尽网络带宽，导致网络拥堵，使正常流量无法通过。

2. 协议型攻击：利用TCP协议漏洞，如SYN洪水攻击，大量消耗服务器的协议栈资源，使其无法正常处理合法请求。

3. 应用层攻击：针对特定应用（如HTTP），发起大量请求，使应用服务器过载，无法响应正常用户。

接下来，我将通过一系列实用的操作，让你的站点从此告别“白给”，让DDoS攻击不再成为你的烦恼。

CDN防御DDOS

什么是CDN？

CDN（内容分发网络）是一种全球分布式的网络架构，通过将网站内容智能分发到多个地理位置的服务器节点，显著提升内容传输的速度和可靠性。它不仅优化了用户访问速度，降低了延迟，还增强了网站的可用性和稳定性。CDN的核心功能之一是缓存网站的静态资源，如图片、CSS、JavaScript等。当用户访问网站时，这些数据可直接从CDN节点的缓存中读取，从而加快网站加载速度，同时减轻源服务器的压力。此外，CDN还能有效隐藏源服务器的真实IP地址，使攻击者只能攻击到CDN节点，从而为网站提供额外的安全保护。

那么，接下来我们将通过熟悉的 Cloudflare 来对网站进行配置。虽然 Cloudflare 在中国大陆的节点属于企业定制项目，访问速度可能不如其他地区理想，但从防御攻击的角度来看，这其实并不是什么大问题。毕竟，安全防护才是我们当前的首要任务。

为了方便演示，我特意准备了一个全新的 .icu 域名，以及一台腾讯云的锐驰型套餐（日本）轻量服务器，作为本文演示的基础环境。

配置Cloudflare

进入 Cloudflare 官网后，输入你的主域名。输入完成后，点击“继续”。接下来，选择 Free 计划——这是 Cloudflare 提供的免费服务，功能强大且完全免费。确认无误后，点击“继续”按钮，即可开始配置。

点击“继续”后，接下来需要设置 DNS 解析。在这里，记录名称 和 IP 地址 需要根据你的实际情况填写。其中，IP 地址 是你服务器的实际地址，请务必填写正确，否则可能会导致域名解析失败。

此外，代理状态 默认是开启的。如果未开启，你可以手动勾选以启用。请确保 代理状态始终保持开启，这是为了确保 Cloudflare 的安全和加速功能能够正常工作。

点击“继续”前往激活后，你会来到一个引导界面。此时，你需要登录到域名注册商的平台（即域名所在的平台）。进入域名管理界面后，重点关注第三步。

以腾讯云 DNSPod 为例，登录控制台后，找到 “DNS 解析” 选项。点击 “修改 DNS 服务器”，将默认的 DNS 服务器地址替换为Cloudflare提供的 DNS 服务器地址。完成后，点击 “提交” 即可。这些操作都很直观，很容易找到。

点击提交后，通常需要等待一段时间让配置生效。一般来说，这个过程可能需要 30分钟左右，但具体时间会因服务商而异。有些服务商可能会更慢，甚至需要 24小时 才能完成更改。不过，如果你的配置更改较快，可能 1小时内 就能生效。

如果你已经完成了配置并确认生效，或者已经提前绑定了相关设置，那么可以继续阅读下面的内容。

接下来，我们访问自己的站点，看看是否能够成功访问。要是能成功进行访问我们可以继续接下来的操作。

配置白名单

完成DNS配置后，我们还需要进行服务器的安全设置。特别是为了防止Kali等工具进行暴力扫描，我们可以通过添加白名单来增强安全性。在腾讯云中，这个功能被称为防火墙模板。

以下是具体步骤：

1. 进入腾讯云控制台：登录到腾讯云控制台，找到你的服务器实例。

2. 创建防火墙模板：在控制台中，找到防火墙模板选项，点击新建模板。

3. 配置白名单：在新建模板时，添加你信任的IP地址到白名单中。这样只有这些IP地址才能访问你的服务器。

4. 绑定服务器：将新建的防火墙模板与现有的服务器实例绑定。生效后，这个模板就相当于其他厂商的白名单功能。

请根据以下配置自行添加规则。这些IP地址均来自Cloudflare官网。你可以在Cloudflare官网主页后输入 /ips，直接跳转到最新的IP白名单页面。

除了上述15个Cloudflare的IP白名单外，我们还需要根据实际需求考虑服务器所需的端口。例如，常见的SSH、Nginx、MySQL端口等，都需要根据你的项目情况进行合理配置。如果你安装了宝塔面板，可能还需要指定特定的安全端口。不过，出于安全考虑，建议尽量减少不必要的端口暴露。

这里推荐仅开启22端口，用于SSH访问。这是最基础且必要的端口，用于远程管理服务器。其他端口，如MySQL的3306端口，建议不要直接暴露在外网，以避免被扫描和攻击。

你需要新建一个防火墙模板，用于存储允许访问的外部IP地址。这些IP地址通常是那些不容易被扫描到的端口对应的IP。通过这种方式，你可以有效减少服务器被恶意扫描的风险，同时确保必要的访问权限。

我们先点击顶部的模板设置选项。在进行这一步之前，请确保已经保存好防火墙模板，并进入你刚刚设置好的模板。

1. 点击蓝色的“设置实例防火墙”按钮：在模板设置页面中，找到并点击蓝色的“设置实例防火墙”按钮。

2. 选择服务器地区：在弹出的选项中，选择你的服务器所在的地区。

3. 选择需要设置的服务器：从列表中选择你需要配置的服务器实例。

4. 点击保存：确认选择后，点击“保存”按钮。

通过这些步骤，你的白名单设置就完成了。这样可以确保只有来自Cloudflare的IP地址和你指定的端口能够访问你的服务器，有效提高安全性。

WAF防火墙

点击 WAF 防火墙 选项后，进入 自定义规则 页面。对于使用免费版的用户来说，你可以免费添加最多五个规则。其实，这里的配置逻辑与我之前写过的 EdgeOne 设置非常相似，那篇文章写得相当全面，你可以参考它来完成配置。

为了方便大家，这里我简单配置几个规则作为参考。

当访问威胁指数达到或超过5时，将触发一个质询界面，进行身份核验。

如果设置的规则是“国家不等于日本（Japan）则禁止访问”，那么我们可以通过实际操作来测试规则是否生效。比如，我这里使用了一个香港的IP地址来尝试访问，看看是否会被正常拦截。

拦截成功，说明设置完全正确。当我们尝试通过本地网络访问时，应该能够正常进入网站，不受任何影响。

在页面的侧边栏，还有一个名为“速率限制规则”的菜单。点击进入后，你可以进行相关设置。简单来说，就是定义在5秒或10秒内允许发生的交互次数。例如，你可以限制某个IP在短时间内对特定页面的访问频率，从而防止恶意爬虫或高频攻击。

具体设置可以参考上图，这里就不再赘述了。其中，星号（*）表示当前目录下的所有文件，或者说是整个网站的范围。至于其他设置，由于免费版的限制，很多地方无法更改，所以保持默认即可。

其实，Cloudflare还有很多强大的功能值得深入探索，大家不妨自行去挖掘一番，说不定会有更多惊喜发现。

结语

通过本文的介绍，相信你已经对DDoS攻击的防御有了更清晰的认识。无论是利用CDN的强大功能，还是通过防火墙和WAF的精细配置，我们都能有效提升网站的安全性。希望这些方法能成为你抵御网络威胁的有力武器。在技术的海洋中，安全永远是前行的基石。