CloudFlare — бесплатная защита сайта от DDoS-атак и ускорение его загрузки


Содержание материала:

Бесплатная защита от DDoS-атак и ускорение сайта в CloudFlare

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Кто не слышал про CloudFlare? Я слышал и даже подробно изучал возможности сервиса лет этак пять назад, наверное (когда задумывался об ускорении сайта). Вот только сейчас уже не скажу, что именно тогда меня остановило от того, чтобы этот сервис попробовать (не помню). Но это и не важно.

Важно же то, что в первый рабочий день после новогодних праздников мне таки пришлось подключить KtoNaNovenkogo.ru к CloudFlare и притом в авральном режиме (с выдиранием волос, литрами выпитого кофе и биением головой об стол). Сделать это пришлось из-за полной блокировки доступа к сайту (скорее всего путем Ддос атаки — по FTP доступ был возможен).

Из меня администратор сервера аховый и по большому счету я мало что понимаю в тонкостях и разновидностях DDos атак (ни как их организуют, ни как от них грамотно отбиваться — кроме простейшего блокирование по IP). Когда с этим не сталкиваешься, то оно тебе и не надо.

Но по всему выходит, что в первый рабочий день после новогодних праздников меня ддосили, и ничего ни я, ни техподдержка хостинга с этим поделать не смогли. Нанимать фрилансера для решения проблемы было стремно. Хорошо хоть по телефону ребята с Инфобокса мне подкинули идею подключить CloudFlare (как один из вариантов решения проблемы) и я за эту идею ухватился как за соломинку.

На успех особо не рассчитывал (за несколько часов, нужных для сброса старых и прописывания новых NC адресов успел много чего узнать по теме и даже составил уже примерный план действий). Но к моему удивлению буржуйский чудо-сервис помог! Притом даже на бесплатном тарифе. Замечательно сработал режим защиты от DDos атаки. Честно — не ожидал. Был приятно удивлен. Да еще и сайт стал летать как на крыльях (хотя и раньше черепахой не был).

В общем — так не бывает, но все же случается.

Вы также можете ознакомиться с другими материалами рубрики Онлайн сервисы, Скорость загрузки сайта, Хостинг и домены.

Advanced DDoS Attack Protection

Unmetered DDoS mitigation to maintain performance and availability

Denial of Service attacks continue to grow in sophistication and force: more distributed, greater volumes of traffic, and encroaching on the application layer.

A successful attack increases unnecessary costs on your infrastructure and IT/security staff. More importantly, it hurts your revenue, customer satisfaction, and brand.

To combat attacks and stay online, you’ll need a solution that’s resilient scalable, and intelligent.

Defend against the largest attacks

Cloudflare’s network capacity is 15x bigger than the largest DDoS attack ever recorded. With 30 Tbps of capacity, it can handle any modern distributed attack, including those targeting DNS infrastructure.

Shared Network Intelligence

With every new property, Cloudflare’s network becomes smarter. Cloudflare’s IP reputation database identifies and blocks new and evolving threats across all 20 million properties on the network.

No Performance Tradeoffs

Eliminate security induced latencies by integrating with Cloudflare’s included performance services, including CDN, smart routing, website optimizations, and the latest web standards.

Common Types of DDoS Attacks

DNS Flood

By disrupting DNS resolution, a DNS flood attack will make a website, API, or web application non-performant or completely unavailable.

UDP Amplification (Layer 3 & 4)

An attacker leverages the functionality of open DNS or NTP resolvers to overwhelm a target server or network with amplified request traffic, where the payload size is greater than the size of an originating request.

HTTP Flood (Layer 7)

HTTP flood attacks generate high volumes of HTTP, GET, or POST requests from multiple sources, targeting the application layer, causing service degradation or unavailability.

Layered Security Defense

Cloudflare’s layered security approach combines multiple DDoS mitigation capabilities into one service. It prevents disruptions caused by bad traffic, while allowing good traffic through, keeping websites, applications and APIs highly available and performant.

rate-limited requests per day.

WAF blocks per month.

Read the Case Study

Information Security Architect

Flat-Rate Pricing

Mitigating Historic Attacks

Cloudflare engineers have witnessed some of the largest attacks in history unfold. Learn how we handled them in our developer blog.

400Gbps: Winter of Whopping Layer 3 DDoS Attacks

In the winter of 2020, Cloudflare mitigated its largest Layer 3 distributed attack to date. Not only was it stopped, but accurately measured and analyzed. Read more.

Details Behind a 400Gbps NTP Amplification Attack

Distributed attacks take all shapes and forms. In this 400Gbps amplification attack, an attacker used 4,529 NTP servers to amplify an attack from a mere 87 Mbps source server. Read more.

The DDoS Attack That Almost Broke the Internet

Cloudflare has been fighting historic distributed attacks for over 7 years. In 2013, the 120 Gbps on Spamhaus was considered a big attack, and Cloudflare was able to keep their website online. Read more.

More Cloudflare Security Solutions

Prevent Customer Data Breach

Prevent attackers from compromising sensitive customer data, such as user credentials, credit card information, and other personally identifiable information.

Block Malicious Bot Abuse

Block abusive bots from damaging Internet properties through content scraping, fraudulent checkout, and account takeover.

Trusted By

Over 20,000,000 Internet properties

Cloudflare Features

Cloudflare’s Performance and Security Services work in conjunction to reduce latency of websites, mobile applications, and APIs end-to-end, while protecting against DDoS attack, abusive bots, and data breach.

Performance

Cloudflare Performance Services improve conversions, reduce churn, and improve visitor experiences by accelerating web and mobile performance, while keeping applications available.

Content Delivery Network (CDN)

Website Optimizations

Load Balancing

Argo Smart Routing

Railgun™

Stream

Workers

Mobile SDK

Security

Cloudflare Security Services reduce the risk of lost customers, declining revenues, and degraded brand by protecting against DDoS attacks, abusive bots, and data breach.

Anycast Network

DNSSEC

Web Application Firewall (WAF)

Rate Limiting

SSL / TLS

Secure Registrar

Orbit

Argo Tunnel

Access

Spectrum

Protection From All Attacks

Since Cloudflare serves as a proxy for all of your network traffic, we can protect you from any kind of distributed denial-of-service attack, including all of the following:

Layer 3/4

Most attacks target the transport and network layers of a communications system. These layers are represented as layers 3 and 4 of the OSI model. The so called “transport” layer of the network stack specifies the protocol (e.g., TCP or UDP) by which two hosts on a network communicate with one another. Attacks directed at layers 3 and 4 are designed to flood a network interface with attack traffic in order to overwhelm its resources and deny it the ability to respond to legitimate traffic. More specifically, attacks of this nature aim to saturate the capacity of a network switch, or overwhelm a server’s network card or its CPU’s ability to handle attack traffic.

Layer 3 and 4 attacks are difficult—if not impossible—to mitigate with an on-premise solution. If an attacker can send more traffic than a network link can handle, no amount of additional hardware resources will help to mitigate such an attack. For example, if you have a router with a 10Gbps port and an attacker sends you 11Gbps of attack traffic, no amount of intelligent software or hardware will allow you to stop the attack if the network link is completely saturated.

Very large layer 3/4 attacks nearly always originate from a number of sources. These many sources each send attack traffic to a single Internet location creating a tidal wave that overwhelms a target’s resources. In this sense, the attack is distributed. The sources of attack traffic can be a group of individuals working together, a botnet of compromised PCs, a botnet of compromised servers, misconfigured DNS resolvers or even home Internet routers with weak passwords.

Because an attacker launching a layer 3/4 attack doesn’t care about receiving a response to the requests they send, the packets that make up the attack do not have to be accurate or correctly formatted. Attackers will regularly spoof all information in the attack packets, including the source IP, making it look as if the attack is coming from a virtually infinite number of sources. As packet data can be fully randomized, even techniques such as upstream IP filtering become virtually useless.

With Cloudflare DDoS Protection, all attack traffic that would otherwise directly hit your server infrastructure is automatically routed to Cloudflare’s global Anycast network of data centers. Once attack traffic is shifted, we are able to leverage the significant global capacity of our network, as well as racks-upon-racks of server infrastructure, to absorb the floods of attack traffic at our network edge. This means that Cloudflare is able to prevent even a single packet of attack traffic from a traditional layer 3/4 attack from ever reaching a site protected by Cloudflare.

DNS Amplification Attacks

DNS amplification attacks, one form of DRDoS, are on the rise and have become the largest source of Layer 3/4 attacks. Cloudflare routinely mitigates attacks that exceed 100Gpbs, and recently protected a customer from an attack that exceeded 300Gbps—an attack the New York Times deemed the “largest publicly announced DDoS attack in the history of the Internet.”

In a DNS reflection attack the attacker sends a request for a large DNS zone file—with the source IP address spoofed as the IP address of the intended victim—to a large number of open DNS resolvers. The resolvers then respond to the request, sending the large DNS zone answer to the IP address of the intended victim. The attackers’ requests themselves are only a fraction of the size of the responses, allowing the attacker to amplify their attack to many times the size of the bandwidth resources they themselves control.

DNS Reflection Attack Without Cloudflare

An attacker gathers resources, like botnets or unsecured DNS recursors, and imitates the target’s IP address. The resources then send a flood of replies to the target, knocking it offline.

DNS Reflection Attack With Cloudflare

An attacker gathers resources, like botnets or unsecured DNS recursors, and imitates the target’s IP address. The resources then send a flood of replies to the target, but they are blocked regionally by Cloudflare’s data centers. Legitimate traffic can still access the web property.

There are two criterion for an amplification attack: 1.) a query can be sent with a spoofed source address (e.g., via a protocol like ICMP or UDP that does not require a handshake); and 2.) the response to the query is significantly larger than the query itself. DNS is a core, ubiquitous Internet platform that meets these criteria, and therefore has become the largest source of amplification attacks.

DNS queries are typically transmitted over UDP, meaning that, like ICMP queries used in a SMURF attack (described below), they are fire-and-forget. As a result, the source attribute of a DNS query can be spoofed and the receiver has no way of determining its veracity before responding. DNS is also capable of generating a much larger response than query. For example, you can send the following (tiny) query (where x.x.x.x is the IP of an open DNS resolver):

dig ANY isc.org @x.x.x.x +edns=0

And get back the following gigantic response:

; > DiG 9.7.3 > ANY isc.org @x.x.x.x
;; global options: +cmd
;; Got answer:
;; ->>HEADER isc.org. 484 IN RRSIG TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
isc.org. 484 IN RRSIG AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
isc.org. 484 IN RRSIG NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
isc.org. 484 IN RRSIG NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
isc.org. 484 IN RRSIG SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
isc.org. 484 IN RRSIG A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; AUTHORITY SECTION:
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; ADDITIONAL SECTION:
mx.ams1.isc.org. 484 IN A 199.6.1.65
mx.ams1.isc.org. 484 IN AAAA 2001:500:60::65
mx.pao1.isc.org. 484 IN A 149.20.64.53
mx.pao1.isc.org. 484 IN AAAA 2001:4f8:0:2::2b
_sip._udp.isc.org. 4084 IN SRV 0 1 5060 asterisk.isc.org.
;; Query time: 176 msec
;; SERVER: x.x.x.x#53(x.x.x.x)
;; WHEN: Tue Oct 30 01:14:32 2012
;; MSG SIZE rcvd: 3223

That’s a 64 byte query that resulted in a 3,223 byte response. In other words, an attacker is able to achieve a 50x amplification over whatever traffic they can initiate to an open DNS resolver.

Cloudflare’s “Anycast” network was specifically designed to stop massive layer 3/4 attacks. By using Anycast, we are able to announce the same IP addresses from each of our 194 worldwide data centers. The network itself load balances requests to the nearest facility. Under normal circumstances this helps us ensure that your site’s visitors are automatically routed to the nearest data center on our network to ensure the best performance. When there is an attack, Anycast serves to effectively scatter and dilute attack traffic across our entire network of datacenters. Because every data center announces the same IP address for any Cloudflare customer, traffic cannot be directed to any one location. Instead of the attack being many-to-one, it becomes many-to-many with no single point on the network a single point of failure.

Layer 7 Attacks

A new breed of attacks target Layer 7 of the OSI model, the “application” layer. These attacks focus on specific characteristics of web applications that create bottlenecks. For example, the so-called Slow Read attack sends packets slowly across multiple connections. Because Apache opens a new thread for each connection, and since connections are maintained as long as there is traffic being sent, an attacker can overwhelm a web server by exhausting its thread pool relatively quickly.

Cloudflare has protections in place against many of these attacks, and in real world experiences our DDoS protection can reduce HTTP attack traffic by 90%. For most attacks, and for most of our customers, this is enough to keep them online. However, the 10% of traffic that does get through traditional protections can still be overwhelming to customers with limited resources or in the face of very large attacks. In this case, Cloudflare offers a DDoS mitigation setting called “I’m Under Attack” mode (IUAM).

IUAM is a security level you can set for your site when you’re under attack. When IUAM is turned on, Cloudflare will add an additional layer of protections to stop malicious HTTP traffic from being passed to your server. While a number of additional checks are performed in the background, an interstitial page is presented to your site’s visitors for 5 seconds while the checks are completed. Think of it as a challenge where the tests are automatic and visitors never need to fill in a CAPTCHA.

After verified as legitimate by the automated tests, visitors are able to browse your site unencumbered. JavaScript and cookies are required for the tests, and to record the fact that the tests were correctly passed. The page which your visitors see when in IUAM can be fully customized to reflect your branding. I’m Under Attack mode does not block search engine crawlers or your existing Cloudflare whitelist.

SMURF Attacks

One of the first amplification attacks was known as a SMURF attack. In a SMURF attack an attacker sends ICMP requests (i.e., ping requests) to a network’s broadcast address (i.e., X.X.X.255) announced from a router configured to relay ICMP to all devices behind the router. The attacker then spoofs the source of the ICMP request to be the IP address of the intended victim. Because ICMP does not include a handshake, the destination has no means of verifying if the source IP is legitimate. The router receives the request and passes it on to all the devices that sit behind it. Each of these devices then respond back to the ping. The attacker is able to amplify the attack by a multiple equal to the number of devices behind the router (i.e., if you have 5 devices behind the router then the attacker is able to amplify the attack 5x, see the diagram below).

SMURF attacks are largely a thing of the past. For the most part, network operators have configured their routers to disable the relay of ICMP requests sent to a network’s broadcast address.

Как ускорить работу сайта при помощи CDN и защитить его от DDoS-атак

Рано или поздно владелец сайта задумывается об ускорении его работы, так как со временем на сайте появляется все больше контента (как текстового, так и графического), больше скриптов внедряется в его функционал, в конце концов увеличивается посещаемость, а соответственно возрастает и нагрузка на сам сайт и на сервер, на котором этот сайт находится. Первое, к чему прибегают для ускорения загрузки – это модули/плагины кешированя данных, но и у них есть определенный потолок, выше которого прыгнуть не получится. Дополнительно к этому или отдельно от этого можно ускорить сайт при помощи CDN. Что это такое, как это работает, за счет чего происходит ускорение, а также как CDN может защитить от DDoS-атак, поговорим в этой статье.

Топ-пост этого месяца:  PayKassa — сервис приёма платежей в криптовалюте и фиате на сайте и в магазине

Что такое CDN и как это работает

CDN (content delivery network) переводится буквально как сеть доставки контента. Ваш сайт скорее всего находится на каком-то конкретном хостинге (сервере), и все содержимое грузится оттуда. Если нагрузка на ваш на сервер очень высокая, то он может подтормаживать и на отдачу данных конкретному пользователю может уходить большее количество времени. Более того, если пользователь находится географически далеко от дата-центра (где находится сервер), то также вырастает время загрузки страниц сайта, т.к. сигнал идет немного дольше.

CDN – это сеть распределенных серверов по всему миру, которые могут хранить копии статических данных вашего сайта у себя, например это могут быть CSS и JavaScript файлы, html-файлы, видео или изображения. При помощи CDN посетитель будет получать часть контента с ближайших к нему серверов, тем самым уменьшатся задержки, да и нагрузка на ваш сервер сократится. Особенно это будет заметно, если посетитель сайта будет находится в другом от вас регионе или вовсе в другой стране.

Скорость загрузки сайта это один из факторов, который влияет на успешное SEO-продвижение вашего сайта, т.к. сказывается на поведенческих факторах. Если у пользователя сайт грузится долго, это увеличивает вероятность что он его закроет быстрее, просмотрит меньше страниц и т.д. Поэтому подключение CDN помимо ускорения скорости работы, еще и повлиять на позиции сайта в поисковиках может, а это согласитесь дорогого стоит, ибо сказывается на прибыли интернет-магазина или сайта, который монетизирует свой трафик.

Подключение CDN для 1С-Битрикс, WordPress и пр.

Для ряда популярных CMS-систем разработчики уже заботливо предусмотрели возможность подключения CDN, например без особых проблем это можно сделать у таких известных систем как 1С-Битрикс или WordPress. У кого-то это может быть встроенным функционалом, а у кого-то в виде расширения, доступного в виде модулей или плагинов. Также CDN можно подключить у ряда облачных CMS, например у Shop-Script, но обязательно обращайте в этом случае внимание на свой подключенный тариф, не во всех тарифах может быть доступна такая опция.

При подключении стоит обратить внимание, сколько вам будет доступно трафика пропущенного через CDN. В ряде случаев могут быть ограничения. Если небольшим сайтам этого ограничения может хватить с запасом, то для больших высокопосещаемых проектов этого трафика может быть в упор или вовсе не хвать. Обычно его можно докупить без особых проблем за относительно небольшие деньги.

Если в друг в вашей CMS-системе не оказалось встроенной возможности подключить CDN и нет специализированных плагинов и модулей, то тоже не стоит отчаиваться, CDN можно все равно подключить. Плагины работают через CDN-хостинг провайдеров, и вы можете подключить сайт напрямую к ним. Например, к небезызвестному CloudFlare, у которого в том числе есть и бесплатный тариф.

Подобных хостинг-провайдеров достаточно много, если поищите их в интернете, то найдете их большое количество без особых проблем. Однако стоит помнить, что не в 100% случав сайт будет работать быстрее. Собственное кеширование сайта и грамотная оптимизация его работы могут в ряде случаев быть производительнее. Будет совсем не лишним, сравнить работу своего сайта с CDN и без, и уже после этого принять решение, нужно оно вам или нет. Работа через разных CDN-провайдеров может отличаться по скорости, поэтому если скорость загрузки страниц стала меньше, стоит попробовать подключится к другой сети CDN.

Защита от DDoS-атак

Ну и напоследок, стоит упомянуть еще о том, что CDN вполне может защитить от DDoS-атак, ну или по крайней мере снизить последствия такой атаки. Для тех, кто о таких атаках слышит впервые, немного поясню. Это такой вид хакерской атаки целью которой является «положить» ваш сайт. Иными словами, создать на ваш хостинг (сервер) такую нагрузку, что он просто не справится с ней.

Так как нагрузка при CDN частично распределяется по другим серверам, на ваш сервер обрушивается только какая-то часть от общего количества, тем самым снижая последствия атаки. В том же, упомянутом выше CloudFlare есть возможность управления степенью защиты вашего сайта. Если вы увидите, что сайт подвергся атаке, вы можете повысить уровень его защиты.

Небольшим сайтам и интернет-магазинам временный простой сайта не так критичен, а вот более крупным магазинам этот простой – это достаточно большие финансовые потери. Поэтому подключения CDN для таких проектов может оказаться не лишним.

Похожие записи:

Сергей Сальников


Основатель и экс-директор крупного интернет-гипермаркета с оборотом несколько миллиардов рублей. Блогер, бизнес-наставник, автор книги — «Успешный интернет-магазин с нуля. Пошаговое руководство». Опыт в онлайн-бизнесе и маркетинге более 12 лет.

Блог NetPoint

Новости, статьи и руководства по администрированию

Защита, оптимизация и повышение производительности сайта с помощью CDN CloudFlare

Что такое CDN? Если коротко, CDN (Content Delivery Network) — глобальная сеть, которая служит для ускорения доставки трафика от поставщиков к получателям. К примеру, когда вы смотрите видео с Youtube, это видео не отправляется из единого датацентра, а обслуживается ближайшим к вам сервером CDN. Таким образом поставщики контента не только повышают качество обслуживания, но и снижают затраты на доставку трафика.

Среди покупателей услуг CDN есть самые разные потребители:

  • поставщики стримингового медиа-контента;
  • разработчики программного обеспечения;
  • сервисы доствки рекламы;
  • контентные сайты.

Разные сети CDN организованы по-разному, в зависимости от целей сети. Часто применяется принцип организации с помощью Anycast IP — способ, при котором владелец сети CDN публикует одни и те же IP-сети из разных точек с помощью протокола BGP. Таким образом, для пользователя из Москвы, некоторый IP A.B.C.D может видеться как московский, а для пользователя из Берлина как находящийся в Нидерландах.

Это позволяет избежать ряда проблем, например, с DNS, когда компьютеры пользователей помнят старые адреса, которые уже находятся в аварийном состоянии.

С другой стороны, Anycast IP не гарантирует лучшего маршрута трафика, поскольку это достаточно грубый инструмент. Однако, он надежен и применяется в CDN широко.

Не стоит думать, что CDN полезен только для огромных проектов и стоит кучу денег. Далее, мы рассмотрим как можно использовать CDN с обычным сайтом, какие преимущества это дает и что необходимо предусмотреть при использовании.

CDN CloudFlare

CloudFlare (CF) — известная компания на рынке CDN. Основная фишка CF заключается в комбинировании не только услуг CDN, но и защиты от DDoS как для больших, так и для малых проектов. С недавнего времени CF так же предоставляет всем сайтам бесплатные SSL-сертификаты, за которые совсем не надо платить деньги.

Вы можете начать пользоваться CF совершенно бесплатно, получая при этом услуги, которые удовлетворят даже требовательного клиента. Рассмотрим задачи, которые CDN CF поможет решить вашему сайту.

Большая безопасность передачи данных. При работе через CloudFlare ваш сайт бесплатно может использовать SSL-сертификат, выданный CloudFlare.

Защита сайта от DDoS. CF самостоятельно защищает ваш сайт от атак, не требуя никаких действий с вашей стороны. Если сайт настроен правильно, то его IP-адрес не виден злоумышленнику, а значит масштабная атака на него невозможна. CF выдерживал атаку мощностью 400 Gbit/s — это третья в мире по объему атака.

Конечно, если сайт располагается на одном IP-адресе с другими сайтам, то никакая защита не сработает, в случае атаки на эти сайты, если они не защищены. Это справедливо для служб разделяемого хостинга, когда на одном сервере, а может быть даже на одном IP-адресе размещаются сотни и тысячи сайтов.

В рамках этой статьи предполагается, что ваш сайт размещается на аппаратном сервере или VPS с выделенным IP, на котором нет других ресурсов.

Ускорение сайта. Используя CDN, вы приближаете трафик к абонентам. Если сайт использует много статических данных, таких как картинки, видео-файлы, архивы, Javascript, CSS, то все эти файлы будут оседать в CDN, что приведет к уменьшению времени загрузки страничек, снижению нагрузки на сервер, а значит большему удовлетворению пользователей.

Отказоустойчивая балансировка нагрузки на сайт. Если ваш сайт использует несколько серверов для обслуживания трафика, CF может самостоятельно распределять по ним нагрузку, используя либо динамическое обнаружение IP-адресов по CNAME, либо несколько записей типа A.

Ограничения и недостатки CDN

Стоит отметить, что наряду с вышеперечисленными достоинствами, использование CDN может быть сопряжено с ограничениями и со сложностями.

Ориентация на HTTP, HTTPS. CDN ориентированы на использование протоколов HTTP и HTTPS. Это означает, что их возможности по защите и ускорению могут быть использованы только там, где применяются эти протоколы. К примеру, вы не сможете защитить CDN сервер телефонии или сервер удаленного доступа.

Ориентация на стандартные порты. CDN требует, чтобы трафик отдавался вашим web-сервером с определенных портов. Например, CF говорит, что кэшируемый трафик должен отдаваться только с портов 80 и 443. А весь список разрешенных портов приведен на специальной странице.

Таким образом, например, вы не можете направить трафик с порта CF 443 на произвольный порт вашего сервера, только на 443. Впрочем есть такая штука как CF Spectrum — новый сервис CF, который работает как файрвол для серверов, которые находятся под управлением. Однако, Spectrum еще не распространен широко, поэтому мы его не обсуждаем.

Блокировка CF Роскомнадзором. Такие случаи в истории были. Сейчас РКН уже наученный и многократно битый палками за то, что он блокировал критически важные сервисы интернета, поэтому без разбора ведомство старается критическую инфраструктуру не блокировать, работая в режиме уведомления владельцев. Однако, такое может случиться. В этом случае вы должны оперативно снять ресурс с защиты CF и уже менее чем через 1 минут трафик пойдет напрямую на IP вашего сервера.

Именно для решения этой проблемы, помимо сертификата SSL, выдаваемый бесплатно CF, вам нужен свой сертификат SSL, который вы будете использовать, если вам придется выключить защиту в случае блокировки CF РКН.

Делегирование DNS на серверы CF. Это обязательное требование работы с CF. Вы должны делегировать обслуживание доменного имени, которое использоваться совместно с CF на DNS-серверы компании. Впрочем, этот фактор может быть как преимуществом, поскольку DNS-серверы CF являются одними из лучших в своем классе, так и недостатком, если требуется «хитрое» управление зоной.

Перенастройка HTTP-сервера и самого движка сайта. Когда сайт размещается за CDN, IP-адреса клиентов сайта уже не доступны непосредственно, поскольку источником запросов становится CDN. При этом CDN передает информацию о реальных источниках запросов посредством HTTP-заголовков X-Forwarded-For и CF-Connecting-IP. Если сайту требуется обрабатывать IP-адреса клиентов, он должен уметь извлекать информацию как в режиме без CDN, так и в режиме с CDN. К примеру, как делает приведенный ниже фрагмент кода на Python:

Подключение сайта к CloudFlare

Далее предполагается, что у вас уже есть рабочий сайт с SSL-сертификатом, который доступен в интернете. Процесс подключения сайта к CF довольно прост и состоит из следующих шагов:

  1. Регистрация в CloudFlare:
    • заводим учетную запись;
    • указываем доменное имя сайта, который будем защищать;
    • выбираем тарифный план (бесплатный план позволяет защищать только один домен).
  2. CF сканирует DNS-зону вашего домена и показывает вам записи, которые он решил добавить к себе в зону, если каких-то записей не хватает, можете добавить их на этом этапе сами;
  3. CF показывает на какие DNS-серверы необходимо перенести доменную зону (например, в нашем случае это — clyde.ns.cloudflare.com, janet.ns.cloudflare.com);
  4. вы входите в панель регистратора, у которого покупали доменное имя и меняете там обслуживающие зону DNS на те, которые предложил вам CF;
  5. ждетепока DNS-серверы зоны не изменятся на серверы CF (может занять до 24х часов).

После завершения делегирования ping до вашего сайта должен идти на серверы CF, а не на тот IP, где размещен сайт.

Снятие сайта с защиты

Снять сайт с защиты можно за 1 минуту. Входим в аккаунт и выбираем сайт (в нашем случае netpoint-dc.com):

Входим в управление DNS:

Меняем A и AAAA (если есть) записи нажатием на облачко с вида:

Теперь CF будет только обслуживать DNS-запросы к вашему сайту, а трафик будет идти напрямую.

Балансировка трафика между несколькими серверами

Для балансировки нагрузки добавьте столько записей A, AAAA, сколько у вас имеется серверов с разными IP-адресами — по одной на каждый IP-адрес. Альтернативно CF позволяет использовать запись CNAME. В этом случае вы можете реализовать следующую стратегию с применением дополнительного домена. Потребуется две доменных зоны:

  • mysite.com, которая делегирована на CF;
  • *.myservice-site.com, которая обслуживается на вашем DNS;

Для обеих зон есть SSL-сертификаты, например от Let’s Encrypt. Для всех узлов, среди которых осуществляется балансировка, например,

  • a.myservice-site.com A.B.C.1
  • b.myservice-site.com A.B.C.2
  • c.myservice-site.com A.B.C.3

Создается по одной A (AAAA) записи:

  • pool.myservice-site.com A A.B.C.1
  • pool.myservice-site.com A A.B.C.2
  • pool.myservice-site.com A A.B.C.3

На локальном балансировщике mysite.com настраивается обычная балансировка по серверам (например, с помощью nginx), чтобы корректно обрабатывать трафик при отключении CF.

В это же время на CF настраивается только одна запись вида: mysite.com CNAME pool.myservice.com. CF умеет самостоятельно делать динамическое определение серверов, которые скрыты за CNAME. Таким образом, управляя A-записями на своем DNS вы сможете добавлять или удалять новые хосты из пула балансировки CF.

Если вам необходимо снять защиту CloudFlare, просто измените способ пропуска трафика для записи CNAME, как в примере, приведенном ранее, где используется обычная запись типа A, AAAA.

Таким образом, при использовании балансировки трафика, данная стратегия позволяет осуществлять большей частью на стороне своего DNS, при этом, если требуется отключить защиту, вы можете сделать это с помощью изменения режима обслуживания трафика для одной записи CNAME, а не для множества записей A, AAAA.

Заключение

В статье мы рассмотрели какие возможности дает CDN CloudFlare вашему сайту. Как начать пользоваться этой услугой совершенно бесплатно. Кроме того, мы рассмотрели механизм подключения, основанный на использовании CNAME, что подходит для сайтов с балансировкой нагрузки по нескольким серверам.

Как подключить Cloudflare к WordPress. Подробное описание

Одна из важных частей в работе над сайтом — ускорение загрузки страниц. Скорость загрузки является одним из критериев поисковиков по ранжированию сайтов.

Еще одна важная часть работы над сайтом — безопасность. Cloudflare — один из лучших сервисов для ускорения и обеспечения безопасности сайта.

В бесплатной версии Cloudflare предлагает базовую защиту от DDoS атак, подключение к сети CDN со 180 дата-центрами в 80 странах и SSL сертификат.

В этой статье подробное описание, как подключить Вордпресс сайт к Cloudflare CDN с помощью официального плагина или с помощью плагина W3 Total Cache.

Что такое Cloudflare и что он может делать

Cloudflare — это DNS сервер, сеть доставки контента (CDN, Content Delivery Network) и файрвол, который фильтрует вредоносные запросы. Эти сервисы ускоряют сайт и обеспечивают его безопасность.

Когда вы подключаете сайт к Cloudflare, весь трафик начинает идти через CDN сеть Cloudflare, в результате чего вы получаете:

  • Более быстрая загрузка страниц — Coudflare кеширует сайт на своих серверах и посетители сайта получают страницы из географически ближайшего сервера.
  • Уменьшает трафик на вашем сервере — страницы сайта будут доставляться посетителям с разных серверов, поэтому нагрузка на ваш сервер снизится.
  • Безопасный трафик — Cloudflare очищает трафик от ботов и других опасных источников трафика.
  • Усиленная безопасность — Cloudflare предлагает файрвол на уровне DNS сервера, защиту от DDoS атак и бесплатный SSL сертификат. В бесплатной версии — только базовая DDoS защита и SSL сертификат.

Cloudflare ускоряет сайт и усиливает его безопасность.

Как Cloudflare использует DNS для своей работы

Cloudflare пропускает весь трафик через свой DNS сервер и направляет его на ваш сайт.

DNS сервер (Domain Name System) — это система, которая связывает доменное имя сайта с IP адресом вашего сервера.

Вы пишите адрес сайта в адресной строке браузера, после этого DNS находит связанный с этим URL адресом IP адрес. Некоторые называют DNS «телефонной книгой интернета».

Чтобы направлять этот трафик, DNS использует несколько типов записей, которые называются nameservers:

  • A — содержит IP адрес (адреса) домена и субдоменов,
  • MX — указывает, куда должны доставляться е-мейл сообщения для домена,
  • CNAME — позволяет делать редиректы с одного субдомена на другие домены / субдомены,
  • TXT — позволяет хранить дополнительную информацию, например SPF для верификации е-мейла.

Cloudflare добавляет себя в этот процесс в качестве DNS сервера для вашего домена.

В итоге это позволяет Cloudflare обрабатывать входящий трафик, то есть:

  • Проверять входящий трафик на безопасность, и
  • Перенаправлять этот трафик на ближайший к посетителю сервер для ускорения загрузки страниц.

Вы также можете использовать Cloudflare только в качестве DNS сервера, и не использовать функции CDN и безопасности.

Как настроить Cloudflare за 5 минут

Подключение сайта к Cloudflare занимает 5 минут и не требует кодирования или других специальных знаний.

Каждый шаг подробно:

1. Создайте аккаунт в Cloudflare

Зайдите на cloudflare.com и создайте новый аккаунт:

2. Добавьте ваш сайт на Cloudflare

После того как вы создали аккаунт, Cloudflare предложит вам добавить сайт.

Вставьте имя домена и нажмите Add site. На следующем шаге Cloudflare просканирует DNS вашего сайта, нажмите Next:

Сканирование DNS записей может занять 1-2 минуты.

3. Выберите бесплатный тариф

На следующей странице выберите тариф. В этом примере мы будем использовать бесплатный тариф.

Нажмите Confirm plan, на следующей странице Confirm.

4. Подтвердите или измените DNS записи в Cloudflare

На следующей странице вы можете выбрать, какие записи будут проходить через Cloudflare, а какие будут обходить.

Обычно на этой странице ничего не нужно делать. Проверьте, что напротив имени домена стоит оранжевая иконка.

В зависимости от настроек вашего сайта, вы можете проверить, что:

  • Вы видите MX записи для е-мейлов (если есть). Cloudflare не направляет MX записи через свою сеть.
  • Субдомены, которые вы используете, включены или исключены из Cloudflare, в зависимости от того, как вы хотите.

Если все в порядке нажмите Continue.

5. Измените ваши DNS записи на хостинге на DNS записи Cloudflare

На этой странице Cloudflare предлагает заменить ваши текущие DNS записи на DNS записи Cloudflare.

Перейдите на сайт, где зарегистрирован ваш домен, и измените DNS записи.

Если домен зарегистрирован на хостинге, зайдите на хостинг. Если на сайте-регистраторе, то зайдите в админ-панель регистратора.

На хостинге Beget это делается в разделе DNS:

На других хостингах или в панели регистратора это делается аналогично. Если вы не знаете, как это сделать, обратитесь в техподдержку хостинга или регистратора.

После того, как вы изменили и сохранили DNS записи, вернитесь на Cloudflare и нажмите Continue.

Процесс смены адресов может занять до 24 часов. Обычно в это время сайт остается доступным.
После того, как DNS адреса изменятся, вы увидите Консоль Cloudflare.

Теперь весь трафик на сайт идет через DNS сервер Cloudflare.

Подключение Вордпресс к Cloudflare с помощью официального плагина

У Cloudflare есть бесплатный плагин для подключения к Вордпресс:

  • Плагин позволяет сделать нужные настройки в один клик
  • Добавляет нужные правила для файрвола
  • Позволяет автоматически сбрасывать кеш, когда вы обновляете контент
  • Позволяет изменять настройки Cloudflare без необходимости посещения админки Cloudflare

1. Установите и активируйте официальный плагин

Установите плагин Cloudflare из репозитария Вордпресс. Настройки плагина находятся в НастройкахCloudflare. Кликните по ссылке, чтобы подключить аккаунт:

На следующем экране введите ваш е-мейл и API ключ.

Чтобы найти API ключ:

  • Зайдите в админку Cloudflare
  • Кликните на аккаунт в правом верхнем углу
  • Кликните My Profile
  • Спуститесь вниз до раздела API Keys
  • Нажмите View напротив Global API Key, введите пароль, скопируйте API ключ

Вставьте ключ в поле API Key в настройках плагина на вашем сайте.


2. Включите автоматические настройки

На странице Home вы можете сделать автоматические настройки в один клик. Нажмите Apply, плагин применит нужные настройки. Список всех настроек.

Это базовые настройки, после этого нужно сделать несколько настроек в админке Cloudflare.

Подключение Вордпресс к Cloudflare с помощью W3 Total Cache

Некоторые плагины кеширования могут подключить сайт к сети Cloudflare, W3 Total Cache один из них.

1. Включите модуль Cloudflare в разделе Extensions

Нажмите Activate для включения модуля Cloudflare:

После активации модуля нажмите Settings для перехода на страницу настроек модуля.

2. Авторизуйтесь в аккаунте Cloudflare

Нажмите Authorize, в появившемся окне добавьте е-мейл и API ключ.

В следующем окне выберите Зону. Зона означает ваш сайт. На бесплатном тарифе Cloudflare вы можете добавить только одну Зону / Сайт.

То же самое можно сделать в разделе CDN:

3. Сделайте базовые настройки Cloudflare

После подключения аккаунта Cloudflare к W3 Total Cache сделайте эти настройки:

Оставьте настройки по умолчанию или замените на свои.

4. Настройка обработки контента

Включите загрузку JS после загрузки основного контента, и включите минификацию js, css и html.

Минификацию и объединение в разделе W3 Total Cache PerformanceMinify нужно отключить.

5. Обработка изображений

Включите защиту от использования ваших изображений на других сайтах.

Топ-пост этого месяца:  Урок 2. Курс по ООП PHP. Свойства объекта

Оптимизация изображений для мобильных устройств и сжатие изображений доступно на платных тарифах Cloudflare.

6. Защита

Настройки безопасности. Оставьте значение по умолчанию Medium или замените на High:

WAF-Файрвол и продвинутая защита от DDoS атак доступны на платных тарифах.

Включите поддержку IPv6:

8. SSL

Выберите ваш вариант подключения:

Если у вас есть или вы можете установить SSL сертификат, выберите значение Full или Strict.
Если сертификата нет, то установите Flexible.

Подробнее об этой настройке в следующем разделе.

Дополнительные настройки Cloudflare

В настройках Cloudflare вы можете сделать несколько настроек.

1. Сделайте настройки SSL

В разделе Crypto есть несколько настроек SSL:

  • Off — Без активного сертификата. Не рекомендуется
  • Flexible — Трафик защищен между посетителем и Cloudflare, но не защищен между Cloudflare и сайтом
  • Full — Защищенное соединение между посетителем и Cloudflare и Cloudflare и сайтом
  • Full (strict) — то же самое, что Full, но с возможностью аутентификации

Какие опции использовать:

  • Если у вас уже есть сертификат, или вы можете его установить, используйте одну из опций Full (в зависимости от типа сертификата, который вы используете).
  • Если вы не можете установить SSL сертификат, используйте опцию Flexible. Cloudflare установит свой бесплатный сертификат, и сайт будет отображаться с «зеленым замком».

Если вы используете бесплатный сертификат от Let’s Encrypt, вы можете столкнуться с проблемой, что сертификат не перевыпускается автоматически.

Вы можете попробовать отключить A-Записи на Cloudflare, чтобы Lets Encrypt получал IP адрес сайта, а не Cloudflare.

Даже если это сработает, вам придется это делать каждые 3 месяца.

Вместо этого вы можете получить бесплатный сертификат Cloudflare, если выберите настройку Flexible.

2. Добавьте принудительное использование HTTPS на всем сайте

Включите «Всегда использовать HTTPS» в разделе Crypto:

Это правило будет принудительно использовать HTTPS на всех страницах сайта.

Примечание: Это же правило можно настроить в одном из трех бесплатных правил в разделе Page Rules из следующей главы.

Разница в том, что в Page Rules вы можете создать правило для определенной страницы / страниц, в разделе Crypto создается правило для всего сайта.

3. Настройте 3 правила

В разделе Page Rules вы можете добавить специальные правила для сайта.

На бесплатном тарифе Cloudflare позволяет добавить 3 правила, которых достаточно для большинства сайтов. Дополнительные 5 правил будут стоить 5$ / месяц.

В этом примере 3 правила будут использованы для:

Перейдите в раздел Page Rules и нажмите Create Page Rule:

Правило #1: Укрепление безопасности wp-login.php

Для усиления безопасности wp-login.php создайте правило ваш-сайт.ru/wp-login.php* как в примере:

Правило #2: Исключение wp-admin из Cloudflare и усиление его безопасности

Для исключения wp-admin из сети Cloudflare и усиления безопасности админки создайте правило ваш-сайт.ru/wp-admin* :

Правило #3: Укрепление безопасности xmlrpc.php

Для защиты xmlrpc.php добавьте правило ваш-сайт.ru/xmlrpc.php* :

В итоге должно получиться так:

3 Правила Cloudflare

Правило для принудительного использования HTTPS на всем сайте

Если вы хотите создать правило для принудительного использования HTTPS на всем сайте, создайте правило http://*ваш-сайт.ru/* :

4. Используйте двух-факторную авторизацию

Так как вы можете изменять DNS записи прямо из аккаунта Cloudflare, используйте сложный пароль к аккаунту или двух-факторную авторизацию.

Cloudflare предлагает несколько вариантов использования двух-факторной авторизации:

Настройки находятся в разделе My Profile:

Заключение:

Cloudflare предлагает сервис для ускорения сайта и увеличения его безопасности, который можно настроить за 15 минут.

Создайте аккаунт, добавьте сайт и направьте трафик через сервер Cloudflare. После этого сделайте настройки SSL, HTTPS, добавьте правила и ваш сайт будет хорошо защищен.

Если вы хотите добавить файрвол, вам нужно купить подписку Pro, которая стоит 20$ в месяц.

Или вы можете настроить дополнительную защиту с файрволом на уровне сервера с помощью бесплатного плагина Sucuri Security и нескольких ручных настроек.

Надеюсь, статья была полезна. Оставляйте комментарии.

Как скрыть версию Вордпресс, скриптов и стилей

Как установить первую картинку Записи в качестве Изображения Записи

Права доступа к файлам и папкам

Режим отладки Вордпресс

Кнопка Выйти из аккаунта в меню Вордпресс

12 Советов для SEO оптимизации Блога

Комментарии:

Спасибо вам за такую подробную статью!

У меня как раз бесплатный Let’s Encrypt. И этот момент немного настораживает. «Если вы используете бесплатный сертификат от Let’s Encrypt, вы можете столкнуться с проблемой, что сертификат не перевыпускается автоматически.»

Опасаюсь менять сертификат на Cloudflare, чтобы позиции не ухудшились. Как вы думаете это не опасно?

А если сменить бесплатный сертификат Let’s Encrypt на хостинге, на какой либо платный, то этой проблемы не будет с перевыпуском (нужно будет проплачивать ssl)?

Или возможно можете посоветовать недорогой нормальный хостинг с американским сервером с поддержкой панели isp manager?

Для того, чтобы сертификат перевыпустился автоматически, нужно, чтобы А-записи указывали на IP адрес сайта, а не на DNS Cloudflare. Проблема в том, что в А-записях уже указан IP адрес сайта, но почему-то запрос верификации не проходит через Cloudflare.

Будет ли он проходить, если вы установите какой-то другой сертификат, — я не знаю, надо пробовать.

«Опасаюсь менять сертификат на Cloudflare, чтобы позиции не ухудшились. Как вы думаете это не опасно?»
Вы можете установить в настройках Cloudflare опцию flexible не дожидаясь срока окончания сертификата от Let’s Encrypt. Когда закончится срок сертификата Let’s Encrypt, продолжит работать сертификат Cloudflare.
После этого вы можете отключить Let’s Encrypt на своем хостинге.

Не думаю, что это опасно или повлияет на позицию в выдаче. Поисковикам важно, чтобы сертификат был, а какой — для них не важно. Если смена пройдет непрерывно (даже если прервется на несколько часов или дней), это не должно повлиять на поисковую выдачу.

Алгоритмы serp придумывают понимающие люди, которые знают обо всех этих проблемах. Предположим, один из десятков или сотен факторов перестал соответствовать желаемому значению, значит, поисковик понизит сайт на соответствующее значение (если робот придет на сайт, когда сертификата не было).
Потом сертификат появится, робот опять поднимет сайт в поисковой выдаче на соответствующее значение.

Это не смертельно. Я не думаю, что изменение будет более сильным, чем обычные ежедневные колебания.

CloudFlare бесплатно защитит общественно важные сайты от DDoS-атак

Xakep #246. Учиться, учиться, учиться!

Компания CloudFlare, которая предоставляет услуги CDN и защиты от DDoS-атак, решила помочь негосударственным организациям, страдающим из-за своей общественно важной деятельности. С этой целью запущен благотворительный проект Galileo и открыт приём заявок от сайтов, которым угрожает DDoS. Они получат защиту CloudFlare совершенно бесплатно.

Для участия в программе сайт должен соответствовать нескольким критериям.

  • Участвует в сборе новостей, активности гражданского общества или политической/художественной жизни.
  • Является объектом интернет-атак в связи со своей деятельностью.
  • Является некоммерческой организацией или малым бизнесом.
  • Действует в общественных интересах, в широком смысле.

Определять соответствие сайта критериям будут 14 авторитетных организаций, среди которых Mozilla и Фонд электронных рубежей.

Под защиту CloudFlare приглашают в том числе и те сайты, которые находятся под DDoS-атакой прямо сейчас. Но всё-таки лучше подключаться заранее. CloudFlare не устанавливает окончательных сроков, когда проект Galileo прекратит работу. Они надеются, что он сможет существовать вечно.

Нужно заметить, что защита большой компании не гарантирует, что сайт выдержит DDoS-атаку. Например, популярный RSS-агрегатор Feedly уже вторые сутки почти не работает, хотя входит в число клиентов CloudFlare, как и ещё пару миллионов сайтов.

Кстати, бесплатную защиту от DDoS-атак для «социально важных» проектов предоставляет также и сервис Google Shield. Некоторые могут позволить себе даже выбор среди двух этих провайдеров, если соответствуют критериям обоих.

Внимание, перегрузка! Как защитить сайт от DDoS-атак

Время чтения: 18 минут Нет времени читать? Нет времени?

По данным «Лаборатории Касперского», 42,9 % компьютеров, принадлежащих коммерческим организациям, в 2020 году подвергались кибератакам.

Из этой статьи вы узнаете, что такое DDoS-атаки, стоит ли их опасаться, как подготовиться к обороне и как себя правильно вести, если в вашу сторону уже направили артиллерию.

Что такое DDoS-атака

DDoS — это любые действия, цель которых «положить» сайт полностью или нагрузить его посторонними задачами так, чтобы он стал напоминать ленивца из «Зверополиса». Но сам термин больше для юзеров, чем технарей. Последние оперируют только им понятными выражениями вроде «DNS амплификация», «TCP Null атака», «SlowLoris» и другими вариациями на тему. Разновидностей DDoS-атак много, поэтому вводным должен послужить тезис:

Универсальной защиты от всех видов DDoS-атак не существует.

Если бы она существовала, «монстры» вроде Google или Amazon не тратили бы миллиарды долларов на киберзащиту и не объявляли периодически конкурсы на поиск уязвимостей с миллионными призовыми.

Главная опасность DDoS-атаки — в процессе киберпреступники могут найти уязвимость и запустить на сайт вирус. Самое печальное последствие — кража личных данных пользователей и увод клиентской базы. Потом ее могут продать вашим конкурентам.

Если поисковые системы находят вирусы, они их не лечат. Просто выбрасывают сайт из поиска или показывают пользователем окно с предупреждением. Репутация и завоеванные позиции в выдаче отправятся в нокаут надолго, как после левого крюка Шугара Рэя Робинсона.

Почему атакуют

Просто так коммерческие сайты ддосят редко. Есть некоторая вероятность, что на вас решил потренироваться школьник, насмотревшийся видео вроде этих:

Таких атак редко хватает больше, чем на пару часов. Но по умолчанию рассчитывать на новичка не стоит. Чаще всего причины связаны с коммерческой деятельностью.

  • DDoS на заказ. Если атака прилетает после запуска активной рекламной кампании или проведения маркетинговых мероприятий, возможно, вы перешли дорогу конкурентам. Иногда DDoS становится ответной реакцией на конкретные действия: например, завуалированную отсылку к конкуренту в рекламе или продвижение по имени чужого бренда в контексте.
  • Вымогательство. Вариант № 1. На электронную почту приходит сообщение от доброжелателя, который предлагает перевести ему некоторую сумму в биткоинах или сайт ляжет. Чаще всего угрозу в исполнение не приведут, но можно нарваться и на реальных взломщиков. Вариант № 2. Сайт уже положен, и от мошенников поступает предложение заплатить за прекращение атаки.
  • Сайт попал под раздачу. DDoS-атака может парализовать работу серверов вашего хостера, из-за чего прекращается работа всех его сайтов. Маловероятно, но тоже возможно.


Павел Арбузов, технический директор хостинга REG.RU

Условно можем разделить атаки на спланированные и непреднамеренные. Например, 18 марта 2013 года хост-провайдер CyberBunker организовал DDoS-атаку на компанию Spamhaus из-за попадания в черный список за рассылку спама. Это самая мощная DDoS-атака в истории — по оценке CloudFlare, около 300 Гб/с.

Иногда владельцы сайтов принимают за DDoS-атаку так называемый «слэшдот-эффект» (в рунете встречается термин «хабраэффект»). Это происходит, если на ресурс приходит гораздо больше пользователей, чем может пропустить хостинг. Это и есть непреднамеренная DDoS-атака. Например, перед новогодними праздниками люди массово делают покупки, трафик на интернет-магазины возрастает. Слабый хостинг не выдерживает и падает. Если это происходит, нужно менять хостера или переходить на тариф с более широким каналом.

В этом году я писал материал о маленьком, но гордом агрегаторе коммерческой недвижимости в Москве для одного известного бизнес-издания. А через 3 дня после публикации на его сайт обрушилась мощная DDoS-атака. Узнать источник не удалось, но связь событий не исключена. Возможно, «проверка на прочность» от конкурентов.

Что делать во время атаки

Если никаких анти-DDoS мер заранее не принято, об атаке можно даже не узнать. Иногда хостеры улавливают подозрительную активность и отправляют пользователю письмо. Чаще — нет. Бывает, заглядываем на сайт и видим что-то вроде:

Или находим в «Метрике» провалы по трафику. Это еще не DDoS, но что-то на него похожее.

Проверка по командной строке

Открываем командную строку и вводим ping <доменное имя>.

Сначала мы «пинганули» свой сайт и убедились, что он работает – все 4 тестовых пакета прошли обмен. Потом провели операцию на заблокированном ресурсе. Пакеты сервером не приняты.

Если сайт не работает, но пингуется – проблема с браузером. Если не пингуется – возможен DDoS.

Более подробную информацию может дать трассировка. Используем команду tracert <доменное имя>:

На второй проверке видим трассировку ресурса, заблокированного Роскомнадзором (сторонний IP-адрес). Если обмена пакетами нет на последнем этапе (свой IP-адрес), это может указывать на DDoS.

Проверка сторонними сервисами

Seogadget. Самый простой инструмент для быстрой проверки во время DDoS, умеет одновременно проверять несколько сайтов и находить причины недоступности.

Код HTTP 200 указывает на то, что проблем с доступом не обнаружено. Если в этой строке будет код HTTP 4**, есть ошибки на своей стороне. Код HTTP 5** говорит о проблемах на стороне сервера.

Ошибка HTTP 502 (bad gateway) свидетельствует о том, что сайт не справляется с нагрузкой. Это может быть вызвано DDoS-атакой.

Инструмент от Ping-Admin.ru. В настройках можно выбрать проверку только для своего региона, по России или из других стран. Дает подробную информацию по 9 параметрам, поэтому полезен не только во время атак.

Сервис Who Is. Проверяет работоспособность сайта и показывает технические характеристики домена.

Подключение через FTP

Установите любой удобный FTP-клиент. Например, Total Commander:

Чтобы добавить сервер, нужно заполнить карточку:

Узнать свой IP адрес можно, например, через сервис Who Is по ссылке выше. А логин и пароль доступа к FTP приходили вам в информационном письме от хостера после регистрации. Если это было давно, найдите их в архивных сообщениях.

Если FTP работает, а сайт нет, это может указывать на DDoS-атаку или проблемы с веб-сервером.

Важно! Приостановите показы баннеров и объявлений контекстной рекламы, чтобы не терять бюджет.

Блокировка по IP

Этот метод помогает только при слабой атаке типа HTTP-флуд. Но бесполезен для атак типа UDP- или SYN-флуд. У них каждый новый паразитный пакет приходит с новым IP, поэтому отфильтровать подключения не получится.

HTTP-флуд – это направление паразитных запросов на порт, который отвечает за назначение и распределение пакетов данных, передаваемых на хост.

UDP-флуд – отсылка UDP-пакетов с большим объемом данных на разные порты с целью перегрузки сервера и/или переполнения канала связи.

SYN-флуд – переполнение ресурсов сервера безответными паразитными запросами на синхронизацию с сервером.

IP-адреса отображаются в лог-файлах HTTP-сервера. Как их получить, зависит от вашего хостера. Самый простой вариант — через быструю ссылку в аккаунте на сайте хостера. Конечно, если она есть.

Если нет, перейдите в системные папки. Например, на веб-сервере apache лог находится по адресу:

Если хостер не дает туда доступ, можно написать в техподдержку с просьбой предоставить такие данные. В лог-файле ищите IP-адреса, которые повторяются многократно. Затем в корневой папке сайта создаем файл с названием .htaccess без расширения. В файл вписываем строки кода:

deny from 111.111.11.11

Вместо 111.111.11.11 вносите найденные IP-адреса. Каждый следующий адрес должен быть в новой строке.

К сожалению, времена, когда фильтрация IP была эффективна, прошли. Сегодня это равносильно попытке отремонтировать Tesla X в гаражном кооперативе ключами на 17 и 19. Если хостер не дает доступа к логам, в логах нет повторяющихся IP-адресов или, наоборот, их там слишком много, переходите на более жесткие меры.

История одной атаки

Олег Шестаков, основатель Rush Analytics.

16 ноября 2020 года серверы компании Rush Analytics подверглись DDoS атаке с множества различных IP-адресов. В первые 20 минут наш технический отдел пытался самостоятельно отфильтровать паразитный трафик, но его было настолько много, что большая часть проходила фильтры. Ещё через 10 минут хостер нас отключил. Просто отключил сервер, заблокировал доступ к нему на 48 часов и затер все логи. В следующие 2 часа мы развернули новый фронт-сервер на другой площадке и ушли за DNS-серверы Cloudflare.

С моей точки зрения, хостер повел себя странно и даже не пытался нам помочь. В будущем будем держать резервную копию фронт-сервера на другой площадке и использовать систему очистки трафика Cloudflare или Incapsula. Всем, кто работает на высококонкурентных рынках, рекомендую сделать так же.

Что не делать во время атаки

Не нужно соглашаться на условия мошенников. На сообщения с предложением прекратить атаку за некоторую сумму лучше всего не отвечать вообще. Иначе вас будут атаковать снова и снова. Поддерживать бесперспективный DDoS на коммерческий сайт дольше 1–2 суток не выгодно. Рано или поздно преступники отступят. Потерянные за время атаки клиенты — это цена недостаточного внимания к защищенности ресурса.

Не планируйте зеркальный ответ. Если требования от мошенников не поступили, атака наверняка заказная. И вполне возможно, у вас есть круг подозреваемых: прямые конкуренты, компании, с которыми не сложились деловые отношения. Иногда причина — чья-то личная неприязнь. Но бросаться искать хакеров, чтобы отомстить, не стоит.

Во-первых, если конкуренты опустились до DDoS, значит, ваш бизнес развивается в правильном направлении. Скажите спасибо за признание заслуг. Во-вторых, в большинстве случаев DDoS не наносит серьезного урона — это деньги на ветер. И в-третьих, это уголовно наказуемое деяние. Да, вероятность поимки киберпреступников и их заказчиков в современных реалиях очень мала, но существует.

Вспомним историю с владельцем платежного агрегатора Chronopay Павлом Врублевским, который был обвинен в организации DDoS-атаки, на 9 дней положившей серверы его конкурентов Assist.

Главным пострадавшим признан клиент Assist Аэрофлот. Потери составили 146 миллионов рублей. Более 9 тыс. человек во время атаки не смогли купить билеты авиаперевозчика онлайн.

Заказчики и исполнители DDos-атаки могут быть осуждены по ст. 272 УК РФ. В зависимости от последствий, преступление карается штрафом от 100 до 500 тыс. рублей, ограничением или лишением свободы на срок от 1 до 7 лет.

Чем полезна DDoS-атака

Павел Арбузов, технический директор хостинга REG.RU:

Какие проблемы хостинга выявляет DDoS-атака?

Если хостинг-провайдер заявляет или продает клиенту защиту от DDoS-атак, и его ресурсы под атакой замедляются или работают нестабильно, то это свидетельствует о некачественной услуге.

Если хостер не заявляет или не продает клиенту анти-DDoS, его основная задача спасти свою инфраструктуру. Даже ценой отключения клиента, которого атакуют. В этом случае замедление сайта клиента из-за DDoS не является проблемой хостера.

Как должен вести себя хостинг-провайдер, если обнаруживается атака на сайт клиента?

В идеале хостинг-провайдер должен иметь свою систему очистки трафика или быть подключенным к сторонней системе, чтобы отфильтровывать «паразитный» трафик. Если это так, ресурсы клиента не должны страдать от DDoS-атак. Мы работаем с DDos Guard и Stormwall PRO. Они защищают от UDP/TCP-флудов, которые встречаются чаще всего. Если защита от DDoS хостером не предусмотрена, ему проще всего полностью отключить сайт, чтобы DDoS-атака не повлияла на других клиентов.

По каким признакам можно судить, что хостинг-провайдер отработал при атаке плохо и его стоит сменить?

Если хостер стал полностью недоступен из-за DDoS-атаки на одного клиента более чем на 10 минут, то у него большие проблемы с защищенностью. От его услуг лучше отказаться. Проверить легко — зайдите на основной сайт хостинг-провайдера и проверьте, работает он или нет.

Готовимся к атаке: нужные сервисы

Проверка доступности

О проблемах с доступом на сайт вы должны узнать сразу же. Используйте сервисы, которые с заданной периодичностью проверяют сайт и автоматически информируют владельца о недоступности.

Вы сможете быстро сделать проверки, отключить рекламу, уведомить о проблемах хостера и/или компанию, которая занимается техническим сопровождением сайта, проконтролировать работу штатных сотрудников или самостоятельно попытаться очистить трафик.

  • Мониторинг доступности отRU-Center. Сервис от крупнейшего российского хостинг-провайдера. В линейке три тарифа. Самый простой — 150 рублей в месяц, самый дорогой — 1 тыс. рублей. Различаются количеством мониторов и типами проверки. Проверки по HTTP, DNS, PING. Информирует, если сайт попадает под фильтры поисковиков как носитель вирусов. Автоматическое сообщение о недоступности сайта по почте. Есть 14-дневный тестовый режим.
  • Ping-Admin.ru. Самый популярный сервис мониторинга сайтов в рунете. Отличается гибкой ценовой политикой. Абонентской платы и других видов стандартной тарификации нет. Можно выбрать из всех способов проверки нужные и платить только за них. Много способов автоматического уведомления: почта, SMS, Telegram, RSS и многое другое. Тестового режима нет, но каждый новый пользователь получает на счет 1 $, которого хватит на срок от 2 недель до 1,5 месяцев (зависит от количества подключенных услуг).
  • Мониторинг сайтов отREG.Ru. Есть постоянная бесплатная версия с ограниченным функционалом. Сайт проверяется одним монитором с периодичностью 1 час. Уведомление о недоступности приходит только на электронную почту. Платный тариф начинается с 99 рублей в месяц. На нем есть SMS-информирование, проверка с любой периодичностью. Заодно можно отслеживать изменение позиций ключевых слов в поисковиках.

Файрвол

Файрвол — это готовая система фильтров, которая помогает защитить сайт от мусорного трафика еще до того, как он доберется до сайта. Основная функция файрвола — борьба с вирусами. От DDoS он защищает постольку поскольку, но для слабых атак его достаточно. Тем более, обойдется он дешевле полноценного Anti-DDoS.

  • Virusdie. Стоимость — 1490 рублей в год и 149 рублей в год для каждого последующего сайта. Автоматически удаляет вирусы, защищает от грабинга, вредоносного кода, ведет статистику отраженных угроз и формирует черный список по IP. Есть редактор кода, через который можно вносить, редактировать и удалять скрипты. Встроена функция подсветки подозрительного кода. Можно настроить периодичность бэкапа и автоматически восстанавливать серьезно поврежденный сайт по последней успешной сохраненке.
  • Превентивная защита от Revisium. Стоимость — 4000 рублей единоразово, гарантия — 6 месяцев. В услугу входит диагностика и сканирование сайта, установка прав и доступов на безопасные, отключение «опасных» функций, ограничение доступа к админке. Сайт подключается к системе защиты, которая отслеживает подозрительные подключения к сайту и формирует по ним отчеты.
  • Virus Detect. Стоимость — 2000–3000 рублей единоразово. Гарантия — 1 год. Система защищает от прямого доступа к PHP, доступа к административной панели, блокирует подозрительные запросы. Настраиваются права на доступ к файлам и папкам, устанавливается защита от SQL-инъекций, XSS-атак, RFI/LFI уязвимостей.
Топ-пост этого месяца:  Как в css переопределить стиль приоритетность селекторов

Anti-DDoS защита

Anti-DDoS более гибок и интеллектуален, чем обычный файрвол. Система автоматически выстраивает фильтры в зависимости от типа и мощности атаки, умеет проводить дополнительные манипуляции с трафиком.

  • Cloudflare. Крупнейший в мире сервис Anti-DDoS. Весомое преимущество — есть бесплатный режим, хотя и ограниченный по функционалу. Платные тарифы начинаются с 20 $ в месяц. За эти деньги вы получаете автоматическую оптимизацию скорости сайта (кэширование изображений, CSS, Javascript и прочее), файрвол, систему фильтрации трафика. У Cloudflare есть аварийный режим I’m Under Attack, при активации которого для входа на сайт будет требоваться капча. Режим позволяет быстро отрезать мусорный трафик, восстановить работу сайта и сохранить хотя бы часть клиентов. Обратите внимание, что у Cloudflare нет российского офиса, поэтому общаться с техподдержкой придется на английском. Если ваш сайт уже висит, можно воспользоваться бесплатной услугой проверки от Cloudflare. Если DDoS подтвердится, вам предложат зарегистрироваться и включить защиту.
  • Anti DDoS от REG.RU. Есть бесплатный режим, который распространяется на защиту по технологиям Layer 3-4 (IP malformed, ICMP flood, TCP SYN flood, TCP-malformed, ICMP smurf). Можно активировать платный режим, который защищает от Layer-7 (HTTP Flood и HTTPS Flood). Стоимость — от 6 тыс. рублей в неделю. Платишь, когда идет атака и сохраняется риск ее возобновления.
  • Anti-DDoS.PRO. Стоимость — от 1500 рублей в месяц. Есть файрвол для защиты от SQL-инъекций и XSS атак. Изменение провайдера и переход на свой хостинг не требуется. Работает с технологиями Layer 3-4 и Layer-7.

Системное противодействие DDoS-атакам

И еще раз основной тезис:

От DDoS нельзя защититься на 100 %, но можно смягчить урон от атаки злоумышленников и сократить вероятность атаки в целом. Лучший способ защиты — комплексный подход к безопасности сайта.

Системный подход подразумевает следующее:

  1. Не экономьте на оборудовании. Потратьте чуть больше денег на более дорогой хостинг и сервер. Обратите внимание на ширину канала и количество CPU. Как правило, при DDoS съедаются именно эти ресурсы. Это не спасёт от крупных и запланированных нападений, но от атаки неопытного хакера или «хабраэффекта» точно защитит. От «хабраэффекта» также можно спастись, используя услугу облачного хостинга. С его помощью в любой момент можно добавить недостающие для вашего проекта ресурсы.
  2. Используйте готовые решения. Базовый уровень защиты обеспечат бесплатные сервисы. Серьезные технические решения потребуют денег, но в случае интернет-магазина или другого коммерческого сайта простой может выйти еще дороже.
  3. Настройте ПО на вашем сервере. Используйте распределение трафика между двумя веб-серверами. Например: Apache и прокси-сервер Nginx. Обратитесь за этим к своему хостинг-провайдеру. Обычно есть готовые решения.
  4. Займитесь оптимизацией запросов. Постарайтесь избегать тяжелых запросов, сделав рефакторинг кода, добавив недостающие индексы в базы данных и прочее. Когда их слишком много, велика вероятность отказа сервера даже без DDoS-атаки.
  5. Оптимизируйте скорость работы сайта. Чем «тяжелее» ваш сайт, тем проще злоумышленникам его «повалить». Вы уверены, что вам нужны все «красивости», потребляющие много ресурсов? Но и перебарщивать не стоит — аскетичный сайт родом из 90-х будет работать быстро, но вот хорошо конвертировать в 2020 году — вряд ли.

И в качестве ложки дегтя: безопасность безопасностью, но не стоит устанавливать злостную капчу на входе для каждого пользователя на постоянной основе. Это самый эффективный способ отвадить половину клиентов. Начинайте с малого и совершенствуйте систему защиты ресурса по мере роста бизнеса.

В копилку любителям интересных ссылок:

  • Norse Attacking Map. Красивая, но не слишком информативная интерактивная карта кибератак в режиме онлайн. Показывает преимущественно виртуальные войны США с остальным миром.
  • Карта киберугроз «Лаборатории Касперского». Отслеживает отлов компьютерных вирусов. Есть статистика количества заражений и типов вирусов по всему миру и отдельным странам. Можно установить виджет на сайт или скачать заставку «хранителя экрана».
  • Digital Attack Map. Совместная разработка Google и Arbor Networks. По уверению создателей, самая большая система в мире, охватывает около трети общемирового интернет-трафика. Есть лента DDoS-атак с 2012 года, можно посмотреть статистику за любой день.

vnimanie-peregruzka-kak-zashchitit-sayt-ot-ddos-atak

Настройка сервиса CloudFlare

Что такое VPN? И зачем он нужен?
Бесплатный SSL-сертификат на сайт от CloudFlare

CloudFlare — сервис для сайтов

Как настроить CloudFlare и пользоваться его сервисом

Существует замечательный сервис для владельцев сайтов, который помогает не только защитить ваш сайт от DDOS атак , ускорить загрузку страниц, оптимизировать кучу других настроек , но и поможет легко, без всяких заморочек и, главное , бесплатно установить SSL сертификат , то есть осуществить переход с http на htpps протокол .

Об установке SSL сертификата подробно написано в статье:

Начало работы с CloudFlare

CloudFlare — сервис для сайтов

Если Вы ещё не пользуетесь сервисом CloudFlare, то для начала надо в нём зарегистрироваться и произвести нехитрые настройки.

Регистрация и настройка CloudFlare

  1. Первое, что необходимо, это — зарегистрироваться обычным образом на сайте cloudflare.com и проделать несколько несложных, но важных шагов.
  2. После регистрации добавляем Ваш сайт (например, vash-site.com), нажав на кнопку «Add site». Затем жмём кнопку «Next» или «Далее».
  3. Выбираем план Free (бесплатно). Подтверждаем всё и идём дальше.
  4. Вы попали на страницу «DNS query results for vash-site.com» («Результаты DNS запроса для vash-site.com»), на которой появилась таблица с автоматически полученными сервисом CloudFlare DNS записями Вашего сайта:

ДНС-записи, найденные Cloudflare автоматически

Этот шаг самый важный.

4.1 Добавляем недостающие ДНС записи.

Cloudflare для максимально эффективной работы с Вашим сайтом (в первую очередь, для обеспечения его безопасности) требуется указание Вами максимального количества известных Вам ДНС-записей сайта.

Поэтому те записи ДНС, которые Cloudflare нашёл автоматически и отобразил в таблице, Вам надо проверить (например, на соответствие MS-записи действительной) и с помощью предложенной формы в верхней части таблицы самостоятельно добавить недостающие дополнительные записи DNS (записи A, AAAA, NS, CNAME или MX) для полноценной работы сервиса Cloudflare.

Эти записи Вы найдёте на хостинге, на котором расположен Ваш сайт, или у регистратора Вашего домена. Если возникнут трудности, всегда можно обратиться за помощью в техподдержку хостинга или регистратора домена.

Записи A, AAAA, NS, CNAME или MX указывают на исходный сервер, предоставляя IP-адрес источника.

Для наглядного примера проделаю эту работу с одним из моих сайтов (назовём его vash site . com ).

Как видим из первоначально полученной таблицы, в ней не указаны NS-серверы моего хостинга:

nserver: ns3.hostland.ru.

nserver: ns.hostland.ru.

Поэтому в выпадающем списке выбираем запись NS и в соседнем окошке, где серым цветом стоит подсказка « Name » прописываем домен vash site . com , а рядом в окошке прописываем ns 3. hostland . ru . :

Добавляем не найденные Cloudflare NS-записи

Жмём рядом кнопку «Add Record» или «Добавить запись» .

Поскольку у моего хостинга два ns-сервера, то повторяем предыдущий шаг, но прописываем уже второй nserver ns . hostland . ru . Ваш хостинг может иметь и четыре ns-сервера, тогда прописываем все 4.

То же самое можно проделать с другими записями , имеющимися на Вашем хостинге или у Вашего доменного регистратора, но не появившимися в таблице, выбрав в выпадающем списке слева соответствующие записи A, AAAA, NS, CNAME, MX или TXT.

Получаем такую таблицу:

Добавлены вручную NS-записи на Cloudflare

По облачкам , которые серого цвета, надо кликнуть, чтобы те стали оранжевыми. Это будет обозначать, что трафик находится под контролем, ускорен и защищён Cloudflare.

Всё, жмём кнопку «Continue» или «Продолжить» .


4.2 Дальше Вам будет предложено заменить NS записи у регистратора доменного имени.

Для этого идём к нашему регистратору домена, чтобы изменить NS-записи нашего хостинга на NS-записи сервиса Cloudflare.

Все записи как принадлежали хостингу, на котором расположен Ваш сайт, так и будут ему принадлежать, но при этом они будут контролироваться Cloudflare, обеспечивая обслуживание Вашего сайта (защита, ускорение, оптимизация, SSL сертификат и прочий сервис).

Для этого удаляем у регистратора домена имеющиеся NS-записи :

ns 3. hostland . ru .

ns . hostland . ru .

и прописываем вместо них указанные в Cloudflare , например:

dora.ns.cloudflare.com

mark.ns.cloudflare.com

Если на вашем хостинге было указано четыре ns-сервера, то удаляем все четыре и прописываем два от Cloudflare.

Всё, готово! Жмём «Continue» («Продолжить»).

Далее Вам будет предложено проверить, как Вы справились с задачей, зайдя в Whois сервис, где теперь вместо серверов Вашего хостинга должны быть указаны сервера Cloudflare:

Whois сервис: NS-сервера ДО изменения

Whois сервис: NS-сервера ПОСЛЕ изменения

Таким же образом Вы можете добавить в Cloudflare и другие Ваши сайты.

  1. Поздравляю! Теперь Вы можете пользоваться всеми услугами, которые предлагает Cloudflare бесплатно, а их не мало, и все они важны для сайта.

Для этого по очереди щёлкаем кнопки на панели управления в верхней части сайта:

Панель управления сайтом в Cloudflare

и подключаем необходимые нам сервисы, в том числе установку бесплатного самообновляемого SSL сертификата .

О том, как быстро настроить переход сайта с http на https, читайте в статье :

Сервисы CloudFlare

Настройки сервисов CloudFlare просты и интуитивно понятны. Переходя по ряду иконок (по панели управления), можно:

  • настроить онлайн защиту сайта, оказавшегося под атакой, CloudFlare — лучшая защита от DDOS атак;
  • наблюдать за статистикой посещения Вашего сайта по кешированным и некешированным запросам, по пропускной способности, по уникальным посетителям и т.д.;
  • следить за угрозами, за подозрительным поведением на Вашем сайте и пресекать атаки на сайт, блокировать подозрительные IP адреса посетителей и многое другое;
  • произвести полную или выборочную очистку кешированных страниц и поручитьCloudFlareпри неполадках на вашем сервере обслуживать статические страницы Вашего сайта из своего локального кэша;
  • управлять настройками производительности сайта, сжимать JavaScript, CSS и HTML файлы, ускорять загрузку страниц сайта;
  • получить и установить бесплатный SSL-сертификат на свой сайт и быстро настроить автоматическую переадресацию http-страниц на https;
  • бесплатно получить и быстро установить на свой сайт множество различных супер полезных приложений, виджетов, плагинов и других интересных программ.

Всё это CloudFlare предоставляет бесплатно. В платных версиях возможностей, конечно, ещё больше. Но и этого хватает с лихвой.

Защита сайта с CloudFlare в cPanel

Практически каждого владельца веб-сайта волнует, как защитить сайт и, в частности, как защититься от DDoS атак. У вас есть возможность настроить базовую защиту своего сайта от атак типа DoS/DDoS с помощью сервиса CloudFlare, встроенного в cPanel. Для этого нужно выполнить несколько простых шагов:

1. Зайти в cPanel со своими деталями доступа и перейти в раздел Программное обеспечение, выбрать пункт CloudFlare.

2. В разделе Log in to CloudFlare нажмите Sign up, если у Вас нет ранее созданного аккаунта в CloudFlare. В случае, если аккаунт уже есть, достаточно ввести Email и Password и нажать Log in.

3. Далее необходимо заполнить поля формы для регистрации, отметьте галочкой опцию о том, что согласны с правилами предоставления услуги, и нажмите кнопку Sign Up for CloudFlare.

После этого на сайте разработчика будет создана бесплатная учетная запись для вас, и на e-mail, который вы указали, придет письмо от CloudFlare с деталями созданного аккаунта и ссылкой для входа в CloudFlare.com.

Вернитесь на главную страницу cPanel и снова перейдите в меню CloudFlare. Теперь там появится раздел окно, которое можно увидеть на скриншоте. В данном окне необходимо проделать следующее:

  1. В меню Active Zone нужно выбрать домен, для которого нужно установить защиту CloudFlare.
  2. Нажать на иконку с надписью Domains, затем нужно немного подождать, чтобы появилось форма Domain Overview.
  3. Нажать Provision Domain with CNAME Setup

Дополнительно вам на e-mail будет отправлено сообщение о том, что выбранный домен был добавлен в аккаунт на сервисе CloudFlare.

После успешной конфигурации появится окно Domain Overview. На этой странице будут указаны возможные варианты действий с доменом.

Обратите внимание на тот факт, что при переходе в раздел Add site в вашей учетной записи на сайте CloudFlare домен, для которого активирована защита в cPanel, отображаться не будет.

Если перейти по ссылке DNS, то в новом окне появится сообщение о том, что DNS записи доменного имени необходимо редактировать на нашей стороне (в панели управления хостингом).

То есть любые DNS записи защищаемого домена вы по-прежнему сможете редактировать в cPanel с помощью расширенного редактора DNS зон.

Важно! Чтобы настроить защиту поддоменов, вам предварительно нужно будет указать CNAME запись для защищаемых поддоменов через расширенный редактор DNS зон. Например, для активации Cloudflare на поддомене sub.domain.com нужно создать CNAME запись и в ее значении указать domain.com, где domain.com — имя вашего основного доменного имени.

4. На этом процесс активации защиты сайта от DDoS атак завершен.

Чтобы отключить защиту домена сервисом CloudFlare, вам нужно будет перейти в cPanel => CloudFlare => Domain Overview и в столбце Use CloudFlare кликнуть по изображению облака.

Обращаем ваше внимание, что при настройке CloudFlare для вашего сайта из плагина в cPanel указывать DNS-сервера от CloudFlare для домена не нужно, поскольку взаимодействие с данным сервисом будет производиться при помощи созданных CNAME-записей.

Если же базовой защиты для вашего сайта недостаточно и вас интересует, как защититься от ддоса более надежно, обратите внимание на платные пакеты услуг от Cloudflare.

CloudFlare: управляем облаками

В предыдущем материале рассказывалось о подключении сайта к CDN сервису CloudFlare, в этой статье рассмотрим основные настройки.

Вкладка Overview

– можно перевести как «общие настройки», где показываются общие настройки, уровень шифрования, кэширования и так далее.

Слева от статуса сайта есть выпадающий список с выбором быстрых действий.

Under attack mode – режим «под атакой», в этом режиме сайт открывается с задержкой, основное назначение – защита от DDoS-атак. После включения опции будет доступно несколько уровней защиты от low до high.

Developing modeрежим «разработки», отключает кэширование на сайте. Обычно опция востребована при отладке сайта, когда изменения сразу же отображаются на ресурсе, иначе все вносимые обновления будут отображаться с задержкой.

Security Levelрежим «уровень безопасности» – по умолчанию выключен «Essentially Off», при включении будут доступны следующие опции:

Rate Limiting – режим «ограничение скорости», используется для блокировки IP-адресов с вредоносными запросами, как сканирование, или если тарифный план имеет ограничение по трафику.

Внимание, функция платная. Первые 10 000 запросов являются бесплатными. Далее $ 0,05 за 10 000 запросов.

Примечание: за заблокированные запросы плата не взимается.

Caching Level – «уровень кеширования», по умолчанию установлен уровень стандарт, при изменении доступны опции уровня кэширования, особо выделим:

Always Online – «всегда онлайн», на мой взгляд, супер функция. Если ваш сайт упал и не дышит, вы решили переделать сайт, но не хотите его выключать, сгорел дата-центр и так далее… CloudFlare будет показывать статические страницы сайта из кэша. Конечно, ни о какой динамике не может быть и речи, даже функция отправки почты будет недоступна, но это все же лучше, чем посетитель будет лицезреть «дырку от бублика».

Практически в самом конце страницы ссылка на API, но об этом поговорим позже, поскольку тут открывается множество возможностей, таких как собственный, динамический DNS.

Вкладка Analytics – как нетрудно догадаться, это страница аналитики.

Requests – «запросы», можно посмотреть количество запросов, уровень кэширования, географию и многое другое, качество предоставляемой статистики не хуже, чем предоставляют специализированые сервисы.

Bandwidth – «пропускная способность», показывается количество трафика с сайта.

Unique Visitors – «уникальные посетители».

Threats – «угрозы», будут показаны вредоносные запросы, с разделением по типу угроз, страны-источники угроз и так далее.

Вкладка DNS

– содержит список DNS-записей, которые мы уже видели при настойке CloudFlare.

Custom Nameservers – позволяет создать собственные имена серверов, услуга платная.

DNSSEC – технология dnssec защищает от поддельных DNS. Защищенные зоны DNSSEC подписываются криптографически, чтобы убедиться, что полученные DNS-записи идентичны записям DNS, опубликованным владельцем домена.

CNAME – каноническое имя для псевдонима. Запись CNAME чаще всего используется для переадресации поддомена на другой домен.

Вкладка Crypto

– управление настройками криптографии.

SSL – статус текущего сертификата, а также настройка уровня шифрования.

Edge Certificates – управление сертификатами, есть как бесплатный, так и платные варианты, также можно загрузить собственный сертификат.

Always use HTTPS – перенаправляет все запросы “http” на “https”. Это касается всех http-запросов в зоне.

HTTP Strict Transport Security (HSTS) – включение дополнительной защиты https-соединений, также HSTS помогает защитить посетителей сайта от части пассивных и активных атак.

Authenticated Origin Pulls – дополнительная проверка TLS-сертификата на подлинность.

Require Modern TLS – при включении будут использоватся современные версии протокола TLS (1.2 и 1.3). Эти версии используют более безопасное шифрование, но посетители, использующие старые браузеры, не смогут зайти на сайт.

Opportunistic Encryption – позволяет повысить производительность сайта с помощью технологий HTTP/2 и SPDY.

Automatic HTTPS Rewrites – автоматическая перезапись HTTPS, помогает исправить смешанный контент, изменив “http” на “https” для всех ресурсов или ссылок на вашем ресурсе.

Disable Universal SSL – полное отключение протокола SSL.

Вкладка Firewall

– управление доступом по IP, странам или типов запроса.

Rate Limiting – режим «ограничение скорости», используется для блокировки IP-адресов с вредоносными запросами, как сканирование, или если тарифный план имеет ограничение по трафику. Да, вы не ошиблись, этот пункт присутствует в другой вкладке, как и некоторые другие.

Внимание, функция платная. Первые 10 000 запросов являются бесплатными. Далее $ 0,05 за 10 000 запросов.

Security Level – доступно несколько уровней, от «low» до «high».

Challenge Passage – задается временная задержка, указывающая через какое время посетитель с определенных IP-адресов сможет повторно зайти на сайт. Можно выбрать диапазон от пяти минут до одного года.

Access Rules – позволяет создать правила доступа для определенных IP -дресов, Autonomous автономной системы (ASN) или даже стран. Доступны – блокировка, белый лист, отсечение JS и так далее.

Вкладка Access

услуга находится в бета тестировании и пока бесплатна, предполагается включение защиты доступа к внутренним ресурсам, например промежуточному сайту или внутреннему серверу компании.

Вкладка Speed

управление параметрами производительности.

Auto Minify – объединяет JavaScript, CSS, HTML-файлы для уменьшения времени загрузки сайта.

Polish – уменьшает время загрузки изображений за счет оптимизации. Дополнительно подключается кодек WEBP.

Примечание: для вступления изменений в силу нужно очистить кэш.

Railgun™ – ускорение загрузки динамического контента.

Примечание: услуга платная, также требуется установка программного обеспечения на хостинге.

Mobile Redirect – перенаправление посетителей, использующих мобильные устройства, на сайт оптимизированный для мобильных устройств.

Вкладка Caching – управление кэшированием сайта.

Purge Cache – очистка кэша, возможна как полная очистка, так и очистка определенных файлов.

Caching Level – уровень кэширования.

Browser Cache Expiration – указывает браузеру, какое время сохранять кэш-файлы. В течение этого периода браузер загружает файлы из локального кэша, ускоряя загрузку страниц. Можно выбрать диапазон от двух часов до одного года.

Вкладка Network

– управление сетевыми настройками.

HTTP/2 + SPDY – ускорение сайта с помощью технологий HTTP/2 и SPDY.

IPv6 Compatibility – совместимость с IPv6.

Pseudo IPv4 – добавляет заголовок IPv4 к запросам, когда клиент использует IPv6, но сервер поддерживает только IPv4.

IP Geolocation – автоматически перенаправляет посетителя на региональную версию сайта, если такая существует.

Maximum Upload Size – ограничение максимального размера загрузки на сайт.

Response Buffering – буферизация ответов, включает или отключает буферизацию, опция доступна только на тарифном плане Enterprise и выше.

Вкладка Traffic – контроль и управление трафиком.

Argo – оптимизация сетевых маршрутов для снижения времени ответа сервера.

Load Balancing – защита от сбоев в обслуживании с помощью балансировки нагрузки, автоматической отработки отказов, географической маршрутизации и активных проверок работоспособности серверов.

Вкладка Customize

– содержит пункты, описанные выше, поэтому пропустим описание.

Вкладка Apps

– установка дополнений от CloudFlare.

Drift – позволяет создать форму чата для общения с посетителями сайта, в бесплатной версии существуют ограничения.

Google Analytics – сервис аналитики от Google.

Lead Box – позволяет организовать подписку на сайте, в бесплатной версии также существуют ограничения.

Detectify – анализ сайта на уязвимости и наличие вредоносного кода.

Welcome Bar – приветственное сообщение в верхней части страницы, может содержать информацию об акциях, объявлениях и так далее.

PACE – устанавливает прогресс бар загрузки страниц.

Вкладка Scrape Shield

– защита изображений от хотлинка, маскировка почты, сокрытие контента.

Email Address Obfuscation – обфускация адресов электронной почты для предотвращения сбора электронной почты ботами.

Server-side Excludes – автоматически скрывать контент от подозрительных посетителей. «Подозрительными» посетителями могут быть признаны автоматические граберы новостей, спам-боты в комментариях сайта, боты, совершающие многократные, однотипные действия, как обращение к форме обратной связи, и так далее.

Hotlink Protection – защита от хотлинка.

В материалы описаны только основные настройки CloudFlare, некоторые возможности, так использование API, совсем не затронуты.

Добавить комментарий