Introduction
Cloudflare est une entreprise qui fournit des services de réseau de diffusion de contenu (CDN) et de DNS distribué en agissant comme un proxy inverse pour les sites web. Les services gratuits et payants de Cloudflare peuvent être utilisés pour améliorer la sécurité, la vitesse et la disponibilité d’un site web de différentes manières.
Dans ce tutoriel, vous apprendrez comment utiliser le service gratuit de Cloudflare pour protéger vos serveurs web contre les attaques par déni de service distribué (DDoS) basées sur HTTP en activant le mode « I’m Under Attack ». Ce mode de sécurité peut atténuer les attaques DDoS en présentant une page interstitielle pour vérifier la légitimité d’une connexion avant de la transmettre à votre serveur web.
Prérequis
Ce tutoriel suppose que vous avez les éléments suivants:
- A web server
- A registered domain that points to your web server
- Accès au panneau de contrôle du registraire de domaine qui a émis le domaine
Vous devez également vous inscrire à un compte Cloudflare avant de continuer.
Remarque: Ce tutoriel nécessitera l’utilisation des serveurs de noms de Cloudflare.
Étape 1 – Configuration de votre domaine pour utiliser Cloudflare
Avant d’utiliser l’une des fonctionnalités de Cloudflare, vous devez configurer votre domaine pour utiliser le DNS de Cloudflare.
Si ce n’est pas déjà fait, connectez-vous à Cloudflare.
Ajoutez un site et analysez les enregistrements DNS
Après vous être connecté, vous serez redirigé vers la page Commencez avec Cloudflare. Ici, vous devez cliquer sur le bouton Ajouter un site en haut pour ajouter votre site à Cloudflare:
Entrez le nom de domaine que vous souhaitez utiliser avec Cloudflare et cliquez sur le bouton Ajouter un site. Vous devriez être redirigé vers une page qui ressemble à ceci:
Dans ce tutoriel, nous choisirons l’option Plan Gratuit. Si vous souhaitez payer pour un plan différent en raison du désir de fonctionnalités supplémentaires de Cloudflare, n’hésitez pas à le faire. Ensuite, cliquez sur le bouton Continuer.
La page suivante affiche les résultats de l’analyse des enregistrements DNS de votre site. Assurez-vous que tous vos enregistrements DNS existants sont présents, car ce sont ces enregistrements que Cloudflare utilisera pour résoudre les demandes vers votre domaine. Dans notre exemple, nous avons utilisé flippeddev.com comme domaine.
Notez que, pour vos enregistrements A et CNAME qui pointent vers votre ou vos serveurs Web, la colonne Statut doit avoir un nuage orange avec une flèche le traversant. Cela indique que le trafic passera par le proxy inverse de Cloudflare avant d’atteindre votre ou vos serveurs.
Modifier vos serveurs de noms
La page suivante affichera les serveurs de noms qui doivent être supprimés et les serveurs de noms Cloudflare qui doivent être ajoutés. Voici un exemple de ce à quoi la page pourrait ressembler :
Pour modifier les serveurs de noms de votre domaine, connectez-vous au panneau de contrôle de votre registrar de domaine et effectuez les modifications DNS présentées par Cloudflare. Par exemple, si vous avez acheté votre domaine auprès d’un registrar comme Google ou NameCheap, vous devrez vous connecter au panneau de contrôle approprié du registrar et effectuer les modifications là-bas.
Le processus varie en fonction de votre registrar de domaine particulier. Si vous ne parvenez pas à le faire, c’est similaire au processus décrit dans Comment Pointer vers les Serveurs de Noms de DigitalOcean Depuis les Registrars de Domaines Courants sauf que vous utiliserez les serveurs de noms Cloudflare au lieu de ceux de DigitalOcean.
Dans le cas de l’exemple, le domaine utilise les serveurs de noms de DigitalOcean et nous devons le mettre à jour pour utiliser le DNS de Cloudflare.
Lorsque vous avez fini de modifier vos serveurs de noms, cliquez sur le bouton Continuer. Il peut falloir jusqu’à 24 heures pour que les serveurs de noms soient changés, mais cela prend généralement seulement quelques minutes.
Attendez la mise à jour des serveurs de noms
Étant donné que la mise à jour des serveurs de noms prend un temps imprévisible, il est probable que vous verrez la page suivante :
Le statut En attente signifie que Cloudflare attend que les serveurs de noms se mettent à jour selon ceux qu’il a prescrits (par exemple olga.ns.Cloudflare.com et rob.ns.Cloudflare.com). Si vous avez modifié les serveurs de noms de votre domaine, il vous suffit d’attendre et de revenir plus tard pour un statut Actif. Si vous cliquez sur le bouton Revérifier les serveurs de noms ou accédez au tableau de bord de Cloudflare, il vérifiera si les serveurs de noms ont été mis à jour.
Cloudflare est actif
Une fois que les serveurs de noms ont été mis à jour, votre domaine utilisera le DNS de Cloudflare et vous verrez qu’il a un statut Actif.
Cela signifie que Cloudflare agit en tant que proxy inverse pour votre site web, et vous avez accès aux fonctionnalités disponibles dans le niveau de tarification auquel vous vous êtes inscrit. Si vous utilisez le niveau gratuit, comme nous le faisons dans ce tutoriel, vous aurez accès à certaines fonctionnalités qui peuvent améliorer la sécurité, la vitesse et la disponibilité de votre site.
Nous n’aborderons pas toutes les fonctionnalités dans ce tutoriel, car nous nous concentrons sur la mitigation des attaques DDoS en cours, mais elles incluent le CDN, SSL, le cache de contenu statique, un pare-feu (avant que le trafic n’atteigne votre serveur) et des outils d’analyse du trafic.
Notez également le Résumé des paramètres, situé juste en dessous de votre domaine, qui affiche le niveau de sécurité actuel de votre site (moyen par défaut) et d’autres informations.
Avant de continuer, pour tirer le meilleur parti de Cloudflare, vous devrez suivre ce guide : Étapes recommandées pour tous les utilisateurs de Cloudflare. C’est important pour vous assurer que Cloudflare autorisera les connexions légitimes des services que vous souhaitez autoriser, et pour que les journaux de votre serveur web affichent les adresses IP d’origine des visiteurs (au lieu des adresses IP du proxy inverse de Cloudflare).
Une fois que vous êtes prêt, examinons le paramètre Mode « Je suis attaqué » dans le pare-feu de Cloudflare.
Étape 2 – Activation du Mode « Je suis attaqué »
Par défaut, la sécurité pare-feu de Cloudflare est réglée sur Medium. Cela offre une certaine protection contre les visiteurs considérés comme une menace modérée en leur présentant une page de défi avant de leur permettre de continuer à accéder à votre site. Cependant, si votre site est la cible d’une attaque DDoS, cela peut ne pas suffire à maintenir son fonctionnement. Dans ce cas, le mode Je suis sous attaque pourrait vous convenir.
Si vous activez ce mode, tout visiteur de votre site web se verra présenter une page interstitielle effectuant quelques vérifications du navigateur et retardant le visiteur pendant environ 5 secondes avant de le rediriger vers votre serveur. Cela ressemblera à quelque chose comme ceci :
Si les vérifications réussissent, le visiteur sera autorisé à accéder à votre site web. La combinaison de la prévention et du retardement des visiteurs malveillants connectés à votre site est souvent suffisante pour le maintenir opérationnel, même pendant une attaque DDoS.
Remarque : Les visiteurs du site doivent avoir JavaScript et les cookies activés pour passer la page interstitielle. Si cela n’est pas acceptable, envisagez d’utiliser le paramètre de sécurité pare-feu « Élevé » à la place.
Gardez à l’esprit que vous ne voulez activer le mode Je suis sous attaque que lorsque votre site est victime d’une attaque DDoS. Sinon, il doit être désactivé pour ne pas retarder inutilement les utilisateurs normaux dans l’accès à votre site web.
Comment activer le mode Je suis sous attaque
Si vous souhaitez activer le mode Je suis attaqué, la manière la plus simple est d’aller sur la page Cloudflare Overview (la page par défaut) et de l’activer dans la barre latérale droite :
Les paramètres de sécurité passeront immédiatement en mode Je suis attaqué. Désormais, tous les visiteurs de votre site verront la page interstitielle Cloudflare décrite précédemment.
Comment désactiver le mode Je suis attaqué
Comme le mode Je suis attaqué ne devrait être utilisé que pendant les urgences DDoS, vous devriez le désactiver si vous n’êtes pas attaqué. Pour ce faire, allez sur la page Cloudflare Overview et désactivez-le. Cela ouvrira une fenêtre modale comme celle-ci :
Ensuite, sélectionnez le niveau de sécurité auquel vous souhaitez passer. Le mode par défaut et généralement recommandé est Moyen.
Votre site devrait revenir à un statut Actif, et la page de protection DDoS sera désactivée.
Conclusion
Maintenant que votre site web utilise Cloudflare, vous disposez d’un autre outil pour le protéger facilement contre les attaques DDoS basées sur HTTP. Il existe également une variété d’autres outils que Cloudflare fournit et qui pourraient vous intéresser à mettre en place, comme des certificats SSL gratuits. Par conséquent, il est recommandé d’explorer les options et de voir ce qui vous est utile.
Vous pouvez en savoir plus sur l’utilisation de Cloudflare pour protéger vos sites avec notre tutoriel Comment héberger un site web en utilisant Cloudflare et Nginx sur Ubuntu 22.04.