איך להפחית בפני תקיפות DDoS נגד האתר שלך עם CloudFlare

הקדמה

Cloudflare היא חברה המספקת שירותי רשת תפוצה (CDN) ושירותי DNS מבוזרים על ידי התנהגות כשרת פרוקסי לאתרים. שירותים בחינם ותשלום של Cloudflare יכולים לשמש כדי לשפר את האבטחה, המהירות והזמינות של אתר באמצעווים שונים.

במדריך זה, תלמד כיצד להשתמש בשירות חינם של Cloudflare כדי להגן על שרתי האינטרנט שלך מפני התקפות DDoS המבוססות על HTTP באמצעות הפעלת "מצב אני נתקל בהתקפה". מצב אבטחה זה יכול להקל על התמודדות עם התקפות DDoS על ידי הצגת עמוד ביניים לאמת את תוקפיו של חיבור לפני שהוא מועבר לשרת האינטרנט שלך.

דרישות מוקדמות

מדריך זה מניח שיש לך את הפעילות הבאה:

• A web server
• A registered domain that points to your web server
• גישה ללוח בקרה של רשם הדומיין שהנפיק את הדומיין

עליך גם להירשם לחשבון של Cloudflare לפני שתמשיך.

שלב 1 – הגדרת הדומיין שלך כדי להשתמש ב־Cloudflare

לפני שתשתמש באף אחת מהתכונות של Cloudflare, עליך להגדיר את הדומיין שלך כך שישתמש ב־DNS של Cloudflare.

אם עדיין לא עשית זאת, התחבר אל Cloudflare.

הוספת אתר וסריקת רשומות DNS

לאחר התחברות, תועבר אל דף התחל עם Cloudflare. כאן, עליך ללחוץ על כפתור הוספת אתר בחלק העליון כדי להוסיף את האתר שלך ל־Cloudflare:

הזן את שם הדומיין שברצונך להשתמש בו עם Cloudflare ולחץ על כפתור הוספת אתר. עליך להיעבר לדף שנראה כמו זה:

במדריך זה, נבחר באפשרות תוכנית חינמית. אם ברצונך לשלם עבור תוכנית שונה משום שברצונך יתרונות נוספים של Cloudflare, נפנה לעשות כן. לאחר מכן, לחץ על הכפתור המשך.

הדף הבא מציג את תוצאות סריקת רשומות ה־DNS עבור האתר שלך. וודא שכל הרשומות ה־DNS הקיימות שלך נמצאות כאן, מכיוון שאלו הרשומות שבהן תשתמש Cloudflare כדי לפתור בקשות אל הדומיין שלך. בדוגמה שלנו, השתמשנו ב־flippeddev.com כשם הדומיין:

השים לב שבמעמד הרשומות A ו-CNAME שלך שמצביעות לשרתי האינטרנט שלך, לעמוד הזהים בעמודה Status יש להיות ענן כתום עם חץ שעובר דרכו. זה מציין שהתעבורה תעבור דרך הפרוקסי ההפוך של Cloudflare לפני שתגיע לשרתים שלך.

שינוי של השרתים שלך

העמוד הבא יציג שרתי שמות שיש להסיר ושרתי שמות של Cloudflare שיש להוסיף. הנה דוגמא לאופן שבו העמוד עשוי להיראות:

כדי לשנות את שרתי השמות של הדומיין שלך, התחבר לפאנל השליטה של רשומת הדומיין שלך ובצע את השינויים ב-DNS כפי שהוצגו על ידי Cloudflare. לדוגמא, אם רכשת את הדומיין שלך דרך רשם כמו Google או NameCheap, יהיה עליך להתחבר לפאנל השליטה המתאים של הרשם ולבצע את השינויים שם.

התהליך משתנה בהתאם לרשם הדומיין הספציפי שלך. אם אינך מצליח להבין איך לעשות זאת, זה דומה לתהליך המתואר ב-איך להפנות לשרתי שמות של DigitalOcean מרשמים נפוצים לרשומות דומיין, רק שתשתמש בשרתי שמות של Cloudflare במקום של שרתי שמות של DigitalOcean.

בדוגמא זו, הדומיין משתמש בשרתי שמות של DigitalOcean ויש לעדכן אותו להשתמש ב-DNS של Cloudflare.

כאשר אתה מסיים לשנות את שרתי השמות שלך, לחץ על לחצן המשך. ייתכן שימשך עד 24 שעות לשרתי השמות להחליף, אך בדרך כלל זה לוקח רק מספר דקות.

המתן לעדכון שרתי השמות

מכיוון שעדכון שרתי השמות לוקח זמן שאינו ניחודי, ייתכן שתראה דף זה לאחר מכן:

מצב הממתין אומר ש-Cloudflare ממתין לעדכון שרתי השמות לאלה שהוא הציב (לדוגמה, olga.ns.Cloudflare.com ו־rob.ns.Cloudflare.com). אם שינית את שרתי השמות של הדומיין שלך, כל מה שעליך לעשות הוא להמתין ולבדוק שוב מאוחר יותר עבור מצב פעיל. אם תלחץ על לחצן בדוק שוב את שרתי השמות או תנווט אל לוח המחוונים של Cloudflare, זה יבדוק האם שרתי השמות עודכנו.

Cloudflare פעיל

לאחר עדכון שרתי השמות, הדומיין שלך ישתמש ב-DNS של Cloudflare ותראה שיש לו מצב פעיל.

זה אומר ש-Cloudflare פועל כפרוקסי הפוך לאתר שלך, ויש לך גישה לכל התכונות הזמינות בשכבת המחיר שנרשמת לה. אם אתה משתמש בשכבת ה-חינמית, כמו שאנחנו עושים במדריך זה, יהיה לך גישה לחלק מהתכונות שיכולות לשפר את אבטחת האתר, המהירות והזמינות שלו.

אנו לא נכסה את כל התכונות במדריך זה, מכיוון שאנו מתמקדים בהקלה על תקיפות DDoS בתהליך, אך הן כוללות CDN, SSL, אחסון מטמון לתוכן סטטי, חומת אש (לפני שהתעבורה מגיעה לשרת שלך) וכלים לניתוח תעבורת.

גם שים לב ל-סיכום ההגדרות, המופיע מיד למטה מרמת האבטחה הנוכחית של האתר שלך (ברמת בינונית כברירת מחדל) ומידע נוסף.

לפני שתמשיך, כדי להשיג את המרב מ-Cloudflare, תרצה לעקוב אחר מדריך זה: שלבים ראשונים מומלצים לכל משתמשי Cloudflare. זה חשוב כדי לוודא ש-Cloudflare תאפשר חיבורים חוקיים משירותים שאתה רוצה לאפשר, וכך שיוקפאו יומני השרת שלך יראו את כתובות ה-IP המקוריות של המבקרים (במקום כתובות ה-IP של פרוקסי ההפוך של Cloudflare).

לאחר שתסיים את ההגדרות, בוא נסתכל על ההגדרה מצב אני תחת תקיפה בגדר האש של Cloudflare.

שלב 2 – הפעלת מצב אני תחת תקיפה

ברירת המחדל, אבטחת הגימלים של Cloudflare מוגדרת כמתוארגמת בינונית. זה מספק הגנה נוספת נגד מבקרים שמסומנים כאיום בינוני על ידי הצגת עמוד אתגר לפני המשך הגעתם לאתר שלך. אולם, אם האתר שלך הוא יעד להתקפת DDoS, זה עשוי לא להיות מספיק כדי לשמור על פעילות האתר שלך. במקרה זה, ייתכן והמצב של I’m Under Attack Mode יהיה מתאים עבורך.

אם תפעיל את מצב זה, כל מבקר באתר שלך יוצג בדף ביניים שבודק כמה פריטים בדפדפן ומעכב את המבקר לכ-5 שניות טרם שהוא יעבור לשרת שלך. הדף ייראה משהו כזה;

אם בדיקות עוברות, המבקר יורשה להמשיך לאתר שלך. השלב המשולב של מניעת התחברותם של מבקרים זדוניים והעיכוב שלהם מחברתך כמובן מספיק לשמור על זמינות האתר שלך, גם במהלך התקפת DDoS.

שים לב שאתה רק רוצה להפעיל את מצב I’m Under Attack Mode כאשר האתר שלך הוא קורבן להתקפת DDoS. אחרת, יש לכבות אותו כדי שלא יעכב משתמשים רגילים מגישה לאתר שלך ללא סיבה.

איך להפעיל את מצב I’m Under Attack

אם ברצונך לאפשר את מצב אני נמצא בתקפה, הדרך הקלה ביותר היא לעבור לעמוד הסקירה של Cloudflare (העמוד המותקף) ולשנות את ההגדרה בסרגל הימני:

ההגדרות האבטחה יחליפו מיד למצב אני נמצא בתקפה. כעת, כל מבקר באתר שלך יתקל בעמוד הביניים של Cloudflare שתואר למעלה.

איך להשבית מצב "אני נמצא בתקפה"

כיוון ש-מצב אני נמצא בתקפה אמור להיות בשימוש רק במקרי חירום של DDoS, יש להשבית אותו אם אין תקפה. כדי לעשות זאת, עבור לעמוד הסקירה של Cloudflare, וכבה אותו. ייפתח חלון כזה:

אז בחר ברמת האבטחה שבה תרצה להחזיר. המצב המומלץ ברוב המקרים הוא בינונית.
האתר שלך יחזור למצב פעיל, ועמוד ההגנה מפני DDoS ייכבה.

סיכום

נעכן שהאתר שלך משתמש כעת ב-Cloudflare, ויש לך כלי נוסף להגנה קלה נגד התקפות DDoS המבוססות על HTTP. ישנם גם מגוון של כלים נוספים שספקת על ידי Cloudflare שיכולים לעניין אותך להגדיר, כמו תעודות SSL בחינם. לכן, מומלץ לחקור את האפשרויות ולראות מה יכול להיות שימושי עבורך.

ניתן למד עוד על שימוש ב-Cloudflare להגנה על האתרים שלך עם המדריך שלנו בנושא איך לארח אתר באמצעות Cloudflare ו-Nginx על Ubuntu 22.04.