Introdução
Cloudflare é uma empresa que oferece serviços de rede de entrega de conteúdo (CDN) e DNS distribuído, atuando como um proxy reverso para sites. Os serviços gratuitos e pagos da Cloudflare podem ser utilizados para aprimorar a segurança, velocidade e disponibilidade de um site de várias maneiras.
Neste tutorial, você aprenderá a usar o serviço gratuito da Cloudflare para proteger seus servidores web contra ataques distribuídos de negação de serviço (DDoS) baseados em HTTP, ativando o Modo “Estou Sob Ataque”. Este modo de segurança pode mitigar ataques DDoS apresentando uma página intersticial para verificar a legitimidade de uma conexão antes de encaminhá-la para o seu servidor web.
Pré-requisitos
Este tutorial pressupõe que você tenha o seguinte:
- A web server
- A registered domain that points to your web server
- Acesso ao painel de controle do registrador de domínios que emitiu o domínio
Você também deve se inscrever em uma conta na Cloudflare antes de continuar.
Nota: Este tutorial exigirá o uso dos servidores de nomes da Cloudflare.
Passo 1 – Configurando seu Domínio para Usar o Cloudflare
Antes de utilizar qualquer recurso do Cloudflare, você deve configurar seu domínio para usar o DNS do Cloudflare.
Se ainda não o fez, faça login no Cloudflare.
Adicione um Site e Faça a Verificação dos Registros DNS
Após o login, você será direcionado para a página Comece com o Cloudflare. Aqui, você deve clicar no botão Adicionar site no topo para adicionar seu site ao Cloudflare:
Insira o nome de domínio que deseja usar com o Cloudflare e clique no botão Adicionar Site. Você será levado a uma página que se parece com esta:
Neste tutorial, escolheremos a opção Plano Grátis. Se preferir pagar por um plano diferente devido a recursos adicionais do Cloudflare, sinta-se à vontade para fazê-lo. Em seguida, clique no botão Continuar.
A próxima página mostra os resultados da verificação dos registros DNS para o seu site. Certifique-se de que todos os seus registros DNS existentes estejam presentes, pois esses são os registros que o Cloudflare usará para resolver as solicitações para o seu domínio. Em nosso exemplo, usamos flippeddev.com como o domínio:
Observe que, para seus registros A e CNAME que apontam para seu(s) servidor(es) web, a coluna Status deve ter uma nuvem laranja com uma seta passando por ela. Isso indica que o tráfego passará pelo proxy reverso da Cloudflare antes de atingir seu(s) servidor(es).
Alterar seus servidores de nomes
A próxima página exibirá servidores de nomes que precisam ser removidos e os servidores de nomes da Cloudflare que devem ser adicionados. Aqui está um exemplo de como a página pode parecer:
Para alterar os servidores de nomes do seu domínio, faça login no painel de controle do seu registrador de domínios e faça as alterações de DNS que a Cloudflare apresentou. Por exemplo, se você comprou seu domínio por meio de um registrador como Google ou NameCheap, será necessário fazer login no painel de controle do registrador apropriado e fazer as alterações lá.
O processo varia com base no seu registrador de domínios específico. Se você não conseguir descobrir como fazer isso, é semelhante ao processo descrito em Como apontar para os servidores de nomes da DigitalOcean a partir de registradores de domínio comuns, exceto que você usará os servidores de nomes da Cloudflare em vez dos da DigitalOcean.
No caso do exemplo, o domínio está usando os servidores de nomes da DigitalOcean e precisamos atualizá-lo para usar o DNS da Cloudflare.
Quando terminar de alterar seus servidores de nomes, clique no botão Continuar. Pode levar até 24 horas para os servidores de nomes serem trocados, mas geralmente leva apenas alguns minutos.
Aguarde a Atualização dos Servidores de Nomes
Como a atualização dos servidores de nomes leva um tempo imprevisível, é provável que você veja esta página em seguida:
O status Pendente significa que o Cloudflare está aguardando a atualização dos servidores de nomes para aqueles que ele prescreveu (por exemplo, olga.ns.Cloudflare.com e rob.ns.Cloudflare.com). Se você alterou os servidores de nomes do seu domínio, tudo que precisa fazer é esperar e verificar mais tarde se o status está Ativo. Se você clicar no botão Verificar Novamente os Servidores de Nomes ou acessar o painel do Cloudflare, ele verificará se os servidores de nomes foram atualizados.
O Cloudflare Está Ativo
Assim que os servidores de nomes forem atualizados, seu domínio estará usando o DNS do Cloudflare e você verá que ele está com o status Ativo.
Isso significa que o Cloudflare está atuando como um proxy reverso para o seu site, e você tem acesso aos recursos disponíveis no nível de preço para o qual você se inscreveu. Se você está usando o nível gratuito, como estamos neste tutorial, você terá acesso a alguns dos recursos que podem melhorar a segurança, velocidade e disponibilidade do seu site.
Não abordaremos todos os recursos neste tutorial, pois estamos focando em mitigar ataques DDoS em andamento, mas eles incluem CDN, SSL, cache de conteúdo estático, um firewall (antes do tráfego chegar ao seu servidor) e ferramentas de análise de tráfego.
Também observe o Resumo das Configurações, logo abaixo do seu domínio, que mostrará o nível de segurança atual do seu site (médio por padrão) e algumas outras informações.
Antes de continuar, para aproveitar ao máximo o Cloudflare, você deve seguir este guia: Primeiros Passos Recomendados para Todos os Usuários do Cloudflare. Isso é importante para garantir que o Cloudflare permita conexões legítimas de serviços que você deseja permitir e para que os logs do seu servidor web mostrem os endereços IP dos visitantes originais (em vez dos endereços IP do proxy reverso do Cloudflare).
Assim que estiver tudo configurado, vamos dar uma olhada na configuração Modo Estou Sendo Atacado no firewall do Cloudflare.
Passo 2 – Habilitando Modo Estou Sendo Atacado
Por padrão, a segurança do firewall da Cloudflare está definida como Médio. Isso oferece alguma proteção contra visitantes considerados uma ameaça moderada, apresentando a eles uma página de desafio antes de permitir que continuem acessando seu site. No entanto, se o seu site for alvo de um ataque DDoS, isso pode não ser suficiente para manter seu site operacional. Nesse caso, o Modo Estou Sendo Atacado pode ser apropriado para você.
Se você habilitar esse modo, qualquer visitante do seu site verá uma página intermediária que realiza algumas verificações no navegador e atrasa o visitante por cerca de 5 segundos antes de encaminhá-lo para o seu servidor. Vai se parecer algo assim;
Se as verificações passarem, o visitante terá permissão para acessar seu site. A combinação de impedir e atrasar visitantes mal-intencionados de se conectar ao seu site muitas vezes é suficiente para mantê-lo funcionando, mesmo durante um ataque DDoS.
Nota: Os visitantes do site devem ter JavaScript e Cookies habilitados para passar pela página intermediária. Se isso não for aceitável, considere usar a configuração de segurança do firewall “Alto” em vez disso.
Tenha em mente que você só deve ter o Modo Estou Sendo Atacado ativado quando seu site for vítima de um ataque DDoS. Caso contrário, ele deve ser desativado para não atrasar os usuários normais de acessar seu site sem motivo.
Como Habilitar o Modo Estou Sendo Atacado
Se você deseja ativar o Modo Estou Sob Ataque, a maneira mais fácil é ir para a página Visão Geral do Cloudflare (a página padrão) e ativá-lo na barra lateral direita:
As configurações de segurança mudarão imediatamente para o status de Estou Sob Ataque. Agora, qualquer visitante do seu site será apresentado com a página intermediária do Cloudflare que foi descrita anteriormente.
Como Desabilitar o Modo Estou Sob Ataque
Como o Modo Estou Sob Ataque deve ser usado apenas durante emergências de DDoS, você deve desativá-lo se não estiver sob ataque. Para fazer isso, vá para a página Visão Geral do Cloudflare e desative-o. Isso abrirá um modal como este:
Em seguida, selecione o nível de segurança para o qual você deseja mudar. O modo padrão e geralmente recomendado é o Médio.
Seu site deve voltar ao status Ativo, e a página de proteção contra DDoS será desativada.
Conclusão
Agora que o seu site está usando o Cloudflare, você tem mais uma ferramenta para protegê-lo facilmente contra ataques DDoS baseados em HTTP. Existem também várias outras ferramentas que o Cloudflare oferece e que podem ser do seu interesse para configuração, como certificados SSL gratuitos. Sendo assim, é recomendável que você explore as opções disponíveis e veja o que é útil para você.
Você pode obter mais informações sobre como usar o Cloudflare para proteger seus sites em nosso tutorial Como Hospedar um Site Usando o Cloudflare e o Nginx no Ubuntu 22.04.