小樱 发表于 2022/7/31 23:10

cloudflare cf cdn邮件通知 误报 DDoS 攻击警报 已自动检测并缓解 HTTP DDoS 攻击 类型 HTTP 泛洪 请求比率 2.0k rps 解决防火墙事件安全性误封阻止用户ip地址访问 频率保护

cloudflare cf cdn邮件通知 误报 DDoS 攻击警报 已自动检测并缓解 HTTP DDoS 攻击 类型 HTTP 泛洪 请求比率 2.0k rps 解决防火墙事件安全性误封阻止用户ip地址访问 频率保护

问题现象
由于网站用户活跃率高,页面访问量比较大,所以经常会触发误报,引起错误强制启用了HTTP DDoS保护,引起阻止用户访问导致误封
cloudflare cdn默认对2k每秒访问的情况,直接就默认强制启用HTTP DDOS防护引起这个问题现象。

当然,这也表明了,cf cdn对大于2000每秒连接数访问才会启用DDOS攻击保护,所以极大部分小型网站站点,都达不到这个访问量。
包括攻击者攻击可能就发起50连接数一秒就能干趴一个网站的原因,因为攻击太小导致cf不承认这是攻击,所以还没对网站启用HTTP DDoS保护。

问题症状如下图







解决办法,进入安全性,DDoS,DDoS 防护找到如下进入配置选项


HTTP DDoS 攻击防护
自动缓解基于 HTTP 的 DDoS 攻击,如 HTTP 泛洪、HTTP 放大攻击和 HTTP 反射攻击。


点击浏览规则


规则配置
浏览规则,为特定标记或各个规则配置操作和状态。


点击标记:gatebot


搜索描述或者规则ID:Global L7 attack mitigations
c9f18c647ae745c6b81b459d8ed59b32


修改敏感度,默认值为高,设置成中,然后保存。
至于改成中,还不知道默认阈值会提高到多少才启用,有待测试,到时候会补充帖子。


时隔多年,cf终于提供给用户关闭的选项了,困扰了我多年的问题。。。看看我以前帖子吐槽
而且现在好像是升级更新到可以对单个二级域名起效果了,发现其它子域名没有触发HTTP DDoS。
cloudflare cf cdn何时会启用HTTP DDoS防火墙触发拦截?我是否能关闭它?
https://bbs.itzmx.com/forum.php?mod=viewthread&tid=96605&fromuid=1

2022年8月14日补充帖子:
测试了一段时间,发现修改灵敏度为中,偶尔还是会报,不过一天基本就一两次误报,,,没那么频繁了。看数据还是2k rps就报,看来灵敏度=一段时间平均流量检测的意思。所以想想都知道,改成低肯定也没用,需要改成关闭。
你们想知道网站的访问数据?
每天1B左右,3M独立访客,如下图




页: [1]
查看完整版本: cloudflare cf cdn邮件通知 误报 DDoS 攻击警报 已自动检测并缓解 HTTP DDoS 攻击 类型 HTTP 泛洪 请求比率 2.0k rps 解决防火墙事件安全性误封阻止用户ip地址访问 频率保护