Настройка CloudFlare для защиты от DDOS-атак

05.03.2022
Ввиду внешних обстоятельств, начиная с февраля 2022 года – существенно повысилась частота DDOS-атак на сайты в российском сегменте. Чтобы обезопасить сайт и сервер от сбоев и простоя – настоятельно рекомендуем подключить сервис CloudFlare ДО миграции и делегирования доменов на наш хостинг.

Напоминаем, что на тарифах хостинга предоставляется DDOS-защита для отражения атак малого и среднего уровня. Для отражения целевых атак есть отдельные тарифы с встроенной DDOS-защитой. Если ранее не приобретался тариф с DDOS-защитой, то в случае возникновения целевой атаки – сайт будет недоступен до тех пор, пока не появится возможность включить защиту CloudFlare и сменить IP вашего сервера. Смена текущего тарифа на тариф с защитой от DDOS-атак не повлияет на ситуация, если атака уже ведется.
 

В данной статье подробно описывается методика превентивной защиты от DDOS-атак с помощью CloudFlare, а также описаны шаги на случай, если атака на ваш сайт уже ведется.

Для подключения домена для защиты сайта от DDOS-атак с помощью сервиса CloudFlare – по требуется создать учетную запись. Пройдите по ссылке https://dash.cloudflare.com/sign-up (введите Email и пароль, нажмите кнопку "Create Account").

Обязательно сохраните логин и пароль в надежном месте, чтобы не потерять контроль над управлением аккаунтом для ваших доменов.

После регистрации на указанный вами email поступит письмо от сервиса CloudFlare для верификации аккаунта:

В открывшемся окне нажмите на ссылку “Continue to the dashboard”:

Далее добавьте ваше доменное имя в сервис:

 

 

 

 

Выберите бесплатный тарифный план "Free":

Сервис CloudFlare попытается считать текущие DNS-записи вашего домена:

Если записи были доступны, то они будут автоматически внесены в список.
Если записей не обнаружится, то их следует добавить вручную.

Пример заполненных полей для записей домена:

 

В полях, где требуется IP – необходимо указать актуальный IP-адреса основного сервера. IP-адрес сервера можете уточнить в нашей поддержке.
Если сайт находится под DDOS-атакой, то об этом следует указать в запросе. В этом случае вам будет предоставлен выделенный IP для CloudFlare.

Обратите внимание, что все записи с типом А должны быть с включенным параметром “Proxied”, иначе IP-адрес сервера не будет скрыт и DDOS-защита не будет работать. Не переключайте режим “Proxied” в выключенный статус даже на короткое время.

Также не должно быть txt записей с упоминанием IP-сервера и mx-записей для локального почтового сервера (если он используется). В случае, если используется локальный почтовый сервер, то почту необходимо мигрировать на сторонний почтовый сервер (Yandex, Mail.ru, Gmail и др.).

 

После того, как были внесены необходимые записи - нажмите кнопку “Continue”.
CloudFlare предложит свои новые NS-серверы для вашего домена, которые нужно изменить в личном кабинете регистратора вашего домена:
 

Далее необходимо авторизоваться в личном кабинете вашего доменного регистратора и изменить NS-записи домена на предоставленные CloudFlare.

Пример изменения NS-записей домена у регистратора REG.RU:

 

 

 

 

 

После того, как NS-записи домена были изменены требуется от 3 до 12 часов до их фактического вступления в силу.
Проверить смену NS-записей домена можно через любой whois-сервис, например: whois7.ru

Как только записи внесены, то в личном кабинете CloudFlare можно нажать кнопку “Done, check nameservers”. Сервис выполнит проверку NS-записей (это может занять до 10 минут).

После необходимо включить поддержку https для сайта с помощью бесплатного сертификата CloudFlare. Для этого перейдите в раздел “SSL/TLS” и включите режим “Full”, как на скриншоте:

 

Основная настройка для включения фильтрации вредоносного трафика (DDOS) находится в разделе “Security” > “Settings”. Установите параметры, как указано на скриншоте, если на сайт в момент времени не ведется ddos-атака. Если атака ведется, то в поле Security Level установите параметр “I’m Under Attack!”:
 

Параметры в этом разделе влияют на то, как страницы сайта будут отображаться пользователям. Например, если установлен параметр “I’m Under Attack!” в поле Security Level, то всем посетителям сайта будет отображаться заглушка CloudFlare на первые 3-5 секунд. Если сила атаки снижается, то можно также пробовать снижать степень защиты в поле Security Level и внимательно следить за состоянием сайта.

Перейдите в раздел “Security” > “Bots” и включите режим “Bot Fight Mode” для борьбы с бот-трафиком:

 

Для включения защиты от атак на уровне L7 необходимо перейти в раздел  “Security” > “DDoS” и установить параметры, как на скриншоте:

Защита от DDOS-атак предоставляемая сервисом CloudFlare является достаточно эффективной мерой, но при условии изначальной настройки перед тем, как размещать сайт на хостинге.

Если DDOS-атака произошла без подключенной защиты от CloudFlare, то вам потребуется обратиться в поддержку для пояснения ситуации и получения квалифицированной помощи.

При высоких уровнях вредоносного трафика (перегрузка канала) и без включенной превентивной защиты – оперативно решить проблему с доступностью сайта будет невозможно. Определенные сроки решения в подобных ситуациях не указываются.