Bagaimana cara memaksa Apache untuk menjawab hanya untuk Cloudflare?


1

Saya yakin Anda semua tahu apa itu Cloudflare (ini adalah CDN yang sangat terkenal).

Yang ingin saya lakukan adalah memaksa server HTTP Apache saya untuk HANYA menjawab Cloudflare. Saya ingin Apache mengabaikan dan menutup atau tidak menanggapi soket masuk yang tidak cocok dengan daftar IP. (di tingkat Apache cor, sebelum mencapai PHP dll)

Saya memerlukan ini untuk melindungi situs web saya dari DoS / DDoS memetikan seseorang mendapat IP server web asli saya.

Saya memiliki orang ini yang membuat 1.200 koneksi TCP ke server web saya, dan koneksi ini tidak mengirim apa-apa, mereka hanya tetap terbuka dan hidup, yang membuat server web saya down untuk sementara waktu.

Saya seorang pemula total di konfigurasi Apache dll, saya perlu petunjuk langkah demi langkah. Saya menggunakan Windows Server 2008.


Melakukan ini tidak akan mencegah serangan DoS / DDoS.
Ramhound

@Ramhound Itu tergantung pada serangan itu. Jika SYN dibanjiri, maka beralih ke daftar putih menggunakan firewall akan mencegahnya terkena serangan tertentu (dengan asumsi ia melindungi semua port terbuka). Anda benar karena tidak akan menghentikan semua serangan.
Darth Android

Mungkin juga meletakkan sesuatu di depan Apache (seperti NginX) untuk menghentikan serangan Slowloris ?
Vi.

Jawaban:


2

Kami (CloudFlare) melakukan sesuatu untuk ini di basis pengetahuan kami kemarin untuk Apache.


Woow kalian ada dimana-mana! Terima kasih, tetapi menggunakan ini akan mencetak "Forbidden page error", apakah ada peluang saya dapat memaksa soket untuk tidak dibuat di Apache? (Untuk membuatnya tampak seperti tidak ada server web yang di-host di IP saya)
Reacen

Ini bagus bahwa ada perusahaan yang mendukung pelanggan mereka seperti ini :) @Reacen Untuk membuatnya tampak seperti tidak ada server web, Anda harus menjatuhkan paket dengan firewall sebelum mereka mendapatkan apache. Satu-satunya cara apache tahu untuk memblokir adalah dengan terlebih dahulu membuka soket dan melihat siapa yang ada di sana, sementara firewall dapat melihat ke dalam paket langsung sebelum soket dibuka. Tidak hanya akan terlihat seperti tidak ada server web pada port 80, tetapi seluruh komputer tidak akan terlihat pada port 80.
Darth Android

Terima kasih hanya memposting tautan, yang sekarang sudah mati. Sangat keren bahwa CloudFlare tidak dapat diganggu untuk mengikuti panduan komunitas.
Kerin

Tautan itu diposting lebih dari setahun yang lalu. Sistem dukungan kami berubah tahun lalu menjadi sistem Manajemen Konten baru & tautannya berubah. Sama sekali bukan pelanggaran pedoman komunitas karena tautan berubah. Kami sebenarnya tidak merekomendasikan untuk membatasi hanya pada IP kami, kecuali ada sesuatu yang benar-benar salah. Ini dapat menyebabkan masalah bagi situs Anda jika Anda menghentikan kami, yang berarti kami akan langsung menuju ke server Anda, jadi itu tidak akan menerima koneksi karena itu bukan IP kami.
damoncloudflare

1
"Tidak ada Tender di sini!" Bisakah Anda memperbarui tautan?
guaka

3

Jika Anda ingin membatasi akses ke port 80 Anda ke daftar IP tertentu, maka Anda harus melihat ke dalam menggunakan iptables (mungkin linux) atau solusi firewall lain untuk menjatuhkan semua koneksi masuk ke port 80 yang bukan dari IP pada daftar putih.


Ide yang bagus! Saya harap firewall Windows dapat mengizinkan ini, terima kasih banyak
Reacen

-1

Ini mungkin membantu Anda:

Jika Anda ingin membatasi akses ke port 80 Anda ke daftar IP tertentu, maka Anda harus melihat ke dalam menggunakan iptables (mungkin linux) atau solusi firewall lain untuk menjatuhkan semua koneksi masuk ke port 80 yang bukan dari IP pada daftar putih.

DDOS - Perlindungan Instan dengan CloudFlare


Selain tautan, ini adalah kata demi kata yang identik dengan salah satu jawaban dari tiga tahun lalu. Tolong jangan memposting jawaban kecuali Anda benar-benar memiliki sesuatu yang baru untuk disumbangkan.
G-Man
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.