合理配置CDN,通过防盗链配置,封顶配置,UA 黑白名单配置,动静态分离,链接限速减少流量被刷风险

前言

很多站长都面临着网站速度慢、静态资源多、网站防御等挑战,因此他们需要使用CDN来进行加速或增强防御。尽管普通的CC工具能够应对一般情况,但一旦遭遇DDoS攻击或其他高级攻击手段,这些工具往往就难以招架。有些站长甚至因为一次攻击,一觉醒来就发现自己的一个月工资化为乌有。因此,我积极寻找了一些实用的方法来帮助站长们减少被刷的流量,保护他们的网站安全。

配置防盗链

通过对用户 HTTP Request Header 中 Referer 字段的值设置访问控制策略,从而限制访问来源,避免恶意用户盗刷。

注意:如果加速域名是用于 Web 网页访问,开启白名单模式后,白名单以外的外链访问都将被拒绝(包含搜索引擎),请审慎填写,或者考虑将静态资源单独添加一个加速域名再配置域名白名单。

举例:我用了两个cdn,一个是又拍云,一个是多吉云,多吉云用来加速网站,又拍云用来加载静态资源,只建议对又拍云进行设置,也就是对你只加载静态资源的域名进行设置,否则你的网站也将会变得不可访问

图片[1]-合理配置CDN,通过防盗链配置,封顶配置,UA 黑白名单配置,动静态分离,链接限速减少流量被刷风险

用量封顶配置

开启后,如果域名在指定时间段内流量或者平均带宽超过你设定的封顶值,将停用加速(解析回源或者直接返回 404)。

图片[2]-合理配置CDN,通过防盗链配置,封顶配置,UA 黑白名单配置,动静态分离,链接限速减少流量被刷风险

当然如果你使用的是又拍云那就没办法了,他们不让设置,超量后就开始自动计费

区域访问控制

在网络安全领域,区域访问控制功能可以对某些区域的IP访问进行限制,实现按区域进行访问控制的效果。用户可以根据实际需求,设置国家或地区控制。例如,有些网站可能只允许中国大陆IP访问,或者屏蔽中国大陆IP访问,而其他国家和地区可以正常访问。这种设置模式可以根据用户分布情况进行选择,以提高网站的安全性和访问效率。

大多数的攻击都是从国外发起的,所以我基本不对国外进行cdn加速

图片[3]-合理配置CDN,通过防盗链配置,封顶配置,UA 黑白名单配置,动静态分离,链接限速减少流量被刷风险

UA 黑白名单配置

黑名单通常用于禁止某些User-Agent的访问。如果某个User-Agent被加入黑名单,那么带有该User-Agent字段的HTTP请求将无法访问到相应的资源。即使请求到达了CDN节点,也会被节点拒绝并返回403错误。

白名单则相反,它只允许在白名单内的User-Agent访问资源。这意味着,只有User-Agent字段被明确配置到白名单内的HTTP请求,才能够访问到相应的资源。

白名单配置示例

允许特定版本的浏览器访问网站。例如,只允许Chrome 80及以上版本访问:

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.*

允许来自特定设备或操作系统的请求。例如,只允许iOS设备访问:

User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.0 Mobile/15E148 Safari/605.1

黑名单配置示例

根据安全日志或情报,将已知的恶意User-Agent添加到黑名单中,以防止潜在的攻击或威胁。

  1. 恶意爬虫
    • python-requests/2.25.1:被恶意爬虫广泛使用的User-Agent,用于自动化抓取数据。
    • Scrapy/1.8.0 (+https://scrapy.org):Scrapy是一个强大的Python爬虫框架,常被用于非法抓取内容。
  2. 自动化工具
    • curl/7.68.0:命令行工具curl的User-Agent,可能被用于自动化测试或攻击。
    • wget/1.21:wget是另一个常用的命令行下载工具,也可能被用于恶意活动。
  3. 搜索引擎爬虫伪装
    • Googlebot/2.1 (+https://www.google.com/bot.html):伪装的谷歌爬虫User-Agent,可能用于绕过某些防护措施。
    • Baiduspider:伪装的百度爬虫User-Agent,同样可能用于恶意行为。
  4. 其他已知的恶意User-Agent
    • Java/1.8.0_201:Java相关的User-Agent,可能用于利用Java的漏洞进行攻击。
    • Blackhole:与某些已知的黑洞攻击相关的User-Agent。

黑名单规则:

User-Agent: *python-requests*  
User-Agent: *Scrapy*  
User-Agent: *curl*  
User-Agent: *wget*  
User-Agent: *Googlebot/2.1*  
User-Agent: *Baiduspider*  
User-Agent: *Java/*  
User-Agent: *Blackhole*

单链接限速

开启功能后下方规则才会生效。可以限制客户端下载某个链接的速度,一定程度上缓解 CDN 带宽流量使用。只能限制单个连接,无法限制用户使用多线程下载工具提速下载。

图片[4]-合理配置CDN,通过防盗链配置,封顶配置,UA 黑白名单配置,动静态分离,链接限速减少流量被刷风险

动静态分离

网站CDN动静态分离是一种优化网站性能的策略,通过将静态资源(如HTML、JavaScript、CSS、图片等文件)与后台应用分开部署,从而提高用户访问静态代码的速度,降低对后台应用的访问压力。这种策略对于大型网站尤为重要,可以有效解决因流量过大或资源访问量巨大导致的性能瓶颈问题。

逆向思维:如果你有一台高防服务器,你可以减轻cdn的压力,让所有动态访问回源到服务器上,通过服务器抗伤害减少流量被刷,我就是这么操作的,所以每次被打秒下线,没有实力的站长还得老老实实的用上面的几种办法

© 版权声明
THE END
支持我嘛~
点赞5 分享
碎语词话 共7条

请登录后发表评论

    • 头像蜡客小生0
    • 头像不凡0
    • 头像九狐昊1