前面说到,小陶的网站逐渐被各种攻击。除去cc和DDos攻击不说,也发现有不少扫描、窃取等攻击。而且攻击的来源大部分都是境外的ip,这里不得不夸赞一下国内的监管真的很好,不然全乱了。根据明月登楼大佬的建议,我决定给自己的网站的境外路线接入CloudFlare,这几乎能防住大部分的攻击,而且完全免费。但是,从2021年11月开始,CloudFlare禁用了Partner使用的zone_setAPI以避免滥用(因为该API接入不需要验证域名所有权),通过Partner实现CNAME接入的方式近乎落幕。但是可以通过CloudFlare for SaaS 来实现免费 CNAME接入。每个账户可以有 100 个域名免费额度。

我记录了被打经历:

我怂,别打了!记录typecho网站第一次被cc攻击的经历

今天再遇CC攻击,真是得不到就毁掉

谨防网络小偷,不注意可能整个站都会被偷了_做好网站备份文件的保护

也在各种斗智斗勇:

在censys里已经存留服务器ip记录仍然可以选择删除或退出,本站已在censys中删除服务器ip记录

弃用gmail的smtp服务,typecho评论邮件通知改用阿里云邮件推送服务,每天免费额度200条

利用宝塔设置禁用ip访问网站并添加假SSL证书隐藏域名信息的图文详细教程

2022年给博客接入百度云CDN免费版详细演示教程

当然还有很多攻击和防御我没有记录。

对于草根站长而言,最佳的免费方案确实如明月登楼大佬所说的,将国内路线解析到奇安信网站卫士,将境外路线解析到Cloudflare,不仅免费,也很实用!对于个人站长来说,是非常值得做的。

明月登楼大佬的建议

准备工作

前面也说了,从2021年11月开始,CloudFlare禁用了Partner使用的zone_setAPI以避免滥用(因为该API接入不需要验证域名所有权),通过Partner实现CNAME接入的方式近乎落幕。

所以需要准备两个域名。一个用于放到CloudFlare托管DNS,另一个是用来保护的。

以我的本次演示为例,中间域名是tsharing.top,真正保护的域名是52txr.cn。这个中间域名不需要备案,能用就行。如果实在阿里云、腾讯云等地方购买,可能需要实名认证才能进行解析。这个域名当然是越便宜越好,只是个工具域名。当然也可以去看看国外的域名。只需要拥有所有权,能够修改DNS就行。

较为便宜的域名

利用国内第三方DNS,可以达到分线路解析的目的。我选择的是腾讯云的DNSPod,因为我的服务器就是腾讯云的。我记得阿里云解析也是可以实现分路线进行解析的。

中间域名新建Zone

1、点击添加站点

新建Zone

(要是都操作完毕显示待处理的名称服务器更新表示还没成功,我这个是之前就已经接入了。)

2、选择0元套餐

3、查看解析记录

4、修改DNS为CloudFlare的服务器:

everton.ns.cloudflare.com
mckenzie.ns.cloudflare.com

修改DNS

阿里云修改DNS服务器:登录云解析管理控制台——>在【域名列表】中,单击托管的域名——>单击左侧【DNS修改】,然后在右上角点击【修改DNS服务器】

腾讯云修改DNS服务器:选择 “云产品 > 域名与网站 > 域名管理”,进入 “域名管理” 页面。在 “基本信息” 栏中,单击 “DNS 服务器” 的【修改】。

具体修改可以在网上找找,非常多的图文详细教程。

开通CloudFlare for SaaS

建议注册个PayPal,用邮箱就行,不会产生扣费。我已经亲测了。

打开网站配置页面,并且找到 SSL/TLS 下的自定义主机名。订阅 CloudFlare for SaaS。

开通CloudFlare for SaaS

会提示有100个免费额度。

100个免费额度

设置回退源及自定义主机域

首先设置一个中间域名的子域名,也会是后面真正保护域名的cname地址。

设置子域名

然后打开 SSL/TLS 下的自定义主机域,在回退源中,填写设置好的域名,并且点添加回退源,等待生效。

设置回退源

验证主机域名

TXT验证

等到证书状态主机名状态都是有效的时候,说明设置成功了。

境外路线CNAME解析

在52txr.cn的DNSPods中,添加境外路线的解析。

境外路线添加cname解析

(我的境内路线接到的时奇安信网站卫士)

将CloudFlare的ip加入白名单

Cloudflare 官方公布了他的IP段,下面也列出了,官方的网址是最新的:

Cloudflare 官方ip段

**2022年8月20日官方最新的ip段**

加入Nginx防火墙的版本(一行一个):
103.21.244.0/22
103.22.200.0/22
103.31.4.0/22
104.16.0.0/13
104.24.0.0/14
108.162.192.0/18
131.0.72.0/22
141.101.64.0/18
162.158.0.0/15
172.64.0.0/13
173.245.48.0/20
188.114.96.0/20
190.93.240.0/20
197.234.240.0/22
198.41.128.0/17

加入系统防火墙的ip段版本(如果添加多个IP请用","隔开):
103.21.244.0/22,103.22.200.0/22,103.31.4.0/22,104.16.0.0/13,104.24.0.0/14,108.162.192.0/18,131.0.72.0/22,141.101.64.0/18,162.158.0.0/15,172.64.0.0/13,173.245.48.0/20,188.114.96.0/20,190.93.240.0/20,197.234.240.0/22,198.41.128.0/17

如何在宝塔里加入想必不用多说,第一个是Nginx防火墙里加入ip白名单,第二个是在系统防火墙里加入ip的放行:

Nginx防火墙

系统防火墙的ip段版本

出现“将您重定向的次数过多”或“ERR_TOO_MANY_REDIRECTS”错误

只需调整 CloudFlare SSL/TLS 设置,将SSL修改为“完全”即可。

修改为完全


博主个人公众号
版权声明 ▶ 本网站名称:陶小桃Blog
▶ 本文链接:https://www.52txr.cn/2022/cfcname.html
▶ 本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行核实删除。
▶ 转载本站文章需要遵守:商业转载请联系站长,非商业转载请注明出处!!

最后修改:2022 年 08 月 20 日
如果觉得我的文章对你有用,请随意赞赏