Защищаем сайт при помощи CloudFlare! Печать
04.07.14 12:10

Защищаем сайт при помощи CloudFlare!


CloudFlare — в моем понимании это фильтр, который срабатывает в момент ответа на вопрос «где itcooky.com?», «а вот он по этому IP». DNS это делают тупо автоматом, а CloudFlare проверяет запросы, «этому скажу, а этот в ботнете, а этот чего так часто спрашивает — нет этим не скажу!». Еще он немного(не знаю в бесплатной версии на сколько) кеширует статику. Кэширование даже на уровне сайта сильно помогает — memcached и уже дышится легче, а тут даже сайт теребить не приходится, даже если он упадет будет открываться то что в кэше(ну так говорят)! Так же он еще и собирает статистику(в бесплатной версии за вчера, 7 и 30 дней) которая 100% потому что учитывает запросы домена, не надо ставить коды как в Google Analytics!

Analytics_CloudFlare_The_web_performance_&_security_company_-_2014-06-28_15.18.41

Но конечно не от всех зловредин CloudFlare спасает. Роскомнадзор часто блокируют CloudFlare — но их можно понять, их айтышникэ только дочитали в Википедии статью Интернет, а за IP и DNS еще даже не брались!!!! В реале мы получаем с CloudFlare защиту от спамеров, и прочих угроз применяемых ботнетами (DDOS, тинаботы, вирусы передающиеся портовым путем) которые попадают в черные списки CloudFlare(а так как у них много сайтов такой список им очень легко сделать, в отличии от отдельно стоячего сайта),в качестве стоящего способа спрятать реальный IP от мира, я его не рассматриваю… ну только если от Роскомнадзора, остальные школьники смогут его узнать!

Идем на сайт www.cloudflare.com и регистрируемся!

Sign_up_CloudFlare_The_web_performance_&_security_company_-_2014-06-26_10.48.41

Это самый сложный этап, безопасность процесса очень заобесчпеченная, имена практически все заняты, придется раз десять все по новой ввести пока найдется свободное имя(запоминанемое).

На следующей странице пишем адрес нашего сайта. CF его сканирует! Выдает найденные записи!
Configure_DNS_CloudFlare_The_web_performance_&_security_company_-_2014-06-26_11.12.14

Розовеньким помечено MX запись для почты, её нет, надо её тут же удалить чтобы не мешалась! Напротив остальных оранжевое облако значит на них будет включен CF, если облако серое нет!

На следующей странице выбриаем план FREE и все по умолчанию! Тут он меня пугает что нашел на моем сайте SSL и что FREE версия его не поддерживает! ХА! От куда взяться SSLу если я его не настраивал!

Choose_settings_CloudFlare_The_web_performance_&_security_company_-_2014-06-26_11.18.51

На следующей странице CF показывает что у нашего регистратора домена, где хранится запись о нашем домене нужно помянеть для домена itcooky.com
Update_Your_Name_Servers_CloudFlare_The_web_performance_&_security_company_-_2014-06-26_11.22.15

Для продолжения надо зайти доменным администратором, к своему регистраторы и поменять одно на другое в личном кабинете!
Находим Редактирование списка DNS-серверов для домена ITCOOKY.COM
Добавляем в Свой список DNS-серверов со страницы CF
ed.ns.cloudflare.com
ivy.ns.cloudflare.com

Там же в кабинете смотрим Очередь заданий это все не быстро делается, но там сообщат Command completed successfully, еще должно пройти значительное время пока на всех DNS по миру это информация обновится!

Идем обратно на CF страницу там жмем I’have update my чего то там через несколько минут он сообшает что DNS свервера изменились но это пока только для него, изменения с деланные у регистратора домена еще не проявились!

Заметно это по пингу! Как только начнет пинговаться IP CloudFlare значит заработало!
ping itcooky.com
Прошло полчаса и начал пинговаться новый IP
64 bytes from 108.162.196.27: icmp_seq=2 ttl=56 time=66.0 ms

Правда вот это через раз меня, как то в ступор вводит…

Новый IP пингуется на 20 ms быстрее старого…

Через день два, пинг уже исключительно на IP CloudeFlare и статистика пошла, и вообще ничего не изменилось стало только чуток быстрее!!!

Насчет сокрытия реального IP
Повторяю для Роскомнадзора — его нет, реального сокрытия реального IP нет, есть легко разрушаемая иллюзия этого!!!

Если скажем у вас стоит Nginx и слушает в:
server_name *.itcooky.com www.itcooky.com itcooky.com
То www.itcooky.com itcooky.com будут пинговаться по IP CloudeFlare, а что-то типа bereberbere.itcooky.com по айпи вашего хостера!

Если звездочку убрать (из настроек Nginx и из DNS settings в CloudFlare) то уже не любой школьник сможет узнать реальный IP(вот через этот сайт) — придется воспользоваться Google Поиском и спец. сайтами для деанонимизации(вот через этот сайт)!!!

Кстати про Nginx, хорошо бы, для отражения DDoS атак, чтобы он не показывал сайт по реальному IP, для этого добавляем в него
server {
listen 111.222.33.44:80;
server_name 111.222.33.44;
return 444;
}

Выдает ошибку и вредного трафика, потому что по IP нет заворота на CloudFlare только по домену и следовательно нет проверки на боты и атаки, не создается!

Работа CloudFlare при недоступности вашего сайта
Ха! Что происходит в этом случае продемонстрировал сам сайт CloudFlare, он сам на своей системе, и падает отдельно от неё :@))))))))))))))
Login_CloudFlare_The_web_performance_&_security_company_-_2014-06-29_21.04.06
Вот такая надпись сверху, будет появляется если сайт от источника не запитан, но есть в памяти CloudFlare!!!

Но не факт что это будет наш сайт, толи из-за WordPress но с itcooky.com такого же не случилось!
Website_is_offline_522_Connection_timed_out_-_2014-07-01_11.16.01

Статистика
Статистика странная — не информативная! Вчера в понимании CloudFlare это время с позавчера 18:00 до вчера 18:00… Вот за 29 июня, то что показал CloudFlare и Google Analytics
stat

Я думал в CloudFlare циферки будут больше, не потому что все все запросы проходят через него, а хотя бы потому что Google Analytics стоит не на всех страницах и файлах(на которые его и не поставишь)! Но вот так это выглядит, не совпадения с реальностью не знаю как объяснить!

 

источник: http://www.itcooky.com/?p=3274

ссылка на материал: http://www.thin.kiev.ua/web/38-web/2449-cloudflare.html

{jcomments on}

Последнее обновление 04.07.14 12:15