连接到 CloudFlare 后更改服务器 IP

Question

我最近注册了 CloudFlare，以利用该服务提供的安全功能。具体来说，我对它用于抵御 DDOS 攻击（这是我面临的一个问题）感兴趣。

我的 Web 应用程序使用 nginx 作为反向代理（使用 gunicorn 作为应用程序服务器）。基于 Ubuntu 的虚拟机 - 通过 Azure 采购 - 具有静态/保留 IP（用作 VIP）。我已经读过，在连接到 CloudFlare 后，最好更改服务器 IP，这样恶意行为者就无法直接对所述服务器进行 DDOS。

作为新手，我不确定该指南是否适用于公共 VIP（虚拟 IP）或内部 IP（完全不同）。有人可以在概念上和功能上为我澄清吗？真的需要一些帮助来设置它！

Answer 1

像CloudFlare 这样的服务的作用就像为您的网站提供CDN。它们成为您向客户交付内容的前端，同时拥有庞大的网络（资源，即DDoS 消耗的带宽）。然后你的IP 就被反 DDoS 服务提供商知道，代表你获取内容并交付。

如果IP 以任何方式泄露，整个防御机制将变得毫无用处，因为攻击者可以直接指向您的计算机，而CloudFlare 中的dynamic DNS 会将请求分发到其网络并通过它们为客户端提供服务。

由于您的网站在您迁移到 CloudFlare 之前已经运行了一段时间，因此攻击者知道您当前的公共 IP 并且隐藏在 CloudFlare 后面是无用的，因为他们不会询问 CloudFlare DNS 服务和直接攻击你的服务器。这就是您需要一个新的IP 的原因，并且无论如何都不应该透露新的IP。只需将其设置在您的CloudFlare 面板中，不要将其用于其他目的。

Answer 2

我也遇到过攻击并使用 CloudFlare 来阻止它们，但是，我已经学会了如何自己执行这些攻击，以及如何绕过 CloudFlare 并关闭受保护的网站。最佳做法是自己保护您的服务器。使用 nginx 作为反向代理是一个不错的选择。