Как добавить сайт в cloudflare и зачем это нужно

В чем особенности Cloudflare?

Некоторые из функций Cloudflare указаны ниже:

Быстрый и глобальный CDN: его быстрая глобальная инфраструктура CDN ускоряет работу интернет-приложений и мобильных устройств, обеспечивая доступность приложений. Другими словами, его сеть из 200 центров обработки данных в разных странах может уменьшить задержку и может значительно улучшить работу в Интернете для глобальных пользователей.

Улучшенный веб-интерфейс: вместо того, чтобы отправлять все запросы из разных уголков мира на один сервер, запросы распределяются на 200+ серверах Cloudflare, расположенных в разных местах. Он уравновешивает рабочую нагрузку серверов и сохраняет доступность контента для пользователей.

Оптимизация веб-содержимого: Cloudflare предлагает интеллектуальную оптимизацию содержимого, удаляя ненужные символы из HTML, JavaScript и CSS, чтобы уменьшить размер файлов веб-сайта. Он также использует локальное хранилище для кеширования объектов, необходимых для наилучшего отображения веб-сайтов. Уменьшенный размер файла будет загружаться быстрее, следовательно, производительность будет выше.

Расширенный WAF: Cloudflare также предлагает адекватные решения безопасности для веб-сайтов корпоративного уровня для борьбы с серьезными атаками на безопасность, которые могут снизить производительность веб-сайта. Брандмауэр веб-приложений Cloudflare имеет опыт успешной борьбы с серьезными DDoS-атаками с максимальной скоростью 400 ГБ. Кроме того, применяемые правила WAF автоматически обновляются при обнаружении угроз безопасности. Вы также можете прочитать сравнение других CDN, например Sucuri против Cloudflare, Imperva против Cloudflare, Fastly против Cloudflare, Cloudflare против Stackpath, Cloudflare против Akamai.

Что такое CloudFlare

CloudFlare – это очень полезный сервис, который фильтрует трафик прежде, чем он попадает к вам на сайт. Соответственно, при правильной настройке можно не пустить на сайт спамеров.

У CloudFlare есть бесплатный пакет, и это не может не радовать. Конечно, там есть не весь функционал, но снизит нагрузку на ваш сервер он поможет, так что польза от него колоссальная.

Чтобы начать пользоваться CloudFlare, нужно зарегистрироваться и добавить свой сайт/сайты. После добавления каждый сайт сканируется (это занимает около минуты), а после сканирования вам показываются все найденные данные DNS, которые вы можете поменять. Но если не знаете точно, что и как, лучше ничего не трогайте, как я

Дальше будут еще настройки, где вы сможете выбрать План, уровень защиты и безопасности. Тут вы сами должны решить, что вам нужно. Все функции и объяснения – на английском, так что для тех, кто не знает английского, Google Translate в помощь.

Последний этап настройки заслуживает особого внимания. Он называется Update your name servers. Здесь сказано, что для активации вам нужно поменять свои DNS сервера на хостинге.

Для меня это был сложный момент, так как я не совсем понимала, безопасно ли это. Поэтому я забросила установку CloudFlare на пару недель, пока все совсем не стало плохо с атаками. После того, как я разобралась, все стало проще.

Меняя DNS сервера в панели своего хостинга со своих на те, что принадлежат CloudFlare, вы не меняете и не теряете хостинг! Весь трафик, идущий на ваш сайт, сначала попадает на сервера CloudFlare, фильтрутеся там согласно вашим настройкам, а потом попадает уже на сервера вашего хостера и на ваш сайт.

Такая схема помогает обрезать большую часть спамерского трафика и защититься от DDoS атак, предварительно поставив необходимые настройки.

Разновидности

Сделать систему не функционирующей на протяжении определённого времени намного проще, быстрее и дешевле, чем взломать. Затруднить доступ юзеров к какому-либо сайту можно несколькими способами.

1. Переполнение интернет-канала или флуд.

Самый распространённый алгоритм – занять всю ширину интернет-канала, чтобы запросы пользователей не могли попадать на сервер или хотя бы обрабатываться им. Для этого пишутся специальные приложения. Они открывают большое количество ложных соединений, число которых достигает максимально возможного поддерживаемого сервером, или посылают ложные запросы в огромном количестве.

2. SYN-флуд – переполнение вычислительных возможностей системы ложными запросами. После установки соединения система под каждый запрос выделяет определённое количество физических ресурсов сервера.

Злоумышленник отправляет пакет жертве, недожавшись ответа, изменяет свой IP-адрес и отправляет пакет данных повторно. На их обработку требуется больше времени, чем на изменения IP и отправку нового. Так исчерпывается физический ресурс сервера.

3. Захват аппаратных ресурсов – схож с предыдущим типом, его цель – загрузить центральный процессор жертвы на 100%.

Рис. 4 – Уровни модели OSI

4. HTTP и ping-флуд применяются для атаки серверов со сравнительно небольшой пропускной способностью, когда скорость интернета хакера меньше жертвы не более, чем на порядок, а то и вовсе больше.

Схема следующая: атакующий посылает небольшой пакет с таким содержимым, чтобы сервер ответил ему пакетом данных, на несколько порядков больше. После смены IP процесс продолжается, пока не приведёт к отказу последнего.

5. Smurf-атака. Самый серьёзный алгоритм ввиду большой вероятности того, что в обслуживании атакованной машины будет отказано.

Недоброжелатель применяет широковещательную рассылку посредством ping-ов. После отправки поддельного пакета киберпреступник изменят свой IP на адрес атакованной системы, из-за чего та сама себе посылает ответные пакеты. Когда количество атакующих возрастает, сервер попросту не справляется с обработкой посылаемых себе запросов.

Рис. 5 – Smurf — самая мощная атака

6. UDP-флуд – Жертве посылаются echo-команды, IP атакующего изменяется на адрес атакованного, который вынужден принимать собственные запросы в большом количестве и так до занятия ложными ответами всей полосы.

7. Переполнение вычислительных мощностей – посылание запросов, которые для обработки требуют много процессорного времени. Когда ЦП будет загружен на 100%, пользователи доступ к сайту не получат.

8. Переполнение HDD лог-файлами. Мы говорили о влиянии квалификации системного администратора на возможность осуществления атаки на серверы, которые тот обслуживает. Если неопытный человек не установит определённые лимиты на размер лог-файла или количество записей в нём, протоколирование многочисленных запросов займет всё дисковое пространство и выведет сервер из строя.

9. Недостатки кода. Профессионалы не опускаются до уровня рассылки запросов, они тщательно изучают систему жертвы и пишут эксплойты – небольшие программы, позволяющие использовать дыры системы в целях разработчика этих самых приложений. В большинстве случаев такой код провоцирует обращение к несуществующему пространству или недопустимой функции.

10. Атаки на кэш – подмена IP DNS-сервера на адрес жертвы. Запрос приводит не на страницу атакованного ресурса, а на сайт злоумышленника. При наличии огромного количества зомби-компьютеров они насыщают DNS-сервер запросами, ввиду чего тот не справляется с преобразованием IP в доменные имена.

При правильной конфигурации DNS вероятность успешной атаки опускается до ноля.

11. Layer 7 – на запрос сервер должен отправить тяжелый пакет, например, архив или pdf-файл.

Существуют платные ресурсы для осуществления киберпреступлений, как vDOS.

Он предоставляет услуги всем, не спрашивая имени пользователя и цели эксплуатации сервиса.

Как видим, методов осуществить атаку много, но при наличии соответствующих фильтров, отличающих ложные запросы от реальных, и квалицированного персонала, такая вероятность снижается в разы.

Разберёмся, как это делается.

Как проводятся атаки

Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia:

Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.

Так отображает деятельность ботнета сайт Norse-corp.com:

Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.

Так Logstalgia показывает DDoS-атаку:

Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.

Принцип работы Cloudflare

Cloudflare работает как фильтр
или как прокси между вашим сайтом и пользователями. Все запросы сначала поступают на серверы платформы и только затем перенаправляются вам. Благодаря этому подходу появляется возможность:

1. Скрыть свой IP-адрес от злоумышленников.
2. Защититься от DDoS-атак — Cloudflare проверяет трафик и блокирует подозрительные запросы.
3. Ускорить загрузку сайта за счет включения кэширования, за счет собственных высокоскоростных выделенных каналов связи и использования серверов, которые расположены ближе всего к пользователям.

Cloudflare предлагает все необходимые инструменты для защиты и ускорения сайта. Нужна минификация кода — пользуйтесь. Требуется SSL-сертификат — получаете его бесплатно при добавлении сайта в сеть.

Система DDoS защиты хостинга

Хостинг-провайдер является главным рубежом защиты сайтов и других размещенных ресурсов от распределенных атак «отказ в доступе». Из-за сложности реализации, у провайдеров нет единого стандарта DDoS-защиты.

Если попытаться обобщить имеющиеся практики, можно выделить 2 основных уровня предоставления подобных услуг. Реализация этих уровней у конкретных провайдеров может различаться в зависимости от компетентности сотрудников и наличия у компании достаточной технической базы.

Базовая DDoS-защита

Алгоритм базовой защиты

• Весь входящий трафик клиента анализируется по ряду показателей, способных сигнализировать о начале DDoS-атаки. В эти параметры входит количество уникальных IP-адресов, скорость доставки пакетов, скорость передачи данных и многое другое.
• Трафик фильтруется с помощью сторонних сервисов защиты от DDoS — центров очистки, в соответствии с заранее установленными правилами. Этот режим хорошо работает против широко распространенных объемных нападений, типа DDoS с использованием усилителей (DNS/NTP amplification) или атаки с использованием простого протокола обнаружения сервисов (SSDP).
• Система блокирует все подозрительные запросы. Только реальные пользователи получают доступ к сайту.

Базовую защиту от DDoS большинство крупных провайдеров предоставляют своим клиентам бесплатно. Однако, несмотря на широкую доступность, подобный защитный контур имеет и массу недостатков, прежде всего, отсутствие гибкости. Клиент не может настроить правила фильтрации под себя, что повышает риск пропуска атаки малого объема или полной блокировки IP-адреса жертвы при особо крупном нападении.

Базовый уровень дает защиту от большинства видов DDoS-атак, но подобный контур не может считаться универсальным решением, способным противостоять киберугрозам любого масштаба. Такой защитный контур подойдет небольшим веб-проектам или стартапам в качестве временной меры.

Продвинутая DDoS-защита

Алгоритм продвинутой защиты

• Устанавливаются дополнительные правила фильтрации трафика для всех уровней OSI, включая анализ содержимого пакетов на уровне L7.
• Включается возможность блокировки адресов или разрешения доступа к серверу на основе геолокации.
• Включается защита от сложных атак, типа UDP/SYN/ACK/RST Flood, всех видов объемных атак, атак на TLS-сервисы, а также смарт-атак с низким объемом трафика.
• Формируется индивидуальный защитный профиль для отдельного клиента, в зависимости от объема трафика и типа предоставляемых услуг.

Продвинутая защита от DDoS значительно расширяет возможности базового защитного контура, а также настраивать фильтры под нужды отдельных ресурсов. Эти меры позволят сайту «пережить» даже массированную DDoS-атаку с объемом, превышающим 5 Гбит/с. Весь вредоносный трафик будет заблокирован, начиная с первого запроса, а реальные клиенты смогут продолжать пользоваться веб-сервисом, не замечая никаких изменений в его работе.

Главный недостаток расширенной версии защиты от DDoS — подобная услуга в большинстве случаев предоставляется хостинг-провайдером на платной основе. Часто ее цена определяется индивидуально, в зависимости от объема работ по точной настройке сетевых фильтров и объема трафика, который нужно обрабатывать центрам очистки.

Как Eternalhost защищает от DDoS-атак

Система предотвращения распределенных атак типа «отказ в обслуживании» на нашем хостинге сочетает в себе главные преимущества базового и продвинутого уровня. Каждый клиент Eternalhost, вне зависимости от тарифа и вида услуг, может получить DDoS-защиту на всех уровнях OSI, а также круглосуточное сопровождение специалистами техподдержки.

Нашу «линию обороны» от DDoS условно можно разделить на три основных эшелона. Первый и второй — автоматические фильтры на стороне двух внешних центров очистки, перехватывающие вредоносный трафик на всех семи уровнях OSI. Третий — настраиваемые вручную фильтры на нашем собственном шлюзе. Последние часто приходится калибровать индивидуально для отдельных сервисов или клиентов.

Знакомимся с CSF

Это готовый конфигуратор правил, который позволяет управлять трафиком, перенаправлять порты и контролировать сеть. Проще говоря, если у вас не получается или нет на времени разобраться с IPTables, конфигуратор сделает это за вас. Нужно лишь правильно заполнить текстовый файл конфигурации – прописать в нём необходимые вам порты и адреса. Дальше файервол приступит к работе.

По личному опыту могу сказать, что CSF действительно избавляет администратора от лишней возни и проблем с IPTables. Главное – быть внимательным и проверять, что вы вносите в конфиг.

Не забудьте добавить в исключения своих администраторов и активных пользователей, которые частенько заливают файлы по FTP и имеют право что-то настраивать. Если этого не сделать, файервол может внезапно забанить и их, когда они пришлют чуть больше пакетов, чем указано в конфиге. 

Ставим серверный файервол 

Перед установкой межсетевого экрана необходимо установить два компонента, без которых ничего работать не будет. Это интерпретатор Perl и библиотека Library World Wide Web, сокращённо – libwww.

apt-get install -y libwww-perl

cd /usr/src

wget https://download.configserver.com/csf.tgz

Теперь распаковываем архив и перемещаемся в папку, где хранятся файлы нашего защитника, чтобы разобраться с ними.

tar xzf csf.tgz

cd csf

Дальше запускаем установку программы и проверяем, всё ли у нас впорядке с зависимостями – на месте ли необходимые компоненты.

sh install.sh

perl /usr/local/csf/bin/csftest.pl

В результате мы должны получить следующее: 

Это значит, что всё хорошо. Если у вас на данном этапе возникли какие-то ошибки, не игнорируйте их, а запрягайте поисковик, чтобы найти доступное объяснение проблемы и её решение.

Настройка

После установки утилиты можно сразу переходить к настройке защиты. Файл конфигурации лежит здесь: /etc/csf/csf.conf. Откройте его.

По умолчанию наш охранник работает в тестовом режиме, то есть честно защищает вас в течение пяти минут, после чего отключается. Сделано это, чтобы вы могли удаляться из списка заблокированных, пока будете учиться и экспериментировать.

Перевести CSF в рабочий режим очень просто  – надо в тексте конфига изменить значение флага TESTING на 0.

Описание всех параметров конфига заняло бы слишком много времени, и оно уже есть в сети, поэтому скажу только о том, что стоит изменить. Хотя, если у вас возникнут вопросы, задавайте – постараюсь помочь.

Для начала пропишем входящие порты. Указывать их надо в кавычках и через запятую:

TCP_IN = «20,21,22,25,53,80,110,143,443,465,587,993,995,10333,127015»

Теперь – исходящие:

TCP_OUT = «20,21,22,25,53,80,110,113,443,587,993,995,10333»

Если вы хотите задать диапазон портов, границы диапазона обозначайте при помощи  двоеточия. Например: 40000:55000,10335.

Теперь, если кто-нибудь подключится к ssh, мы получим уведомление на почту. Кстати о почте! CSF – мощный и крутой защитник, но он не волшебник и не знает вашего электронного адреса, пока вы не укажете его в блоке «LF_ALERT_TO».

Пора сохранить все изменения и написать в терминале следующее:

systemctl restart {csf,lfd}

csf -r

Обратите внимание на команды csf -r и csf -f. Нужны они, чтобы перезагружать и останавливать выполнение правил

А когда вам нужно просмотреть цепочку правил, используйте команду csf -l.

Если вы решили прислушаться к моему совету и добавить в исключения всех, кто имеет право на доступ к серверу, можете это сделать следующей командой:

csf -a 192.168.0.6

Когда нужно запретить подключение к серверу кому-то конкретно, можно воспользоваться командой: 

csf -d 192.168.0.7

А удалить все правила, связанные с заданным IP, можно с помощью команды:

csf -ar 192.168.0.6

Удалить все запрещающие правила, связанные с конкретным адресом, можно вот так:

csf -dr 192.168.0.7

Заключение 

Собственно, мы установили CSF и немного настроили его. Если у вас будет желание детальнее разобрать параметры инструмента, внимательно просмотрите файл конфигурации – там вы найдёте подробные комментарии на английском языке. Каким из возможных вариантов настройки пользоваться – решать вам. Главное, что у вас есть выбор.

А я пока прощаюсь с вами до следующей статьи, жду ваших комментариев и вопросов. 

Хотите свободно работать с Debian и другими дистрибутивами Linux? Приходите учиться на профессию «системный администратор», и через 9 месяцев вы не только освоите Linux, но и сможете обеспечивать бесперебойную работу компьютерной техники и ПО в любой организации! А если вас интересует защита IT-систем — приглашаем на факультет информационной безопасности!

Ограничения и недостатки CDN

Стоит отметить, что наряду с вышеперечисленными достоинствами, использование CDN может быть сопряжено с ограничениями и со сложностями.

Ориентация на HTTP, HTTPS. CDN ориентированы на использование протоколов HTTP и HTTPS. Это означает, что их возможности по защите и ускорению могут быть использованы только там, где применяются эти протоколы. К примеру, вы не сможете защитить CDN сервер телефонии или сервер удаленного доступа.

Ориентация на стандартные порты. CDN требует, чтобы трафик отдавался вашим web-сервером с определенных портов. Например, CF говорит, что кэшируемый трафик должен отдаваться только с портов 80 и 443. А весь список разрешенных портов приведен на специальной странице.

Таким образом, например, вы не можете направить трафик с порта CF 443 на произвольный порт вашего сервера, только на 443. Впрочем есть такая штука как CF Spectrum — новый сервис CF, который работает как файрвол для серверов, которые находятся под управлением. Однако, Spectrum еще не распространен широко, поэтому мы его не обсуждаем.

Блокировка CF Роскомнадзором. Такие случаи в истории были. Сейчас РКН уже наученный и многократно битый палками за то, что он блокировал критически важные сервисы интернета, поэтому без разбора ведомство старается критическую инфраструктуру не блокировать, работая в режиме уведомления владельцев. Однако, такое может случиться. В этом случае вы должны оперативно снять ресурс с защиты CF и уже менее чем через 1 минут трафик пойдет напрямую на IP вашего сервера.

Именно для решения этой проблемы, помимо сертификата SSL, выдаваемый бесплатно CF, вам нужен свой сертификат SSL, который вы будете использовать, если вам придется выключить защиту в случае блокировки CF РКН.

Делегирование DNS на серверы CF. Это обязательное требование работы с CF. Вы должны делегировать обслуживание доменного имени, которое использоваться совместно с CF на DNS-серверы компании. Впрочем, этот фактор может быть как преимуществом, поскольку DNS-серверы CF являются одними из лучших в своем классе, так и недостатком, если требуется «хитрое» управление зоной.

Перенастройка HTTP-сервера и самого движка сайта. Когда сайт размещается за CDN, IP-адреса клиентов сайта уже не доступны непосредственно, поскольку источником запросов становится CDN. При этом CDN передает информацию о реальных источниках запросов посредством HTTP-заголовков X-Forwarded-For и CF-Connecting-IP. Если сайту требуется обрабатывать IP-адреса клиентов, он должен уметь извлекать информацию как в режиме без CDN, так и в режиме с CDN. К примеру, как делает приведенный ниже фрагмент кода на Python:

x_real_ip = request.headers.get("X-Real-IP")
x_forwarded_for = request.headers.get("X-Forwarded-For", "")
x_forwarded_for = x_forwarded_for.split(',')

self.remote_ip = x_forwarded_for or x_real_ip or request.remote_ip

Как улучшить работу отдельных страниц

Cloudflare дает возможность настроить правила работы отдельных страниц. На бесплатном тарифе доступно добавление трех таких правил.

Чтобы создать особые условия для страницы:

1. Перейдите в раздел Page Rules.
2. Нажмите Create Page Rule.

На странице есть два блока. Первый — If the URL matches. Здесь нужно указать адрес страницы, для которой вы создаете правило. Можно сделать шаблон, добавив звездочку (*) в URL. Например, шаблон указывает, что правило должно работать для всех страниц внутри блога.

Второй блок — Then the settings are. Это сама настройка, которая применяется к странице или шаблону. Можно добавить несколько правил
не более трех в бесплатной версии

Важно соблюдать порядок — правила применяются по очереди. Для изменения очередности используется простое перетаскивание

Правила можно отменять, сохранять как черновик и применять. Вот несколько примеров таких особых условий для страниц.

Защита страницы аутентификации и авторизации

По умолчанию Cloudflare устанавливает на все страницы защиту уровня Medium (средняя). Но для некоторых точек входа можно и нужно выбирать более высокий уровень, потому что они чаще подвергаются атакам. В качестве примера можно привести вход в личный кабинет пользователя или в панель управления сайтом.

Например, у вас сайт на WordPress. Вы хотите дополнительно защитить страницу авторизации администраторов. Это просто:

1. В поле If the URL matches укажите адрес страницы — .
2. В поле Then the settings are выберите правило Security Level – High. Это повышает вероятность блокировки при обнаружении подозрительной активности. Например, если кто-то будет пытаться подобрать пароль и несколько раз подряд введет неверное значение.
3. Добавьте еще одно правило и выберите Cache Level – Bypass. Это отключает кэширование страниц по шаблону .

Эти настройки могут добавить неудобств. Например, если вы ошибетесь несколько раз при вводе пароля, то придется подтверждать, что вы не робот. При попытке зайти в админку с другого IP также может появиться дополнительная проверка. Зато при таком подходе повышается безопасность одной из критически важных точек входа.

Кэширование контента, который редко меняется

На сайте может быть много контента, который не меняется или меняется очень редко. Это статические файлы — например, изображения для оформления дизайна. Если их кэшировать, то они будут загружаться быстрее. Это положительно повлияет на скорость отображения страниц у пользователей.

Чтобы кэшировать контент:

• В поле If the URL matches укажите адрес к папке, на которой хранятся изображения и другие медиафайлы.
• В поле Then the settings are выберите Cache Level — Cache Everything. С этой настройкой Cloudflare будет кэшировать все содержимое папки без исключений.
• Добавьте еще одно правило: Browser Cache TTL — a day. С этой опцией кэш в браузерах пользователей будет обновляться один раз в день.
• Добавьте правило: Edge Cache TTL — 7 days. С этой настройкой Cloudflare будет проверять файлы на хостинге и обновлять кэш раз в семь дней.

Аналогичным образом вы можете кэшировать любые другие данные, которые редко обновляются. Периодичность обновления кэша вы устанавливаете самостоятельно.

Настройка редиректа

Стандартная практика — склеивание домена с www и без www, чтобы поисковики не принимали их за разные сайты.

1. В поле If the URL matches укажите адрес сайта с www — например, .
2. В поле Then the settings are выберите правило Forwarding URL — 301 – Permanent redirect и укажите путь к версии сайта без www — .

Редиректы можно настраивать на любые страницы.

Безопасность, надежность и открытость Cloudflare

В свое время, когда Cloudflare только появился — это был отличный и яркий инструмент. Но прошло много времени и сегодня Cloudflare пропускает через свою структуру более 30% всего мирового интернета. Остается большой вопрос в децентрализации всего интернета и трафика в нем.

Год назад 2 июля 2019 года Cloudflare сломался

и огромное количество крупных сайтов, приложений и целых серверов были недоступны. В этой ситуации все пострадавшие клиенты сервиса оказались в ситуации, из которой не было выхода. Перенаправить трафик в обход NS серверов Cloudflare они не имели возможности, а единственный способ смены NS серверов на свои личные занимал бы времени как минимум сутки, а в некоторых случаях и до 3-х суток. Время простоя было несколько часов, но в это время все компании несли прямые убытки и многие серьезно задумались о зависимости тысяч компаний от одного поставщика услуги.

Усложнение для пользователя при активном Cloudflare

заключается в том, что если алгоритмы сервиса посчитают Вас недобросовестным пользователем, то у вас будут огромные мучения посетить тот или иной сайт.
Также немаловажно знать и том, что Cloudflare расшифровывает данные, зашифрованные вашим SSL сертификатом, передаваемые через HTTPS. То есть услуга всегла работает через MiTM (Man-in-the-middle)

То есть он подставляет свой SSL, расшифровывает зашифрованные данные, передаваемые с вашего сервера — а после зашифровывает данные своим SSL сертификатом.

Также, не забываем и о том, что спецслужбы страны, под юрисдикцией которой находится сервис могут получить доступ по запросу ко всей необходимой им информации. Возникает вопрос вообще целесообразности SSL сертификата, информация с которого может быть доступна и спецслужбам и хакерам.

Показывать метрику только пользователям с поиска

Много ли человек набирают ваш сайт вручную или с перешел из закладок браузера? Заходят на него не с поиска. Если много, то не стоит этого делать. Если единицы, то стоит — таким фильтром вы срежете огромное количество ботов. Через метрику («Настройка -> Фильтры») вы не сможете этого сделать — таких фильтров нет. Единственный вариант срезать их — через Cloudflare JS Challenge (об этом ниже)

Единственное, что можно сделать через метрику это сделать так, чтобы боты не учитывались в самой метрике (настроить фильтр по IP), но от самих заходов на сайт это не избавит

НО! Возможно, в этом нет никакого смысла, так как сам Яндекс при этом утверждает, что

Способы защиты от DDoS атак

• Сервисы защиты. Многие крупные компании предлагают пользователям сервисы для временной или постоянной защиты от ДДоС атак. Вот несколько из них:
  • Alibaba Anti-DDoS. Сервис от Alibaba, позволяющий блокировать атаки до 2 Тбит/с. Поддерживает протоколы 4-7 уровней модели OSI. 
  • Cloudflare. Один из самых популярных и известных сервисов для защиты от DDoS атак. Имеет бесплатную версию, предоставляющую базовую защиту. Платная версия поддерживает защиту на уровнях 3,4,7. Этот сервис способен отражать объемные атаки. 
  • Qrator — российский ресурс, способный отражать атаки любых уровней. Является платным, но при этом имеет функционал автоматической настройки в зависимости от типа проводимой атаки. 

Устранение уязвимостей подразумевает устранение технических ошибок в работе ПО, установку обновлений на операционные системы  и т.д

Важно не использовать простые пароли и установить капчу от спам-ботов. 

Профилактика. Позаботьтесь о том, чтобы доступ к административной панели был исключительно через внутреннюю сеть или VPN соединение

При защите от ДДоС атак сервера поможет распределение данных между несколькими серверами. В случае атаки на основной, дополнительные независимо продолжат свою работу. 

Ответный удар. При наличии в штате опытного специалиста можно перенаправить атаку злоумышленников и нанести ответный урон.

Самый известный случай DDoS-атаки

Однако, как оказалось впоследствии, только этим дело не ограничилось. Крупнейшая DDoS-атака за всю историю существования компьютерного мира была зафиксирована в 2013 году, когда возник спор между компанией Spamhaus и голландским провайдером Cyberbunker.

Первая организация без объяснения причин включила провайдера в список спамеров, несмотря на то, что его серверами пользовались многие уважаемые (и не очень) организации и службы. К тому же серверы провайдера, как ни странно это выглядит, были расположены в здании бывшего бункера НАТО.

В ответ на такие действия Cyberbunker начал атаку, которую на себя приняла CDN CloudFlare. Первый удар пришелся на 18 марта, на следующий день скорость обращений возросла до 90 Гбит/с, 21-го числа наступило затишье, но 22 марта скорость составила уже 120 Гбит/с. Вывести из строя CloudFlare не удалось, поэтому скорость была увеличена до 300 Гбит/с. На сегодняшний день это является рекордным показателем.