随着越来越多的平台对DDoS攻击采取必要的预防措施，如集成DDoS缓解服务和增加薄弱点的带宽，第3层和第4层攻击不再有效。对于Cloudflare，我们使用内部平台Gatebot实现了基于3/4层的完全自动化保护。在过去6个月里，我们看到基于第7层的DDoS攻击呈大幅上升趋势。这些攻击的关键区别在于，它们不再专注于使用巨大的有效负载（容量攻击），而是基于每秒消耗服务器资源（CPU、磁盘和内存）的请求。我们经常看到每秒超过100万个请求的攻击。下图显示了Cloudflare监视的第7层攻击的数量，该数量呈上升趋势。平均每天约有160起攻击事件发生，有些天甚至达到1000多起。一年前，Cloudflare发布了速率限制，事实证明它是一个非常有效的工具，可以保护客户的web应用程序和api免受各种攻击，从"低速"DDoS攻击到基于bot的攻击，如凭证填充和内容刮取。我们对我们的客户在速率限制方面所取得的成功感到高兴，并很高兴地宣布更多的功能，让我们的客户进一步控制。有什么变化？有时候你清楚地知道流量是恶意的。在这种情况下，我们现有的封锁行动证明对我们的客户是有效的。但有时它不是最好的选择，并导致负面的用户体验。与其冒着假阴性的风险，客户通常希望挑战客户，以确保他们是他们所代表的自己，这在大多数情况下是人而不是机器人。首先，为了帮助客户更准确地识别流量，我们在UI和API中添加了Cloudflare JavaScript Challenge和Google reCaptcha（Challenge）缓解措施，用于Pro和商业计划。现有的块和模拟动作仍然存在。提醒您，要测试任何规则，在Simulate中部署意味着您将不会为任何请求收费。这是测试新规则以确保它们已正确配置的好方法。其次，我们使速率限制更具动态可伸缩性。添加了一个新功能，允许对业务和企业客户的源站响应标头进行速率限制。此功能的工作方式是通过匹配原点返回到Cloudflare的属性。新的能力-在行动！真正推动我们创新的因素之一是解决我们每天从客户那里听到的实际问题。基于此，我们想提供一些实际应用中这些新功能的实例。每个用例都有基本和高级实现选项。经过一些测试，我们发现分层速率限制是一个非常有效的解决方案来对付屡犯。登录页面和API的凭证填充保护。构建应用程序的最佳方法是使用标准化的状态代码。例如，如果我无法针对一个端点或一个网站进行身份验证，我应该收到一个"401"或"403"。一般来说，一个网站的用户在选择"我忘了我的密码"选项之前，经常会把密码弄错三次。大多数凭证工具都会尝试数千次循环使用许多用户名和密码组合，以查看哪些是有效的。下面是一些示例速率限制，您可以配置这些限制来保护应用程序不受凭证填充的影响。基本：Cloudflare提供了一个现成的"保护我的登录"功能。输入登录页面的URL，Cloudflare将创建一个规则，以便在5分钟内尝试登录5次以上的客户端将被阻止15分钟。通过速率限制的新挑战功能，您可以自定义登录的响应参数，以便通过自定义构建规则更紧密地匹配您在站点上看到的机器人的行为模式。一分钟内登录四次是很难的-我打字很快，但甚至不能这样做。如果我在日志中看到这种模式，它很可能是一个机器人。我现在可以根据以下条件创建速率限制规则：。最后一列右对齐的表tr td:最后一个子项{文本对齐：右；}规则ID统一资源定位地址计数时间表匹配条件行动1/登录41分钟方法：邮政编码：401403挑战有了这个新规则，如果有人试图在一分钟内登录四次，他们将被抛出一个挑战。我的普通用户可能永远不会点击它，但如果他们这么做了-挑战确保他们仍然可以访问该网站。高级：有时机器人的攻击非常持久。我们可以把规则放在一起对付惯犯。例如，我们可以创建一系列可分层的规则，而不是只创建一个单一的规则：。最后一列右对齐的表tr td:最后一个子项{文本对齐：右；}规则ID统一资源定位地址计数时间表匹配条件行动1/登录41分钟方法：邮政编码：401403JavaScript挑战2/登录105分钟方法：邮政编码：401403挑战三/登录201小时方法：邮政编码：401403封锁1天通过这种类型的分层，任何真正的用户，如果只是很难记住他们的登录详细信息，同时也是极快的类型，将不会被完全阻止。取而代之的是，如果他们达到下一个限制，他们将首先得到自动JavaScript挑战，然后是传统的验证码。这是一种更加用户友好的方法，同时仍然保护您的登录端点。基于时间的防火墙我们的IP防火墙是一个强大的功能，可以阻止有问题的IP地址访问您的应用程序。特别是这与重复滥用有关，或基于IP声誉或威胁情报源，这些情报在源站级别集成。虽然IP防火墙功能强大，但维护和管理当前被阻止的IP地址列表可能会很麻烦。如果你想让被阻止的IP地址在一段时间后停止不良行为，它会变得更加复杂。这通常需要编写和管理脚本以及对Cloudflare的多个API调用。新的速率限制源标头功能使这一切变得更加容易。现在，您可以配置您的源以响应头来触发速率限制。为了实现这一点，我们需要在源代码处生成一个头，然后将其添加到对Cloudflare的响应中。当我们在静态头上匹配时，我们可以根据头的内容设置严重性级别。例如，如果它是一个惯犯，你可以用High作为报头值，这可能会阻塞更长的时间。基于以下条件创建速率限制规则：规则ID统一资源定位地址计数时间表匹配条件行动1*11秒方法：_ALL_标头：X-CF-Block=低阻挡5分钟2*11秒方法：_ALL_头段：X-CF-Block=medium阻挡15分钟三*11秒方法：_ALL_标头：X-CF-Block=high阻挡60分钟一旦创建了速率限制，Cloudflare的速率限制将在接收到该报头时立即生效。枚举攻击事实证明，枚举攻击正变得越来越流行，并且难以减轻。通过枚举攻击，攻击者可以识别应用程序中的一个昂贵的操作，并对其进行重击，以占用资源并减慢或使应用程序崩溃。例如，提供查找用户配置文件功能的应用程序需要数据库查找来验证用户是否存在。在枚举攻击中，攻击者会快速连续地向该端点发送随机字符集，导致数据库停止运行。仅限救援费用！今年早些时候，我们的一个客户在他们的平台上遭到了一次巨大的枚举攻击，攻击者正试图完全按照我们上面描述的方式进行操作，试图使他们的数据库平台过载。在6小时的攻击中，他们的速率限制配置阻止了超过100000000个错误请求。当一个查询被发送到应用程序，并且没有找到用户时，应用程序将提供404（页面未找到）。一个非常基本的方法是设置404的速率限制，如果用户在一段时间内超过了404的阈值，则设置应用程序来挑战用户，以证明自己是一个真实的人。规则ID统一资源定位地址计数时间表匹配条件行动1*101分钟方法：GETStatus代码：404挑战要抓到累犯，您可以分级费率限制：规则ID统一资源定位地址计数时间表匹配条件行动1/公开/简介*101分钟方法：GETStatus代码：404JavaScript挑战2/公开/简介*251分钟方法：获取状态代码：200