CloudFlare提供的众多优秀功能之一是防止分布式拒绝服务（DDoS）攻击。一个想要让你的网站或web服务不可用的恶意方可能会试图用来自世界各地的受损机器（或机器人）的请求来压倒它。如果请求量足够大，则服务器可能会过载，无法向合法客户端提供服务。这是拒绝服务攻击的典型场景。攻击机器使用公共域名服务（DNS）来查找托管您的域的IP地址(网站)把他们的流量发送到那台机器上，希望关闭它。

注册CloudFlare就像从电话簿中取出你的号码，然后把CloudFlare的号码写在你的名字下。当有人试图查找您的域的主机时，DNS将返回CloudFlare网络中的IP地址。如果攻击者试图关闭您的站点，他们的流量将流向全球的CloudFlare计算机，而不是直接发送到您的web服务器。CloudFlare网络充当一个过滤器来阻止坏流量，并且只将合法流量发送到源服务器。

正如从电话簿中删除您的电话号码不会阻止电话销售人员呼叫它一样，启用CloudFlare也不会阻止知道您IP地址的聪明攻击者直接向其发送流量。只是因为你的原始服务器的IP地址不再通过DNS公布，它仍然连接到internet。如果您的IP地址不保密，攻击者可以绕过CloudFlare网络直接攻击您的服务器。

以下是一些有用的提示，可以帮助您保持源IP的安全，以抵御那些想要绕过CloudFlare DDoS保护的聪明攻击者：将所有子域保留在CloudFlare上注册CloudFlare时，CloudFlare会自动添加一个"direct"子域。默认情况下，"direct"子域不会获得CloudFlare代理服务的好处。为了最大限度地提高安全性，您应该将"direct"子域重命名为不容易猜测的子域，或者将其全部删除。否则，攻击者可以使用子域来查找源IP地址。如果您收到与CloudFlare注册的域的电子邮件，请使用单独的服务器进行邮件；如果没有，MX记录将显示您服务器的IP地址。通配符子域CloudFlare为通配符子域提供DNS，但仅在企业级为通配符子域提供性能和安全代理服务。因此，如果您是免费、专业或商业客户，则无法通过CloudFlare代理通配符子域记录，应将其删除以防DDoS。否则，攻击者可以使用通配符子域来查找您的原始IP。查看DNS记录任何DNS记录都不应包含对源IP的任何提及。仔细查看任何SPF和TXT记录，以确保它们不包含任何有关来源的信息。不要将邮件或其他服务托管在与web服务器相同的服务器上如果您的邮件服务器由与http服务器相同的IP托管，则攻击者可以从传出的电子邮件中找到该IP地址。例如，攻击者可以向服务器上不存在的电子邮件地址发送电子邮件，从而导致跳出；跳出可能会在邮件头中包含服务器的IP地址。从不根据用户操作启动出站连接如果攻击者可以让您的web服务器连接到任意地址，他们将显示您的原始IP。像"upload from URL"这样的功能允许用户从给定的URL上传照片，这样做下载的服务器不是网站源服务器。这一点很重要，因为如果攻击者可以选择输入的URL，他们就可以专门设置一个网站来监视谁连接到它，或者使用公共服务来监视与唯一URL联系的ip。信息披露漏洞确保您的web服务器和web应用程序针对所有已知的信息泄漏漏洞进行了修补。一旦在CloudFlare上配置了最大DDoS保护，请更改您的源IPDNS记录是公共领域，有许多地方的历史记录存档。这些历史DNS记录将包含您在注册CloudFlare之前的原始IP。如果您是目标，攻击者可能已经拥有您以前的DNS记录。其他安全资源如果您关心安全性，请查看这两篇概述CloudFlare用户高级安全步骤的文档。一般网站安全指南我受到DDoS攻击，我该怎么办？安全是很难的。攻击者只需要找到一个缺陷或弱点就可以造成很大的伤害。遵循这些步骤将有助于保持源IP地址的私有性，并有助于CloudFlare防止针对您站点的DDoS攻击。