这篇博文最初是作为一篇客帖出现在Rackspace博客上的对你的网站的攻击可能是灾难性的。即使是一次小规模的攻击也会产生重大影响。对攻击作出快速反应是当务之急。2013年8月，我们CloudFlare推出了一种新的全球Web应用程序防火墙（WAF），它运行通用的防火墙规则集，如针对SQL注入、跨站点脚本等提供保护的开源OWASP规则。但是WAF还有一种自定义规则语言，CloudFlare的支持工程师使用该语言编写一种独一无二的规则来保护特定的客户或特定的软件。自从部署新的WAF以来，我们已经推出了许多全球和客户特定的规则来保护网站免受攻击。这篇博客文章介绍了其中的一些以及部署自定义规则的过程。客户自定义规则通常，客户会投诉攻击他们的网站，并向我们提供显示攻击的web服务器日志（或允许我们检查访问他们网站的流量）。日志通常会显示一个共同的模式。例如，以下是针对客户日志中显示的客户网站的匿名攻击：12月30日01:42:32 23.75.345.200example.com网站/index.php？2346354=-349087 WordPress/3.7.212月30日01:42:31 23.75.345.200example.com网站/index.php？7231344=4454226 WordPress/3.3.112月30日01:42:25 23.75.345.200example.com网站/index.php？1243847=9161112 WordPress/3.7.212月30日01:42:23 23.75.345.200example.com网站/index.php？8809549=4423410 WordPress/3.3.112月30日01:42:21 23.75.345.200example.com网站/index.php？1834306=3447145 WordPress/3.5.112月30日01:42:16 23.75.345.200example.com网站/index.php？-234069=6121852 WordPress/3.3.312月30日01:42:16 23.75.345.200example.com网站/index.php？-152536=6922268 WordPress/3.3.112月30日01:42:14 23.75.345.200example.com网站/index.php？3433701=7147876 WordPress/3.4.212月30日01:42:14 23.75.345.200example.com网站/index.php？6732828=-106444文字出版社/3.2.2攻击者使用僵尸网络攻击脚本/索引.php打开example.com网站. 为了使每个请求不同，他们会以number=number的形式附加一个查询字符串，其中每个数字都是随机选择的。请求中的用户代理被伪装成WordPress。

尽管此攻击不会导致CloudFlare出现问题，但它会导致客户的web服务器过载。客户联系了我们，我们为他们制定了一个自定义规则来阻止攻击。规则如下：规则12345678 WordPress数字僵尸网络请求_标题：用户代理匹配项^WordPress\/和请求方法是GET和请求\u URI匹配/索引.php\?-?\d+=-？\d+否认支持工程师编写了规则（以及一组相关的测试，以确保它能够正常工作），然后将规则推送到我们的git存储库中。从那里开始，它将在不到30秒的时间内部署到CloudFlare的全球服务器上。客户会在CloudFlare设置的"管理WAF"页面中看到该规则。他们可以打开和关闭规则，并查看它激活了多少次（即阻止了一个请求）。另一个客户看到一个声称来自"匿名者"的攻击，该攻击通过匿名者（法语）的消息一遍又一遍地攻击他们的web服务器上的同一个页面。典型的请求如下所示：example.com/？msg=Nous%20匿名%20Nous%20commons%20L%C3%A9g离子%20Nous%20ne%20paranons%20pas%20Nous%20n%E2%80%99oublions%20pas这个规则很简单：12367459匿名攻击规则请求方法是GET和请求\u URI开始/？msg=Nous%20命令%20匿名否认另一个对客户来说非常麻烦的简单攻击是以POST请求的形式出现的，该URL在客户的站点上并不存在。同样，对于CloudFlare来说，请求率并不麻烦，但对于客户来说是如此，因此我们制定了一个规则，阻止所有到该URL的帖子。这减轻了客户网站的负担：CloudFlare为他们减轻了负担。该攻击使用僵尸网络向客户的网站发送POST/q请求。阻止的规则很简单。规则1234567简单后僵尸网络请求方法是POST和请求\u URI为/q否认看起来很简单，它减轻了客户web服务器的负载，在部署后的最初12小时内，激活了2700多万次！自定义全局规则其他攻击可能更为广泛，不会集中在单个客户身上。这些攻击通常针对特定的技术，如WordPress、Joomla或其他软件。早在10月份，WHMCS（流行的网络托管管理软件）的零日漏洞就被发布了。CloudFlare在"零日"公开的当天部署了一个复杂的WAF规则，弥补了这一缺陷。WHMCS的维护人员也解决了这个问题。之后不久，我们发现了两个新的WHMCS漏洞，我们也通过部署或修改WHMCS WAF规则来修补它们。我们还添加了自定义规则来保护基于Plone的网站、php5.x远程代码执行漏洞，以及许多其他规则来保护常见的僵尸网络和其他攻击软件。所有这些都在CloudFlare的WAF运行以检查每个请求的2372条其他规则提供的通用保护之上。结论CloudFlare WAF语言的灵活性以及在几秒钟内部署WAF规则的能力意味着我们可以非常迅速地对攻击作出响应。