Cloudflare对DDoS保护工具的改进措施

Cloudflare本周宣布对其限速分布式拒绝服务（DDoS）保护工具进行了一系列改进。

在过去六个月中，该公司观察到基于DDoS攻击的应用程序（第7层）的增长，并且也注意到这些攻击并未使用巨大的有效负载（容量攻击），而是依靠每秒大量的请求来耗尽服务器资源（CPU，磁盘和内存）。Cloudflare说，每秒超过100万次请求的攻击是常见的事情。

速度限制功能一年前由网络基础架构公司推出， 可帮助客户保护其Web应用程序和API免受各种攻击，包括DDoS，凭证填充和内容刮取。

除了先前提供的Block and Simulate选项之外，该工具现在还向用户提供UI和API中提供的Cloudflare JavaScript Challenge和Google reCaptcha（Challenge）缓解操作。此外，该公司声称已经使速率限制更具动态可扩展性。

“增加了一项新功能，该功能允许速率限制计入商业和企业客户的Origin Response头。该功能的作用方式是匹配由Origin返回到Cloudflare的属性，“该网络保护公司指出。

例如，对于凭证填充保护，Cloudflare客户可以根据自己的需要设置单个规则（基本费率限额）或多个规则（高级限额）以防止滥用。这可以确保只有用户（通常在输入恢复选项之前输入三次错误密码）登录，而不是机器人（通过数千个凭证组合来查看有效）。

“通过这种分层，任何真正难以记住登录细节的真正用户，同时也是非常快速的打字机，将不会被完全阻止。相反，如果他们达到了下一个限制，他们将首先被授予自动化的JavaScript挑战，然后是传统的CAPTCHA。这是一个更加用户友好的方法，同时仍然保护您的登录端点，“Cloudflare指出。

Cloudflare的工具还包括一个新的原始标题功能，允许客户配置其来源以响应标题触发费率限制。标题在原点处生成，并添加到对Cloudflare的响应中。

“因为我们在静态标头上匹配，所以我们可以根据标题的内容设置严重性级别。例如，如果它是一个重复犯罪者，你可以用High作为Header值回应，这可能阻塞较长时间，“Cloudflare解释说。

该公司表示，利率限制也可以免受日益流行的枚举攻击。这样的攻击依赖于识别应用程序中的昂贵操作，然后超载它来耗尽资源并减慢或崩溃应用程序。

为了抵御这种攻击，可以为找不到用户时发送给应用的404查询（页面未找到）响应设置速率限制。因此，如果在给定的时间段内超过了404的阈值，则可以设置应用程序来挑战用户以证明他们是真实的人。

为了缓解内容报废，速率限制包括对规则的支持，以区分重度浏览的用户和机器人为复制或重复使用而复制内容的企图。该工具会统计每个端点的请求数量和图像存储点击次数，以及服务的404和403页面的数量。

Cloudflare还决定增加专业和商业客户的可用规则的​​数量，不收取额外费用。因此，Pro计划现在包含10条规则，而商业计划包含15条规则。