Cloudflare DDoS配置案例

导航:

　　这里将一个案例事项按照流程进行了整合，这样查看起来比较清晰。部分资料来自于Cloudflare

　　1.DDoS介绍

　　2.常用DDoS攻击

　　3.DDoS防护方式以及产品

　　4.Cloudflare DDoS配置案例

背景信息

本案例场景为给XX项目Login服务器以及Game服务器增加 DDOS防护，使用Cloudflare。

环境架构由

Client → Login/Game服务器

（客户端的流量直接连接Login/Game服务器）

升级为

Client → CloudFlare → Login/Game服务器

（客户端流量发送给CloudFlare，在由CloudFlare反向代理至Login/Game服务器）

注意:图中敏感信息已打码；另所有域名信息使用www.baidu.com代替，IP端口为虚假信息。

 

1.流程图

1.1 登录服

　　XX项目版Login服务器不增加DDOS防护时,玩家直接通过DNS服务器解析到Login服务器的真实IP地址连接Login服务器的80端口,并获取区服列表

　　具体流程见下图;

　　在加入DDOS防护后,DNS域名会将映射解析到 Cloudflare的边缘防护IP上,然后Cloud Flare会将请求反向代理到Login的真实IP上.

2.1 游戏服

　　XX项目版Game服务器不增加DDOS防护时,由于Game没有域名配置,玩家直接通过Login服务器获取Game的IP地址,然后连接Game服的8000-8001端口,连接Game服务器;由于XX项目 Game服为滚服架构,那么每个Game区服都会开放8000-8001端口.

　　具体流程见下图.

　　加入DDOS防护后,由于DDOS边缘防护IP数量有限（根据沟通,CloudFlare边缘IP上限为10个），并且，一个边缘IP只能开放一个相同端口;所以,边缘IP以及Game服的对外IP依次递增对外端口来满足配置需求.

2.配置案例

　　XX项目环境信息如下

角色	域名	边缘IP	服务器对外真实IP	服务器对外端口
Login服务器	www.baidu.com	2.2.2.2	1.1.1.1	80
Game1	无	2.2.2.2	10.10.10.10	8000，8001
Game2	无	2.2.2.2	10.10.10.11	8002，8003

　　由于login服务器和game服务器端口不冲突，所以这里只用一个边缘ip：2.2.2.2。所有对外端口依次递增。

　　在XX项目环境中,需要配置的模块有3个,分别为以下:

　　CloudFlare

　　配置至真实游戏服(登录服)的反向代理目的地址，并获取CloudFlare的边缘IP。

　　DNS

　　由于DNS在没有DDOS防护前，直接将映射解析至Login的服务上,在加入DDOS防护后，需要将解析更改至CloudFlare的边缘IP上。

　　游戏服（登录服）

　　为了节约成本以及IP资源的节省，对外端口由8000-8001递增的方式添加。

2.1 CloudFlare

　　1.登录CloudFlare

　　网址: https://dash.cloudflare.com/login

　　2.点击项目的域名

　　XX项目使用的是baidu.com

　　3.DNS以及Spectrum

　　(由于配置多余的域名可能会导致额外费用,这里只展示配置过程截图)

　　主要是在以下2个配置项（根据实际需求选择）里面配置反向代理的服务器IP，并获取CloudFlare边缘IP

　　DNS：DNS配置项可以配置标准端口，如80和443，一般是7层协议。

　　Spectrum：Spectrum配置项可以随意配置有效范围端口，比如不是标准的80和443却也是http协议。可以配置协议比较多。

 

• DNS配置项

　　如端口为80及443,配置见以下

　　配置完成后点击保存.

• Spectrum配置项

　　如果后端真实服务器对外端口为非80和443,那么就需要使用Spectrum配置项.

    点击Spectrum→点击创建应用程序

　　配置Spectrum（这里假设配置2个游戏服，端口号8000-8003）

　　Game1（端口8000-8001）

　　Game1第二个端口

　　Game2（端口8002-8003）

　　Game2第二个端口

　　注意：不管是DNS配置项还是Spectrum配置项,域名地址配置部分,一定最好保持一致,只有域名地址相同，分配的边缘IP地址才会相同。（Cloudflare还是要按照实际情况决定）

　　4.页面规则

　　如果是配置DDoS防护，可以不用配置默认规则，但是这里还是显示的配置一下更为清晰。

　　5.获取CloudFlare的边缘IP地址

　　获取CloudFlare的边缘IP地址,通过dig命令加上CloudFlare的CNAME别名来获取。

　　比如XX项目只有一个主机名，那么直接 dig www.baidu.com.cdn.cloudflare.net

　　注意：配置2个主机名或者1个主机名，按照实际条件选择，cloudflare按照边缘IP收费。

 

2.2 DNS

　　只有有域名配置的服务器才需要配置DNS，比如Login服务器（这里XX项目login服务器功能是获取区服列表,所以配置了域名）。

　　目前环境配置海外项目使用AWS route53服务来配置域名

　　1.登录AWS,找到ROUTE 53服务→托管区域→找到baidu.com域名

　　2.将原主机域名A记录改为CNAME记录，指向CloudFlare的CNAME域名

2.3 Login服-Game服

　　内部项目信息，敏感信息这里不做公开。只需要将原来的外网地址改成cloudflare的边缘IP地址和刚才配置的端口即可。