當一個網站取得 Public IP 與 internet 連接時,也就表示網站正開始面對來自全球各地的連線請求,無論是善意與惡意,面對這麼多樣且大量的連線需求,如何讓有限的伺服器的資源獲得最大的應用,第一步就是要判斷那些是值得服務的連線請求,但由於網路的匿名性,要判斷一個連線的身份是相當困難,退而求其次,我們先將連線需求分為善意的來訪與惡意的攻擊兩大類,而我們所要處理的事,就是先將惡意的攻擊排除。
但一般的網站管理員並沒有時間全天監視著網站連線狀況,這個候可以透過一些工具協助管理員進行初步的防護,以下我們將介紹幾種常見具易達成的方式協助網站管理員建立基本的網站防護。
許多網路服務商都有提供 CDN 的服務,如 QUIC.cloud、Cloudflare,透過這些代理伺服器,你可以隱藏實際的 IP 位置,進而防止駭客直接對伺服器進行攻擊。
當遭遇到 DDos的攻擊時,可以透過 QUIC.cloud 內建的 Anti DDoS 設定,初步的過濾掉大部份的攻擊,以防止攻擊的請求直接進入到我們的伺服器內。
另外,由於此類攻擊通常會針對 wp-login.php 和 xmlrpc.php 頁面,大部份的攻擊會不斷猜測的使用者名稱和密碼。QUIC.cloud 的暴力保護機制在 CDN 級別,不需要額外的插件,因此可以大量減少伺服器及網路資源
在暴力攻擊的防禦上,一般常使用的做法是透過 reCAPTCHA 來保護登錄頁面和表單提交,但如果這些 reCAPTCHA 是由伺服器提供,將會浪費大量的運算資源,所以 QUIC.cloud 透過 CDN 級別提供 reCAPTCHA 來抵禦 DDoS 及暴力攻擊。讓惡意行為者在有機會訪問伺服器前就被阻止了。
如果發現攻擊者大部份來自於某些區域的 IP,QUIC.cloud CDN 也可以透過 Traffic Management 來限制這些區域的訪問。
最後,QUIC.cloud 這些安全性服務只有針對標準計畫(Standard Plan)提供,並不適用於免費計畫(Free Plan)。QUIC.cloud 每個月都會提供一定的額度(Credits)給使用者,在這個額度內都能享有免費的服務。
如果你有興趣設定或使用 QUIC Cloud CDN service, 可以參考我之前的發文