之前苦于探针和SLA监控天天被人按,苦恼不己,怒研究上百页的cf用户手册,写了一套对于我来说最强的waf规则,我自己d了自己十几次,没有出现任何穿盾的情况,目前看来非常管用
速率限制
如果传入请求匹配:
(http.request.uri.path contains "/")
具有相同的特征:IP
当数率超过:
请求(必须) | 期间(必须) |
---|---|
5 | 10 秒钟 |
然后采取措施...
选择操作(必须) | 响应类型为 | 响应代码为 |
---|---|---|
阻止 | 默认 Cloudflare 速率限制响应 | 429 |
持续时间达
持续时间(必须) |
---|
10 秒钟 |
阻止中国IP
规则名称:阻止中国
如果传入请求匹配:
(ip.geoip.country eq "CN")
然后采取措施...
选择操作 |
---|
阻止 |
跳过UptimeKuma(请根据实际需求和IP修改)
规则名称:跳过UptimeKuma
如果传入请求匹配:
(ip.src eq 2606:4700:4700::1111) or (ip.src eq 1.1.1.1) or (http.user_agent eq "Uptime-Kuma/1.23.11")
然后采取措施...
选择操作 |
---|
跳过 |
记录匹配的请求 ✓
要跳过的 WAF 组件
- ✓ 所有其余自定义规则
- ✓ 所有速率限制规则
- ✓ 所有托管规则
- ✓ 所有超级自动程序攻击模式规则
- ✓ 更多要跳过的组件
- ✓ 区域锁定
- ✓ 用户代理阻止
- ✓ 浏览器完整性检查
- ✓ Hotlink 保护
- ✓ 安全级别
- ✓ 速率限制规则(以前版本)
- ✓ 托管规则(以前版本)
阻止搜索引擎爬虫 (谨慎使用!内容站请勿使用!此规则会导致搜索引擎权重降低!仅限探针或UptimeKuma等不敏感网站使用!)
规则名称:阻止搜索引擎爬虫
如果传入请求匹配:
(cf.client.bot) or (http.user_agent contains "duckduckgo") or (http.user_agent contains "facebookexternalhit") or (http.user_agent contains "Feedfetcher-Google") or (http.user_agent contains "LinkedInBot") or (http.user_agent contains "Mediapartners-Google") or (http.user_agent contains "msnbot") or (http.user_agent contains "Slackbot") or (http.user_agent contains "TwitterBot") or (http.user_agent contains "ia_archive") or (http.user_agent contains "yahoo")
然后采取措施...
选择操作 |
---|
阻止 |
威胁分数评估质询
如果传入请求匹配:
(cf.threat_score ge 3)
然后采取措施...
选择操作 |
---|
托管质询 |
拒绝HTTP/1.0
规则名称:拒绝HTTP/1.0
如果传入请求匹配:
(http.request.version in {"HTTP/1.0"})
然后采取措施...
选择操作 |
---|
阻止 |
好了,先说这么多了,本期的博客就到这里吧,欢迎关注我的TG测评频道https://t.me/antang_vps_wuyu ,同时也欢迎加入我的TG聊天群组https://t.me/antang_chat ,如果配置时遇到技术问题,也欢迎进群交流,就让我们下期博客再会,ByeBye
@Cx330 #36 我只是说盾还能破你的速率拦截并无效,还有,我也没无聊到随便打你,我只是给你测盾,就算你上5s盾也能穿
这个速率太低了。加载网站依赖用的js,css各种媒体资源比较多的话一次网页渲染就要很多个请求了。每十秒5个请求现在可能会导致用户可能根本没法打开网站。最好把速率设置按照实际情况调整。
你这样不行的,但凡有点资源的网页,比如css/js/图片多于六个,就会出问题
做速率限制会不会影响用户体验?
@watersource #1 只会影响d哥的心情,影响不了用户的
好帖!
谢大佬的教程。屏蔽爬虫会不会影响搜索引擎收录?
有什么 d 脚本吗?想自测一下
@uuzinet #4 会的,看你自己选择
mark一下,明天试试
支持大佬
有时间看看
先马克后看