DDoS攻击，说白了就是网络世界的“流氓群殴”，成本低到令人发指，但杀伤力却能让小网站瞬间瘫痪。看看那些云服务器厂商的高防IP套餐，价格简直是抢钱，而且动不动就限流，超出一点就得交“保护费”。这年头，小本生意太难了！

今天，咱们就来聊聊两种零成本的DDoS防御思路，专为囊中羞涩的个人开发者和小型企业量身定制。别怕，咱玩的就是一个“白嫖”，但效果嘛，嘿嘿，绝对超出你的想象。

CDN：免费午餐还是救命稻草？

CDN，也就是内容分发网络，简单说就是把你的网站内容“复制”到全球各地，让用户就近访问。这玩意儿好处多多，不仅能加速网站访问速度，减轻服务器压力，还能隐藏你的真实IP。用了CDN，DDoS攻击最多也就打到CDN节点，根本伤不到你的“真身”。

说到CDN，就不得不提Cloudflare这位“互联网大善人”。听说过没？Cloudflare曾经免费帮客户挡住了一次史上最大的DDoS攻击，峰值高达每秒2600万次！换成其他按流量计费的CDN，估计直接一夜破产。

当然，也有人会担心，用了Cloudflare的CDN，国内访问速度会不会变慢？我的看法是，速度慢点总比网站直接瘫痪好吧？毕竟活着才是最重要的。如果你对速度有极致追求，Cloudflare的企业级产品也有专门的中国线路优化，但那是要花钱的。咱们今天的主题是“白嫖”，所以还是老老实实用免费套餐吧。

实战环节：手把手教你“空手套白狼”

接下来，咱们直接上干货，手把手教你如何利用Cloudflare配置CDN，保护你的小网站。

首先，你得有一台云服务器，上面跑着你的网站。我这里用的是nginx，部署了一个简单的页面，用IP地址就能访问。

然后，打开Cloudflare官网：

https://dash.cloudflare.com/

你需要准备一个域名，并且把域名托管到Cloudflare上。如果你还不知道怎么购买域名或者获得免费域名，可以去看看我之前的视频，里面有详细教程。

有了域名之后，进入Cloudflare的DNS记录，添加一个DNS解析，把你的域名指向你的服务器IP地址。记住，一定要把代理状态（小黄云）开启！

保存之后，用域名访问你的网站，如果能正常访问，就说明CDN配置成功了。

敲黑板！重点来了！ 为了防止DDoS攻击，一定要把你的服务器IP地址藏好，千万别到处乱说。一旦IP泄露，黑客就能绕过CDN，直接攻击你的服务器。

但是，光靠自己不泄露IP还不够，还得防着黑客用网络测绘工具扫描你的IP。比如，黑客可以用fofa这种工具，24小时扫描互联网上的所有IP地址，找到你的服务器。

为了避免这种情况，你需要设置一个IP白名单，只允许Cloudflare的CDN节点访问你的网站，屏蔽掉其他所有IP的访问。

具体操作方法是，在你的云服务器厂商那里，找到安全组设置，创建一个新的安全组，命名为“Cloudflare CDN”。然后，添加入站规则，只允许TCP协议的80端口（HTTP）和443端口（HTTPS）通过。

接下来，你需要找到Cloudflare的CDN节点IP地址列表，这个地址是：

https://www.cloudflare.com/ips/

把这些IP地址添加到你的安全组白名单中。我这里以国内某云服务器厂商为例，演示一下具体操作。

我们点击安全组，然后点击创建安全组，这里我起个名字叫做Cloudflare CDN。我们把允许所有端口访问的关掉，接下来我们添加入站规则。我们添加一条规则，类型的话IPv4只允许TCP协议端口，就是80端口。

我们只需要Cloudflare的CDN节点通过80端口访问到我们的服务器，其他一切无关IP全部屏蔽掉。所以这里IP来源，我们需要填写Cloudflare的CDN节点的IP。

我们进入这个地址， https://www.cloudflare.com/ips/ 这里面的IP地址就是Cloudflare所有的CDN节点的IP地址。

我们把这些IP地址作为白名单，填写到刚才的安全组里面。这里我先选择第一条填上，备注的话我就写CF1，然后确定。

接下来我们填写第二条规则，还是TCP协议80端口，我们把第2条也填写过来，备注的话我叫CF2。总共15条规则，我全部填写到这里。然后我再添加一个规则，这里我需要把22端口开放，因为等下我还要操作服务器。

来源的话就是所有。15条Cloudflare的白名单规则，还有一条22端口的SSH规则，最后我们保存一下这个规则。

把这个规则添加到服务器上面，这里找到我的云服务器，我们点击进来服务器设置。这里有一个安全组，

现在使用的是默认安全组，我们点击这个加号关联安全组，我把Cloudflare CDN安全组选中，

然后把默认安全组取消掉，在这里点击确定。好，我

们来试一下，这里我们直接使用IP地址看看还能不能访问到，可以看到访问不到了。也就是说，我的网站现在只允许Cloudflare的CDN节点来连接，这些奇奇怪怪的网络测绘工具以后再也扫描不到我的服务器了。我们来试一下使用域名能不能连接到服务器，域名还是可以访问的。好，到现在为止，我们已经可以扛住网络层还有传输层的DDoS攻击了。

这样设置之后，你的服务器就只能通过Cloudflare的CDN节点访问，其他任何IP都无法直接访问。这意味着，即使黑客扫描到了你的IP地址，也无法直接攻击你的服务器。

Cloudflare防火墙：进阶防御，让黑客无计可施

有了CDN和IP白名单，你已经可以防御大部分DDoS攻击了。但是，为了更安全，我们还可以使用Cloudflare的免费防火墙，为你的应用层增加抗DDoS攻击的能力。

进入Cloudflare的安全性设置，找到WAF（Web Application Firewall），点击自定义规则。免费用户可以自定义5个防火墙规则，这里我介绍几个比较有用的。

规则一：恶意请求拦截

创建一个名为“恶意请求”的规则，将威胁分数设置为大于等于5。然后，将操作设置为“托管质询”。这意味着，Cloudflare会对每一个入站请求进行分析，如果发现威胁等级大于5，就会弹出一个Turnstile的5秒盾进行人机验证。

规则二：屏蔽国外IP

创建一个名为“屏蔽国外”的规则，将客户的地址设置为“不等于中国”。然后，将操作设置为“阻止”。这意味着，所有来自国外的请求都会被Cloudflare的规则阻止。

规则三：IP访问限制

创建一个名为“IP访问限制”的规则，设置URL路径为“*”，表示保护整个网站。然后，设置具有相同特征为“IP地址”，并设置一个自定义的速率，比如“1次/10秒”。最后，将操作设置为“阻止”。这意味着，同一个IP每10秒钟只能请求一次你的网站，超出限制就会被阻止。

配置完成后，你可以尝试访问你的网站，如果刷新过快，就会看到Cloudflare的速率限制提示。

终极杀招：I’m Under Attack模式

如果你的网站正在遭受DDoS攻击，Cloudflare还有一个终极杀招，那就是将安全级别设置为“I’m Under Attack”。

开启这个模式后，访问你网站的所有请求都必须通过Cloudflare的人机验证才能到达你的网站。这意味着，几乎所有的DDoS攻击都会被拒之门外。

静态网站：釜底抽薪，让攻击无处下手

对于一些企业宣传页、个人博客等静态网站，其实根本不需要传统的服务器部署。

你可以考虑使用免费的静态网站托管服务，比如Github Pages或者Cloudflare。静态网站由纯HTML、CSS和Javascript组成，不需要后台服务器和数据库支持。这意味着，从根本上杜绝了DDoS攻击，因为你连服务器都没有，黑客也就没法攻击了。

我之前有很多视频介绍过使用Github Pages部署免费的静态网站，比如表白代码收藏馆、18秒部署个人博客等等。这些网站功能齐全，甚至可以发表评论，而黑客再厉害，也不可能把Github攻克。

总而言之，DDoS攻击虽然可怕，但并非无解。只要掌握正确的方法，即使是小网站，也能利用免费资源，构建强大的防御体系。
```

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接即可前往获取

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）

👉1.成长路线图&学习规划👈

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。（全套教程文末领取哈）

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！（全套教程文末领取哈）

👉4.护网行动资料👈

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

👉5.黑客必读书单👈

👉6.网络安全岗面试题合集👈

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）