在今年早些時候，在為我們的客戶提供了對 HTTP 層 DDoS 保護設定的控制之後，我們現在很高興能將客戶的控制擴充套件到資料包層。藉助這些新的控制，Cloudflare 企業客戶使用和服務現在可以直接從 Cloudflare Dashboard 或通過 Cloudflare API 調整和微調他們的 L3/4 DDoS 保護設定。

新功能為客戶提供了兩個主要的 DDoS 規則集的控制：

1. 網路層 DDoS 保護規則集 — 該規則集中包括的規則將用於檢測和緩解中的 3/4 層的 DDoS 攻擊，如 UDP floods 攻擊、SYN-ACK 反射攻擊、SYN Floods 攻擊和 DNS floods 攻擊。此規則集適用於 Enterprise 計劃中的 Spectrum 和 Magic Transit 客戶。

2. 高階 TCP 保護規則集 — 該規則集包括了檢測和緩解複雜的脫離狀態下 TCP 攻擊的規則，如欺騙 ACK Floods 攻擊、隨機 SYN Floods 攻擊和分散式 SYN-ACK 反射攻擊。此規則集僅適用於 Magic Transit 客戶。

欲瞭解更多，請檢視我們的 DDoS 託管規則集開發者文件。我們整理了一些指南，希望對您有所幫助：

1. 匯入和開啟 Cloudflare DDoS 保護

2. 處理漏報

3. 處理誤報

4. 使用 VPNs、VoIP 和其他第三方服務的最佳實踐

5. 如何模擬 DDoS 攻擊

Cloudflare DDoS 保護

是一種旨在破壞受害者的網際網路服務的網路攻擊。DDoS 攻擊有多種型別，可以由網際網路不同層次的攻擊者發起。攻擊就是其中一個例子，此類攻擊旨在破壞諸如那些支援移動 Apps 和網站的 HTTP 應用程式伺服器。攻擊是另一個例子。雖然這種型別的攻擊可以用來干擾 HTTP 伺服器，但它也可以用來嘗試干擾非 HTTP 應用程式，包括基於 TCP 和 UDP 的應用程式和網路服務，如 VoIP 服務、遊戲伺服器、加密貨幣，等等。

為了保護組織免受 DDoS 攻擊，我們構建並執行了自主執行的軟體定義系統。其能夠在我們的整個網路中自動檢測和緩解 DDoS 攻擊。您可以在我們的深度技術部落格中，閱讀有關我們的自主 DDoS 保護系統以及關於該系統工作原理的更多內容。

不限量和無限制 DDoS 保護

我們提供的保護等級是不限量且無限制的 - 它不受攻擊規模、攻擊次數、攻擊持續時間的限制。這在今天尤為重要，因為正如我們最近看到的，攻擊規模正變得越來越大，越來越頻繁。因此，在第三季度，網路層攻擊比前一季度增加了 44%。此外，就在最近，我們的系統自動檢測並緩解了一次 DDoS 攻擊，其峰值僅略低於 2 Tbps - 這是我們迄今為止遇到的最大規模的攻擊。

Mirai 殭屍網路發起了接近 2 Tbps 的 DDoS 攻擊

閱讀有關。

託管規則集

您可以將我們的自主 DDoS 保護系統視為智慧規則組（規則集），包括 HTTP DDoS 保護規則集、網路層 DDoS 保護規則集和高階 TCP 保護規則集。在這篇部落格文章中，我們將討論後兩種規則集。我們已經在如何自定義您的 HTTP DDoS 保護設定的部落格文章中介紹了第一種規則集。

Cloudflare L3/4 DDoS 託管規則

在 網路層 DDoS 保護規則集中 ，每一種規則都有一組專屬的條件指紋、動態欄位遮蔽、啟用閾值和緩解操作。這些規則由 Cloudflare 託管，這意味著每一種規則的規定都由我們的 DDoS 專家內部制定。在部署新規則之前，我們會首先在全域性網路對其進行嚴格測試和優化，以實現緩解的準確性和效率。

在 高階 TCP 保護規則集中 ，我們使用了一種新的 TCP 狀態分類引擎來識別 TCP 流量的狀態。驅動該規則集的引擎是流程跟蹤 — 您可以在我們的公告部落格文章中閱讀更多內容。該系統的一個獨特功能是，它僅能使用入口（流入）資料包流進行操作。系統只能看到入口的流量，並根據資料包的合法性對其進行丟棄、質疑或允許。例如，大量與開啟的 TCP 連線不對應的 ACK 資料包將被丟棄。

如何檢測和緩解攻擊

取樣

最初，網際網路流量經由路由至最近的 Cloudflare 邊緣資料中心。在流量到達我們的資料中心後，我們的 DDoS 系統將對其進行非同步取樣，允許對流量進行非路徑分析，而不會導致延遲懲罰。高階 TCP 保護規則集需要檢視整個資料包流量，因此它只對 Magic Transit 客戶開放，也不會帶來任何延遲懲罰。

分析與緩解

對 高階 TCP 保護規則集 所進行的分析直接且有效。系統將對 TCP 流量進行限定並跟蹤其狀態。通過這種方式，違反合法連線及其狀態的資料包將被丟棄或質疑。只有在達到客戶定義的某些閾值以上時才會啟用緩解。

使用資料流演算法對 網路層 DDoS 保護規則集 進行分析。將資料包樣本與條件指紋進行比較，並基於動態遮蔽生成多個實時簽名。每當另一個資料包與其中一個簽名匹配時，計數器讀數就會增加。當達到給定簽名的啟用閾值時，將編譯並內推傳送緩解規則。緩解規則包括實時簽名和緩解操作，如丟棄。

示例

舉一個簡單的例子，一個指紋可以包括以下欄位：源 IP、源埠、目的 IP 和 TCP 序列號。固定序列號的資料包洪水攻擊會與指紋匹配，每匹配一個資料包，計數器讀數就會增加，直至超過啟用閾值。然後將採取緩解行動。

然而，在攻擊的情況下，源 IP 地址和埠是隨機的，我們最終會為每個源 IP 和埠的組合提供多個簽名。假設其具有足夠的隨機性/分散式攻擊，則將無法滿足啟用閾值，也不會進行緩解。出於這一原因，我們使用動態遮蔽，即忽略那些可能不是簽名強指標的欄位。通過遮蔽（忽略）源 IP 和埠，我們將能夠根據唯一的 TCP 序列號匹配所有的攻擊資料包，而無視攻擊的隨機/分佈程度。

配置 DDoS 保護設定

至今為止，我們只公開了一小部分網路層 DDoS 保護規則，這些規則是我們認為最容易進行自定義的規則。我們將定期披露更多規則。這不應影響您的任何流量。

覆蓋靈敏度等級和緩解操作

對於 網路層 DDoS 保護規則集 ，每個可用規則您都可以覆蓋（啟用閾值），自定義，以及應用表示式過濾器，根據不同的資料包欄位，將流量排除/包括在 DDoS 保護系統中。您可以建立多個覆蓋來為您的網路和各種應用程式定製保護。

配置 DDoS 託管規則匹配的表示式欄位

在過去，您必須通過我們支援的渠道來自定義規則。在某些情況下，解決這個問題可能需要花費比預期更長的時間。通過今天的公告，您可以自行調整和微調我們的自主邊緣系統設定，從而快速提高保護的準確性，滿足您特定的網路需求。

對於 高階 TCP 保護規則集 ，到目前為止，我們只在儀表板中公開了整體啟用或禁用的能力。要啟用或禁用每個 IP 字首的規則集，則必須使用 API 。目前，當您剛開始使用 Cloudflare 時，Cloudflare 團隊必須首先為您建立一個策略。在開始使用後，如果您需要更改靈敏度閾值、使用 Monitor 模式或新增過濾器表示式，則您必須聯絡 Cloudflare 支援團隊。在即將釋出的版本中，這也將通過儀表板和 API 提供，而無需我們的支援團隊的幫助

預裝自定義

如果您之前聯絡過 Cloudflare 支援團隊來應用自定義，那麼您的自定義將被保留，您可以訪問儀表板來檢視網路層 DDoS 保護規則集的設定，並在需要時對其進行更改。如果您需要對高階 TCP 保護自定義進行任何更改，請聯絡 Cloudflare 支援團隊。

如果到目前為止您還不需要對此保護進行自定義，那麼您這邊無需任何操作。然而，如果你想檢視和自定義您的 DDoS 保護設定，請遵循本儀表板指南或檢視 API 文件，以程式設計的方式配置 DDoS 保護設定。

幫助構建更好的網際網路

在 Cloudflare，我們所做的一切都以我們的使命為本，即，助力打造出更好的網際網路。DDoS 團隊的願景源於此使命：我們的目標是讓 DDos 攻擊的影響成為歷史。我們的第一步是構建獨立檢測和緩解攻擊的自主系統。已完成。第二步是將這些系統的控制平面提供給我們的客戶（今天已宣佈）。已完成。下一步將是完全自動化配置自動駕駛功能—訓練系統學習您的特定的流量模式，以自動優化您的 DDoS 保護設定。我們將繼續提供更多改進、自動化和新功能，以保證您的網際網路屬性安全、可用以及高效能。

還沒有使用 Cloudflare？。

如何自定義 3/4 層 DDoS 保護設定