DDoS (Distributed Denial of Service) คือการโจมตีที่ใช้เครื่องจำนวนมหาศาลส่ง Request ไปยังเซิร์ฟเวอร์พร้อมกัน จนทำให้เว็บไซต์ไม่สามารถให้บริการได้ Cloudflare มีระบบป้องกัน DDoS ที่ทรงพลังสูงสุดในอุตสาหกรรม เป็นเหตุผลหนึ่งที่การใช้ VPS ร่วมกับ Cloudflare เป็นทางเลือกที่ดีสำหรับเว็บที่ต้องการความเสถียรสูง
DDoS คืออะไร?
DDoS คือการโจมตีแบบปฏิเสธการใช้งานแบบกระจาย มีหลายประเภท:
- Volumetric Attack: ใช้ Bandwidth จำนวนมหาศาลท่วมเครือข่าย เช่น UDP Flood, ICMP Flood
- Protocol Attack: ใช้ช่องโหว่งของโปรโตคอล TCP SYN Flood, Ping of Death
- Application Layer Attack (Layer 7): ตั้ง HTTP Request จำนวนมากไปยัง Web Application
Cloudflare DDoS Protection ทำงานอย่างไร?
Cloudflare รองรับ Traffic แทนเซิร์ฟเวอร์ของคุณ ทำให้โครงสร้าง Anycast ของพวกเขาที่มี Data Center มากกว่า 300 แห่งทั่วโลกช่วยกรองและกลั่นแผ่การโจมตีได้แบบ Real-Time
คุณสมบัติสำคัญของ Cloudflare DDoS Protection
- ไม่ช่าค่าเพิ่มเติม: DDoS Protection รวมอยู่ในทุก Plan เลยเริ่มตั้งแต่ Free
- Always-on: ทำงานตลอด ไม่ต้องเปิดใช้งานเอง
- Automatic Mitigation: ตรวจจับและบล็อกการโจมตีอัตโนมัติ โดยไม่กระทบผู้ใช้จริง
- Multi-layer Defense: ป้องกันทั้ง Layer 3/4 และ Layer 7
- Real-time Analysis: วิเคราะห์ Pattern การโจมตีแบบ Real-time ด้วย AI
การตั้งค่า DDoS Protection บน Cloudflare
Under Attack Mode
เมื่อเว็บถูกโจมตีอย่างรุนแรง สามารถเปิด Under Attack Mode ได้ทันที:
- ไปที่ Security → Settings
- เปลี่ยน Security Level เป็น I’m Under Attack!
โมดนี้จะบังคับให้ทุกการเชื่อมต่อผ่าน JavaScript Challenge ก่อน เป็นการกรองที่รวดเร็วที่สุด
Security Level
Cloudflare มีปุ่ม Security Level ให้เลือก 5 ระดับ:
| ระดับ | คำอธิบาย | เหมาะพร้มกับ |
|---|---|---|
| Essentially Off | ไม่กรองเกือบเลย | Internal หรือ Testing |
| Low | บล็อก Threat สูงเท่านั้น | เว็บทั่วไป |
| Medium | กรองปานกลาง | ค่า Default ที่แนะนำ |
| High | ตรวจจับอย่างเข้มข้น | เว็บที่ถูกโจมตีบ่อย |
| I’m Under Attack! | Challenge ทุก Request | ระหว่างถูกโจมตี |
DDoS Override Rules (Advanced)
สำหรับผู้ใช้ Pro Plan ขึ้นไป สามารถกำหนด DDoS Override เพื่อควบคุมเพิ่มเติมได้ที่ Security → DDoS เช่น:
- ปรับ Sensitivity Level และ Action ของ HTTP DDoS Rules
- Whitelist Traffic ที่ถูก False Positive
- ตั้งค่าเฉพาะ URI หรือ Path ที่ต้องการความคุ้มครองมากขึ้น
Bot Management และ Rate Limiting
นอกจาก DDoS Protection แบบพื้นฐานแล้ว Cloudflare ยังมีเครื่องมือเสริมสำหรับ Layer 7:
- Rate Limiting: จำกัดจำนวน Request ต่อ IP ต่อนาที ป้องกัน Brute Force และ Application DDoS
- Bot Fight Mode: บล็อก Bot อัตโนมัติ ใช้ได้ฟรีทุก Plan
- Super Bot Fight Mode: Pro Plan ขึ้นไป ควบคุมได้ละเอียดมากกว่า
- Bot Management: Enterprise Plan ดูแลด้วย Machine Learning
VPS + Cloudflare: ป้องกัน DDoS อย่างมีประสิทธิผล
การใช้ VPS ร่วมกับ Cloudflare ด้าน DDoS Protection มี Best Practice ดังนี้:
- เปิดใช้ Cloudflare Proxy: ตรวจสอบว่า DNS Record เป็นสีส้ม (ไม่ใช่สีเทา) เพื่อซ่อน IP จริงของ VPS
- ปิด Port 80/443 บน VPS ตรง: ใช้ UFW หรือ iptables เปิด Port 80/443 เฉพาะ Cloudflare IP Ranges
- ติดตาม Analytics: ตรวจสอบ Security → Overview อย่างสม่ำเสมอ
- เปิด Email Notification: โดยไปที่ Notifications เพื่อรับแจ้งเตือนเมื่อถูกโจมตี
คำสั่ง iptables สำหรับ Whitelist Cloudflare IP
# เปิด Port 80 เฉพาะ Cloudflare
for ip in $(curl -s https://www.cloudflare.com/ips-v4); do
iptables -A INPUT -p tcp --dport 80 -s $ip -j ACCEPT
done
# ปิด Port 80 จากคนอื่น
iptables -A INPUT -p tcp --dport 80 -j DROPสรุป
Cloudflare DDoS Protection เป็นหนึ่งในฟีเจอร์ที่ดีที่สุดของพวกเขา เป็นเครื่องมือป้องกัน DDoS ระดับ Infrastructure ที่คู่แข่งที่สุดในอุตสาหกรรม โดยไม่คิดค่าใช้จ่ายเพิ่มเติม
รวมกับ VPS ที่แข็งแกร่งและเสถียร คุณสามารถมั่นใจได้ว่าเว็บไซต์ของคุณจะสามารถให้บริการได้อย่างต่อเนื่อง แม้ในสถานการณ์ที่ถูกโจมตี DDoS
