Asked Mar 16th, 1:30 AM 136 2 1
  • 136 2 1
+3

CloudFlare - Các bác cho hỏi những điểm này (còn) đúng ko a?

Share
  • 136 2 1

Mình đang xem xét dùng CloudFlare cho hệ thồng website của công ty(khoảng 200-300k truy cập 1 ngày), Đọc 1 bài viết thấy có bạn nêu các điểm bất lợi như này. Bác nào có kinh nghiệm cho mình xin ý kiến với. (ai biết vấn đề nào rep vấn đề đó ạ. ) Xin cảm ơn

  1. Bất lợi.
  • Nếu website của bạn có máy chủ đặt tại Việt Nam, khách truy cập cũng chủ yếu đến từ Việt Nam thì việc sử dụng CloudFlare làm chậm đi tốc độ tải trang của bạn do ảnh hưởng bởi chất lượng đường truyền quốc tế.
  • Uptime website của bạn ngoài phụ thuộc vào máy chủ hosting còn bị phụ thuộc vào độ ổn định của CloudFlare.
  • Sử dụng CloudFlare thì không ai có thể biết được IP máy chủ của bạn. Điều này sẽ giúp bạn tránh được các Hacker dòm ngó tấn công local attack? Nhưng vấn đề thực sự nằm ở chỗ nếu website của bạn không bảo mật kĩ thì kiểu gì bạn cũng sẽ bị tấn công không bằng cách này thì bằng cách khác.
  • Và bạn cũng sẽ không bao giờ biết được IP thật sự của khách khi truy cập vào website của bạn.
  • Cả thế giới truy cập vào website của bạn thông qua một vài dải IP của CloudFlare. Điều này 100% khiến firewall của máy chủ hiểu lầm rằng CloudFlaređang tấn công vào máy chủ của bạn. Nguyên nhân do một vài IP của CloudFlare có luồng dữ liệu ra vào máy chủ quá lớn. Mình đã phân tích và chứng minh được rằng trường hợp nhiều bạn gặp lỗi “Site Offline” trong khi máy chủ vẫn bình thường là do Firewall đã tự động block hết ip của CloudFlare. Thử tưởng tượng xem một máy chủ Share Hosting mà có nhiều website cùng sử dụng CloudFlare thì nó sẽ tệ thế nào ?
  • Mặc dù được quảng cáo là giảm thiểu thiệt hại khi bị tấn công từ chối dịch vụ (DDoS) nhưng vô hình chung khi sử dụng CloudFlare chúng ta lại gặp được những vấn đề rất bất lợi. Cụ thể bạn sẽ không thể nào biết được địa chỉ thật sự của hacker. Nếu không sử dụng CloudFlare trường hợp hacker dùng 1 máy tính tấn công vào website của bạn, HP chỉ cần chặn IP đó ở firewall là xong. Nhưng khi sử dụng CloudFlare luồng dữ liệu đi tới máy chủ của bạn quá lớn, CloudFlare sẽ phân luồng dữ liệu đó ra nhiều luồng với nhiều địa chỉ IP khác nhau. Vô tình điều này sẽ làm máy chủ của bạn sập nhanh hơn, quản trị bối rối hơn do có quá nhiều IP của CloudFlare cùng tấn công vào Website của bạn (tất nhiên nó cũng được giảm thiểu theo quảng cáo của CloudFlare).
  • Chỉ cần bật Captcha lên là bạn có thể ngăn chặn mọi cuộc tấn công DDOS ? Bạn đừng nhầm, Hacker có những công cụ rất tốt có thể vượt qua được cả reCaptcha. Trong trường hợp DDOS thông thường website của bạn vẫn cứ bị ảnh hưởng như thường.

1 ANSWERS


Answered Mar 16th, 2:30 AM
Accepted
+12

Theo như những gì mình biết, thì mình xin giải đáp về các vấn đề bạn liệt kê ở trên như sau 😄

Nếu website của bạn có máy chủ đặt tại Việt Nam, khách truy cập cũng chủ yếu đến từ Việt Nam thì việc sử dụng CloudFlare làm chậm đi tốc độ tải trang của bạn do ảnh hưởng bởi chất lượng đường truyền quốc tế✌️

Check trên graph Cloud Flare network thì bạn sẽ thấy CloudFlare đã có 2 trung tâm dữ liệu ở Hà Nội và TP Hồ Chí Minh. Lục lại một chút từ thông báo Ten new data centers: Cloudflare expands global network to 165 cities thì họ đã mở 2 data centers này từ cuối năm 2018 rồi bạn ạ, thế nên cũng không phải quá lo lắng về việc người dùng Việt Nam sẽ phải access ra server nước ngoài khi truy cập vào trang web của bạn nhé 😄

Uptime website của bạn ngoài phụ thuộc vào máy chủ hosting còn bị phụ thuộc vào độ ổn định của CloudFlare.

Cái này thì đúng, do các request đều đi qua CloudFlare trước khi đến được với server của bạn. Thế nên nếu CloudFlare lăn ra chết, thì người dùng sẽ không thể truy cập vào dịch vụ của bạn được, ngay cả khi service của bạn vẫn đang hoạt động bình thường. Vào tháng 7 năm ngoái từng xảy ra sự cố CloudFlare gặp lỗi, dẫn đến tất cả dịch vụ dùng CloudFlare, ước tính lên đến gần 10% số trang web trên toàn thế giới, rơi vào tình trạng không thể truy cập được.

Nhưng phải nói đây là sự kiện rất hy hữu bạn ạ. :v

Sử dụng CloudFlare thì không ai có thể biết được IP máy chủ của bạn. Điều này sẽ giúp bạn tránh được các Hacker dòm ngó tấn công local attack? Nhưng vấn đề thực sự nằm ở chỗ nếu website của bạn không bảo mật kĩ thì kiểu gì bạn cũng sẽ bị tấn công không bằng cách này thì bằng cách khác.

Câu này thì phần sau hoàn toàn đúng, vấn đề bảo mật thì vẫn phụ thuộc vào bạn là chủ yếu. Ý trước là CloudFlare sẽ giúp che giấu thông tin về địa chỉ IP của bạn thì cũng đúng, bởi mọi request từ phía người dùng sẽ đều đi qua CloudFlare, và máy client sẽ chỉ biết đến IP của CloudFlare mà thôi. Tuy nhiên, bạn vẫn có thể bị lộ IP của server của mình, nếu bạn từng trỏ domain vào thẳng server của mình trước đó. Hiện cũng có một số dịch vụ hay công cụ cung cấp chức năng reveal IP thực của service có dùng CloudFlare. Chúng làm được như vậy bởi trước khi dùng CloudFlare, các service kia từng trỏ domain vào thẳng server, và những bản ghi này có thể được lưu lại bởi một vài các dịch vụ, và có thể truy ngược lại lịch sử để lấy ra. Ví dụ như bạn có thể sử dụng https://securitytrails.com/ để tìm lại lịch sử record DNS của một domain, từ đó tìm ra được IP của server của dịch vụ đó, trước khi nó chuyển sang CloudFlare.

Bởi thế, nếu cần che giấu hoàn toàn IP của mình, thì bạn cần phải transfer thẳng domain về CloudFlare ngay khi mua xong domain, hoặc đổi hẳn IP của server, hay chuyển server, sau khi bắt đầu sử dụng CloudFlare.

Và bạn cũng sẽ không bao giờ biết được IP thật sự của khách khi truy cập vào website của bạn.

Cái này thì sai. CloudFlare cho phép bạn lấy được thông tin về IP của client thông qua các header như CF-Connecting-IP, True-Client-IP hoặc X-Forwarded-For. Bạn cần config thêm ở phía web server của mình là hoàn toàn có thể log được lại hết client IP mà không gặp vấn đề gì.

Bạn có thể tìm hiểu thêm tại đây:

Cả thế giới truy cập vào website của bạn thông qua một vài dải IP của CloudFlare. Điều này 100% khiến firewall của máy chủ hiểu lầm rằng CloudFlaređang tấn công vào máy chủ của bạn. Nguyên nhân do một vài IP của CloudFlare có luồng dữ liệu ra vào máy chủ quá lớn. Mình đã phân tích và chứng minh được rằng trường hợp nhiều bạn gặp lỗi “Site Offline” trong khi máy chủ vẫn bình thường là do Firewall đã tự động block hết ip của CloudFlare. Thử tưởng tượng xem một máy chủ Share Hosting mà có nhiều website cùng sử dụng CloudFlare thì nó sẽ tệ thế nào ?

Cái này thì bạn chỉ cần add IP của CloudFlare vào whitelist trên server của mình, để nó không block CloudFlare là được 😅

Mặc dù được quảng cáo là giảm thiểu thiệt hại khi bị tấn công từ chối dịch vụ (DDoS) nhưng vô hình chung khi sử dụng CloudFlare chúng ta lại gặp được những vấn đề rất bất lợi. Cụ thể bạn sẽ không thể nào biết được địa chỉ thật sự của hacker. Nếu không sử dụng CloudFlare trường hợp hacker dùng 1 máy tính tấn công vào website của bạn, HP chỉ cần chặn IP đó ở firewall là xong. Nhưng khi sử dụng CloudFlare luồng dữ liệu đi tới máy chủ của bạn quá lớn, CloudFlare sẽ phân luồng dữ liệu đó ra nhiều luồng với nhiều địa chỉ IP khác nhau. Vô tình điều này sẽ làm máy chủ của bạn sập nhanh hơn, quản trị bối rối hơn do có quá nhiều IP của CloudFlare cùng tấn công vào Website của bạn (tất nhiên nó cũng được giảm thiểu theo quảng cáo của CloudFlare).

Như đã chia sẻ ở trên, bạn có thể config ở phía web server của mình để nhận về IP thực của client, nên bạn vẫn sẽ có thể phân tích, và ban những IP thực đó, từ phía server của mình.

Chỉ cần bật Captcha lên là bạn có thể ngăn chặn mọi cuộc tấn công DDOS ? Bạn đừng nhầm, Hacker có những công cụ rất tốt có thể vượt qua được cả reCaptcha. Trong trường hợp DDOS thông thường website của bạn vẫn cứ bị ảnh hưởng như thường.

Cái cuối này thì có vẻ không liên quan gì đến CloudFlare cho lắm nhỉ 😅

Trên đây là một số chia sẻ của mình, hy vọng có thể giúp ích được cho bạn 😃

Share
Lê Tuấn Anh @tuananhbfs
Mar 16th, 2:40 AM

cám ơn b rất nhiều.

0
| Reply
Share
Lê Tuấn Anh @tuananhbfs
Mar 17th, 2:49 AM

@thangtd90 Bạn có biết làm sao check dc Cloudflare nó đang dùng datacenter nào khi mình truy cập website ko ?

0
| Reply
Share
Tran Duc Thang @thangtd90
Mar 17th, 7:13 AM

@tuananhbfs Bạn có thể thêm /cdn-cgi/trace vào đằng sau domain của mình, ví dụ https://viblo.asia/cdn-cgi/trace, thì sẽ thấy được cdn server của CloudFlare đang được trỏ đến. (có mục colo=ABC trong đó ABC là mã sân bay quốc tế gần với vị trí đặt data center nhất)

Hoặc bạn có thể test ở trang này https://cloudflare-test.judge.sh/ 😄

Về vấn đề CloudFlare không tự động routing cho request của bạn đến với cdn server gần nhất (trong cùng một nước) thì bạn có thể tham khảo việc bàn luận tại đây. Nhìn chung là do sự khác biệt giữa plan free và trả phí thôi :v

+1
| Reply
Share