Cloudflare size hosting hizmeti sağlamıyor diğer koruma seçeneklerindeki farklı yanı bu.

Diğer koruma çeşitlerinde sunucunuzun bulunduğu verimerkezi içindeki fiziksel cihazlar veya o verimerkezine giden hat üzerindeki cihazlarda filtreleme yapılıp trafik temiz olarak verimerkezine geliyor (ttddos servisi gibi)

Cloudlfare de ise sitenizi sisteme eklersiniz, size 2 adet dns verir sitenizi oraya yönlendirirsiniz, dnslerinizi yönlendirdikten sonra artık sizin sunucunuz ile cloudflare arasında bir bağ kurulmuş olur, ziyaretçiler sitenize talep yaptığında, siz cloudflare dnslerinizi kullandığınız için cloudflare otomatik olarak kendi sunucuları üzerinden sizin sunucunuza bağlantı yapar talep edilen isteğin cevabını alır kendi üzerinden geçirerek ziyaretçiye sunar.

Ziyaretçinin gönderdiği ve aldığı istekler cloudflare sunucuları üzerinde döndüğü için cdn, layer7 firewall gibi özellikleri kullanma şansınız olur, istekler gelip giderken belirlediğiniz kurallara ve ayarlara göre cloudflare sunucuları üzerinde işlenir.

Cdn açısından bakarsak cloudflare kullanmadığınızda tüm içeriğiniz kendi sunucunuz üzerinden ziyaretçiye gelir, cloudflare kullandığınızda otomatik olarak cdn servisinden yararlanırsınız sitenizin içerikleri bir kere cache edildikten sonra artık statik içerikler (jpg,gif,js,css) direk cloudflare sunucuları üzerinden ziyaretçiye sunulmuş olur bu şekilde hem sunucunuzun webserver yükü düşer hemde trafik kullanımında düşüş olur.

Botnet v.b layer7 saldırılarda ise yine tüm layer4 istekler cloudflare webserverları üzerinde döndüğünden tekil ip bloklama, ülke ip bloklama, browser check veya token login gibi ayarları kullanabilirsiniz, böylece agresif trafik sizin sunucunuza girmeden önce köprü vazifesi gören cloudflare sunucuları üzerinde filtrelemeden geçmiş olur.

Layer4 taraflı tcp-udp v.b diğer network protokollerinden gelen gbit seviyesi saldırılara gelirsek, sitenize ping attığınızda veya dns a kaydına baktığınızda sunucu ip adresiniz görünmez, çünkü cloudflare dnslerini kullanıyorsunuz ve sitenizi cloudflare üzerine kayıt ettirdiniz, yaptığınız tüm layer4-7 talepleri direk cloudflare sunucuları üzerinden işlem görecektir ve size ip cevabı olarak cloudflare in sizi atadığı sunucu ipini gösterecektir.

(Tabi cloudflare dns paneli üzerinden açıkta bir subdomaininiz olmamalı, aksi halde saldırgan sizin gerçek sunucu ip adresinize ulaşıp bu ip adresine atak başlatabilir)

Saldırgan kişi sizin sitenizden gelen ping cevabında çıkan ip adresine saldıracaktır, ancak bu ip cloudflare sunucularına ait bir iptir, cloudflare sunucularının olduğu network 2 gruba ayrılmıştır.

İlk grup iplerde free ve pro hesapların barındığı webserver sunucuları bulunur, bu network üzerinde giriş seviyesi bir koruma vardır bu ip adreslerine gelen saldırılarda 2-4 gbite kadar anlık koruma vardır ancak atak tcp-syn ise atak belli süre devam ettikten sonra o ip adresi otomatik olarak network üzerinden düşürülür, sistem otomatik olarak o ipe bağlı olan sitelerin çözümlendiği ipleri değiştirir, saldırı yeni ipe gelmeye başlarsa tekrardan belli süre ip adresini açık tutar sonra tekrardan düşürür, tabi bu süreç böyle günlerce sürmez atak devam ederse cloudflare bir şekilde saldırı alan siteyi tespit edip korumayı bypass ederek siteyi cloudflare dışında bırakıyor, artık tüm trafiğiniz direk sunucunuz üzerinden geçmeye başlıyor. Bu anlattığım süreç free ve pro hesapta olan süreçtir, udp ataklarında dayanma gücü daha yüksektir tcp-syn veya yüksek miktarda http-get ataklarda hesabınız durdurulur.

2.grup networkte ise cloudflare in dns sunucularının ipleri, business ve enterprise pakette yer alan sunucuların olduğu networktür.

Bu network cloudflare in private networküdür bir nevi

Tier seviyesi daha yüksek, daha stabil temiz bir hatta sahip, çok sayıda verimerkezi ile load balancer mantığı ile çalışan, çok güçlü webserver sunucuları ve network ekipmanları içeren yedekli bir networktur.

Dikkat ederseniz free ve pro hesap aldığınızda siteniz 2 ip üzerinde çalışır, business ve enterprise pakette ise 6 veya daha fazla ip üzerinde çalışır aradaki farkı burdan anlayabilirsiniz.

Bu network tabiki layer4-7 tüm saldırılara karşı çok daha dayanıklıdır, milyonlarca agresif http-get isteği filtreleyebilme ve 500 gbit civarı layer4 agresif trafiği döndürebilme kapasitesine sahiptir, ciddi projesi olana, saldırı konusunda çok başı ağrıyana nimettir.