域名权限解析错误设置什么意思_国内站点使用CloudFlare的注意事项

月升塔

必读

分钟

仅需2分钟即可快速阅读

昨天明月又接到一个被DDoS攻击的网站的安全防御订单。当时被攻击的服务器被黑洞了，站长不得不先把服务器关掉。由于这个网站多了一个“裸奔”（没有任何CDN保护）的时间，所以基本可以确定这是一次专门针对服务器IP的DDoS攻击。神奇的是，这个站长买了一个高防IP，就不再续费了。是不是听起来很熟悉？没错，又是套路（站长可以参考文章[ ]）。今天明月总结了几个使用注意事项，建议在访问前先了解一下。

攻势依旧猛烈。

UA都是假冒主流搜索引擎爬虫

幸好，都被挡住了。

1. 获取方式

一般国内网站遭遇DDoS攻击时，明月建议采用国内DNS多线路解析组合的方式应对防御。这样做的好处是国内线路可以使用国内免费CDN，不影响国内访客的浏览体验。由于大部分DDoS攻击流量使用的是海外IP代理，所以单独应对就可以了。明月实践过多次此方法，效果非常好！只需要为账号单独开通CNAME解析权限即可（参考文章[]，免费）。

CNAME接入的好处是不需要更换DNS解析服务商，只需要添加一条CNAME解析记录即可。

不过最好的防御方式还是直接使用NS接入，因为这样可以全方位无死角的保护站点，如果条件允许的话，将返回请求限制到节点IP就更加完美了（参考文章[ ]）。所谓NS接入，就是指更换DNS解析服务商，比如之前是阿里云DNS负责域名解析管理，更换为NS之后，域名解析就由阿里云DNS来管理。对于国内域名来说，这就意味着没有“多线解析”功能了，因为“多线解析”是国内DNS解析服务商独有的，海外DNS解析服务商不太可能有这个功能，大家一定要提前搞清楚。

另外，将国内域名换成NS会带来一个问题，就是全国各地解析生效的时间会长很多，保守估计是24-72小时，具体时间根据各地ISP不同而不同，除非手动清除电脑DNS缓存（这显然不是所有访客都能做到的）。所以换成NS是比较适合提前准备的访问方式。当你遭遇DDoS攻击时，使用此方式，全国解析生效需要24-72小时，网站才能正常访问。

综上所述，国内网站遭遇DDoS攻击时，想要快速免费防御，最好的方式就是CNAME接入，当然也可以提前做好准备进行防范，NS接入并不是首选，要根据自己网站的实际情况来选择。

2. 访问后出现521/520错误

很多时候国内网站访问后都会出现521/520错误，这时候不要着急，这种错误一般是节点IP向服务器发送请求被拒绝导致的。尤其使用宝塔防火墙的网站，出现这种错误的概率更高，只需要在宝塔的WAF里检查一下，比如封禁海外IP、使用CDN等都是重点。其实明月建议这些网站访问后不要使用宝塔的防火墙WAF，用处不大，而且容易出现各种奇怪的问题，甚至会影响网站的SEO。

看到这种画面不要紧张，可以通过检查服务器安全设置来解决。

因此521/520错误故障排除通常源于服务器的安全设置，您只需耐心排除故障即可。