套cf后 站点WAF防火墙规则设定 这2+1就够了 全能防御恶意流量攻击！ 套cf后 站点WAF防火墙规则设定 这2+1就够了 全能防御恶意流量攻击！转自 科技L 自己网站受攻击是正常的，下面说说怎么在cf防范打开cf网站受攻击的域名，安全性---WAF---自定义规则，一般可免费创建五个规则，下面是网友建好的，当然规则是死的，人是活的，许多地方可以举一反三，灵活修改【遇到强烈攻击时，宁可错杀一千不放过一个ip的原则选择交互式质询或阻止，规则先后秩序一般是 先放行后阻止 】1、放行跳过机器人扫描规则-KJL(cf.client.bot) or (http.user_agent contains "duckduckgo") or (http.user_agent contains "facebookexternalhit") or (http.user_agent contains "Feedfetcher-Google") or (http.user_agent contains "LinkedInBot") or (http.user_agent contains "Mediapartners-Google") or (http.user_agent contains "msnbot") or (http.user_agent contains "Slackbot") or (http.user_agent contains "TwitterBot") or (http.user_agent contains "ia_archive") or (http.user_agent contains "yahoo")2、全球用户js质询访问记录全球所有的用户访问都会有ip记录，方便你追踪，通过5s盾保护安全(ip.geoip.continent eq "AF") or (ip.geoip.continent eq "AN") or (ip.geoip.continent eq "AS") or (ip.geoip.continent eq "EU") or (ip.geoip.continent eq "NA") or (ip.geoip.continent eq "OC") or (ip.geoip.continent eq "SA") or (ip.geoip.continent eq "T1")3、恶意流量托管质询规则-KJL【可修改威胁分数值，值越大越严格，当然也可以把托管质询修改为更严格的 交互式质询或阻止 】2025年8月8日修改(cf.threat_score ge 15 and not cf.client.bot) or (not http.request.version in {"HTTP/1.1" "HTTP/2" "HTTP/3"}) or (not http.user_agent contains "Mozilla/")原来规则(cf.threat_score ge 5 and not cf.client.bot) or (not http.request.version in {"HTTP/1.2" "HTTP/2" "HTTP/3" "SPDY/3.1"}) or (not http.user_agent contains "Mozilla/")4、可适当添加速率限制规则限制时间窗口（比如 10 秒）限制请求数（比如 10 次）【可修改为20次、30次等】超过就 阻止/质询（block/challenge）//login/api/三个网站页面(http.request.uri.path eq "/") or (http.request.uri.path eq "/login") or (http.request.uri.path eq "/api/")其它规则 阻止：( /* --- 固定 IP 黑名单 --- */ ip.src in { 136.243.216.232 43.134.171.180 54.175.182.99 3.85.24.248 179.43.191.18 92.204.239.20 } /* --- User-Agent 黑名单：扫描工具 / 爬虫。常见的扫描器、爬虫、自动化工具（Censys、Expanse、HeadlessChrome、python-requests 等） --- */ or http.user_agent contains "InternetMeasurement" or http.user_agent contains "Censys" or http.user_agent contains "HeadlessChrome" or http.user_agent contains "Expanse" or http.user_agent contains "OPD" or http.user_agent contains "fasthttp" or http.user_agent contains "ALittle Client" or http.user_agent contains "ct-git-scanner" or http.user_agent contains "python-requests" /* --- ASN 黑名单：ASN 多是云厂商、IDC、代理/VPN 节点（比如 AWS:16509、DigitalOcean、Hetzner、OVH、M247、Leaseweb 等），常见攻击来源。 --- */ or ip.geoip.asnum in { 14168 16509 211298 45102 63023 200593 399486 7713 135377 14061 209854 401120 206092 36903 48693 8758 216167 14987 208161 204428 8560 31898 137409 48090 16276 210558 198953 212238 51167 202425 58224 60068 9009 401116 174 28573 52053 206216 396356 62240 43641 8075 22295 62610 25369 19871 211590 197540 198605 49870 } /* --- 国家黑名单：来源国家是 塞舌尔 (SC) 或 爱尔兰 (IE)，直接拦截。 --- */ or ip.src.country in {"SC" "IE"} /* --- 敏感目录扫描：如果请求的 URL 路径包含 /.git 或 /.env，直接拦截。 --- */ or http.request.uri.path contains "/.git" or http.request.uri.path contains "/.env" ) 这条规则的作用就是：拦截已知的恶意 IP拦截常见扫描工具 / 爬虫拦截高风险 ASN（IDC/云厂商）拦截指定国家来源的流量拦截探测敏感文件路径的扫描请求等于是 一条“黑名单大合集规则”，只要命中任意条件，就会被挡住。拦截：针对监控/探测类爬虫( http.user_agent contains "UptimeRobot" or http.user_agent contains "SemrushBot" or http.user_agent contains "AhrefsBot" or http.user_agent contains "MJ12bot" or http.user_agent contains "DotBot" or http.user_agent contains "ZoominfoBot" or http.user_agent contains "Python-urllib" or http.user_agent contains "python-requests" or http.user_agent contains "Go-http-client" or http.user_agent contains "curl" ) 解释UptimeRobot → 网站监控工具SemrushBot / AhrefsBot / MJ12bot / DotBot / ZoominfoBot → 常见 SEO 爬虫，通常会大量抓取页面（可能影响性能，不一定有益处）Python-urllib / python-requests / Go-http-client / curl → 常见脚本/扫描器的 User-Agent允许(cf.client.bot) or (http.user_agent contains "UptimeRobot")跳过组件勾选：所有其余自定义规则，用户代理封禁，浏览器完整性验证

Cloudflare五秒盾、JS质询、托管质询以及交互式质询的区别 Cloudflare五秒盾、JS质询、托管质询、交互式质询以及阻止的区别本文转自： 多记 - LOT.PM 一、JS质询（五秒盾）开启后，访客浏览器需要完成JS验证才能访问网站。其特点是用户无需点击，整个验证过程是自动的。二、托管质询托管质询（Managed Challenge）也就是俗称的五秒盾，托管质询是JS质询和交互式质询的结合版。实际上如果网络连接通畅，JS质询的完成时间其实是在1秒以内的，而之所以叫五秒盾其实是因为在中国大陆访问Cloudflare的连接性不佳，从而导致验证速度较慢，完成验证所需时间大概为5秒。Cloudflare会根据访客的环境、IP等参数进行评分，风险较低的用户会启用JS验证，而较高风险的用户会被要求完成交互式质询（需要完成鼠标点击的操作）。三、交互式质询交互式质询（Interactive Challenge）在某种意义上是验证码质询，也就是需要用户完成鼠标点击交互才能完成验证，这种验证比较影响用户体验，但安全性较JS质询而言更高。四、阻止没话说了，阻止，进不来了，别想访问五、总结阻止，交互式质询安全性高，但用户体验较差。JS质询用户体验较好，但安全性不如交互式质询。

一次可生成n加节点，YTB视频4K秒开！2024最新永久免费，订阅节点订阅搭建保姆教程 一次可生成n加节点，YTB视频4K秒开！2024最新永久免费，订阅节点订阅搭建保姆教程 本文转自： 科技共享 原项目地址 代码 创建邦定KV空间，命名：settings支持Windows、MacOS、Linux 优选IP使用，操作简单，速度快。创建好后， 第一次打开设置登录密码 第一次打开设置登录密码 第一次打开设置登录密码 其它根据需要再设置

永久免费节点搭建！通过Cloudflare Worker部署免费的VLESS节点，4K高速，解锁Netflix、ChatGPT 永久免费节点搭建！通过Cloudflare Worker部署免费的VLESS节点，4K高速，解锁Netflix、ChatGPT本文转载自： 科技小露 本文是通过 zizifn 大佬的一个开源项目 edgetunnel ，使得我们可以免费的在 Cloudflare 上面通过部署 Worker ，来创建一个免费 VLESS 节点！一、准备工作注册 Cloudflare 账号并登录二、CloudFlare 部署免费节点原作者 GitHub 源项目地址 Worker 部署 VLESS1、来到 Cloudflare 首页，点击 Workers 和 Pages ，创建 Work ，自定义名称，然后部署！而后，编辑代码，清除原先代码，填入如下代码： Workers代码 2、在线生成一个 UUID ，用于替换下面代码中第七行的 UUID。（或是用 V2rayN 生成一个）3、因为原项目里面的代码“ proxy IP ”为空，关于 proxy IP ，是用于转发CF的一些流量，所以，若是存在套了CF的一些网站无法打开，请更换其中的其他网址，也就是第九行中的部分网址！ProxyIP 可以替换成域名或优选IPproxyip.us.fxxk.dedyn.io更多 proxyIP 列表：CM 维护proxyip.us.fxxk.dedyn.io IP落地区域: 美国 维护频率: 12小时/次 proxyip.sg.fxxk.dedyn.io IP落地区域: 新加坡 维护频率: 12小时/次 proxyip.jp.fxxk.dedyn.io IP落地区域: 日本 维护频率: 12小时/次 proxyip.hk.fxxk.dedyn.io IP落地区域: 香港 维护频率: 12小时/次 proxyip.aliyun.fxxk.dedyn.io IP落地区域: 阿里云 维护频率: 4小时/次 proxyip.oracle.fxxk.dedyn.io IP落地区域: 甲骨文 维护频率: 4小时/次 proxyip.digitalocean.fxxk.dedyn.io IP落地区域: 数码海 维护频率: 4小时/次白嫖哥维护workers.cloudflare.cyouMingyu 维护my-telegram-is-herocore.onecf.eu.org sg.ipdb.rr.nu nl.ipdb.rr.nu hk.ipdb.rr.nu jp.ipdb.rr.nu us.ipdb.rr.nu小一维护hk.cf.zhetengsha.eu.org sg.cf.zhetengsha.eu.org us.cf.zhetengsha.eu.org jp.cf.zhetengsha.eu.org代码修改完毕以后，点击右边的部署 – 保存并部署，然后点击左边的箭头，返回！ 4、访问创建的vlessjd，在网站后加上“/UUID” ，即可看到节点信息，当然，里面包含了 订阅链接！ 至此，节点部署完毕，复制 VLESS 的订阅链接，粘贴到 V2rayN 里面。其它使用和优选等自己找教程

使用cloudflare搭建永久免费Trojan节点，免费创建自定义域名，多个节点，无需手动优选，免费无门槛搭建 使用cloudflare搭建永久免费Trojan节点，免费创建自定义域名，多个节点，无需手动优选，免费无门槛搭建本文转载自： 小白科技 之前小白分享过很多期使用cloudflare自建VLESS节点，但是cloudflare的规则跟新之后导致很多VLESS节点都无法使用，但是Trojan的节点是可以使用的，所以本期视频我们通过cloudflare的Workers搭建Trojan节点。首先说明，本期视频使用的所有代码都是CM大佬发布在Github上的免费开源项目，在这里感谢大佬。源项目地址：https://github.com/cmliu/epeius?tab=readme-ov-file一、项目部署：cloudflare官网地址：https://dash.cloudflare.com/sign-up项目代码地址：https://github.com/cmliu/epeius/blob/main/_worker.js项目部署完毕后添加变量1、PASSWORD，密码：个人喜好可取任意数字2、SUB，trojan.fxxk.dedyn.io二、自定义域名：自己解决，设置完这两步就可以正常使用。{dotted startColor="#ff6c6c" endColor="#1989fa"/}以下是进价 1、在变量中加入 ADD，本地优选域名/优选IP(支持多元素之间,或 换行 作间隔，如：168.1221.us.kg:443#优选 268.1221.us.kg:443#优选 ip.sb japan.com malaysia.com russia.com skk.moe www.visa.com www.visa.com.sg www.visa.com.hk www.visa.com.tw www.visakorea.com www.gov.se www.digitalocean.com www.whoer.net www.whatismyip.com www.hugedomains.com www.udacity.com www.4chan.org www.okcupid.com www.glassdoor.com www.udemy.com alejandracaiccedo.com log.bpminecraft.com www.boba88slot.com gur.gov.ua www.zsu.gov.ua www.iakeys.com www.d-555.com fbi.gov bestcf.onecf.eu.org#Mingyu大佬 cfip.xxxxxxxx.tk#OTC大佬 xn--b6gac.eu.org#优选域名2、在变量中加入 ADDAPI，如https://raw.githubusercontent.com/cmliu/WorkerVless2sub/main/addressesapi.txt https://wenben-738.pages.dev/ip.txt?token=9527 https://raw.githubusercontent.com/cmliu/WorkerVless2sub/main/addressesapi.txt3、在变量中加入 PROXYIP，如workers.cloudflare.cyou my-telegram-is-herocore.onecf.eu.org proxyip.fxxk.dedyn.io4、在变量中加入SUBAPI，clash、singbox等 订阅转换后端，如subapi.fxxk.dedyn.io5、在变量中加入ADDCSV，如https://raw.githubusercontent.com/cmliu/WorkerVless2sub/main/addressescsv.csv三、该项目部署的节点可通过节点PATH(路径)的方式，使用指定的PROXYIP或SOCKS5！！！1、指定 PROXYIP 案例 (仅限于域名开头为'proxyip.'的域名)，可把jp改为其它国/proxyip=proxyip.jp.fxxk.dedyn.io /?proxyip=proxyip.jp.fxxk.dedyn.io /proxyip.jp.fxxk.dedyn.io2、指定 SOCKS5 案例/socks5=user:password@127.0.0.1:1080 /?socks5=user:password@127.0.0.1:1080 /socks://dXNlcjpwYXNzd29yZA==@127.0.0.1:1080 /socks5://user:password@127.0.0.1:1080等等 !