如何利用免费堡塔云WAF和Cloudflare规避网站的恶意投诉

事件背景：

某些行业因为特殊原因或竞争激烈会经常遭受到同行的恶意投诉（制造假文件的方式来投诉对方侵权统称为恶意投诉），一般投诉者的流程是先查询你的网站域名Whois属于哪家注册的，基本90%的域名都可查对方域名的注册地；其次分析你的DNS挂靠的所在服务商是谁；为什么要查域名的DNS？因为此类情况也是非常多网站建设着的做法，比如在某家IDC购买了域名，但是把域名的DNS挂在了另外一家CDN服务商来加速网站的访问和隐藏网站的真实IP。

当投诉者弄清楚你的域名注册商以及DNS挂靠商或服务器IP服务商后，那么他首先是制造一份假文件投诉到你的域名注册商/DNS挂靠商/IP服务商，由于国内IDC政策的一些缘故，国内IDC商户都较怕侵权文件，一般不管对方是否真实投诉方的委托方都会叫域名拥有者/服务器内容 及时整改或将域名HOLD禁止解析。如果你的域名是在比较没有什么“地位”的IDC服务商里买的，那么以下的操作你也可以不用看了，因为接下来的操作是建立在你的域名商户是一个“流氓”服务商，他不会负责客户域名内所建设的内容，只会一味的把责任推卸转发给你的DNS服务商或解析的IP服务商。

那么如果你的域名IDC服务商是一个“流氓”的话，那恭喜你，你可以利用我介绍的这个方式去规避此类恶意投诉。那么是怎么去规避的呢？我们利用堡塔云WAF的节点性质和Cloudflare CDN的性质双结合，去双重隐藏我们真实的服务器IP，并将投诉转移到抗投诉的IP上。

准备工具

1、一台可以抗恶意投诉的服务器（购买渠道自行网上搜索），主要架设成堡塔云WAF单节点。
2、一台任意的源服务器，主要用来搭建你的网站内容。（在跟着下面操作的时候你就要在这个服务器已经完成网站的搭建）
3、一个域名（这类“流氓”域名服务商的域名自行网上搜索购买），主要用于绑定堡塔云WAF节点IP。
4、一个Cloudflare账号，主要用于加速网站访问和隐藏域名源IP。

堡塔云WAF简单介绍

1、堡塔云WAF提供简单便捷的网站安全防护，需要一台独立的服务器来安装使用。
2、一键创建添加防护网站，填写回源IP，既可开启网站安全防护。
3、自动防护漏洞，通过多重防护规则以及智能CC防护，防止被渗透攻击，为您的网站保驾护航。

Cloudflare CDN简单介绍

Cloudflare 的全球网络往往比互联网更快，提供与所有主流云提供商的直接连接，并与世界上几乎所有服务提供商互连。在 310 多个城市拥有数据中心，向大约 95% 的世界互联网用户提供约 50 毫秒的延迟。

操作教程（该教程不适用于小白，仅针对熟练Centos和建站人员）

• 获取堡塔云WAF单节点服务器配置SSH脚本（安装集群版本自行去官网复制脚本）
  

URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh

使用SSH工具连接Centos服务器，直接右击粘贴这段命令，等待5分钟左右安装完会给一个堡塔云WAF登录地址和账号密码，使用浏览器打开登录即可。

• 打开堡塔云WAF的网站列表添加网站，输入你的网站域名，如果有SSL证书要记得勾选SSL证书，如果你的源服务器使用的是宝塔服务搭建的网站并且有使用SSL进入面板的话，要选择HTTPS的源服务器IP，否则通信会失败的；还有一个非常重要的选择就是是否使用CDN，要选择已使用，这是为了等一下配套CF的CDN来隐藏源IP和转移投诉矛盾的策略。（这一步操作好了之后不要马上在域名注册商边的将域名解析改到这个WAF节点的IP上，我们还需要修改域名的DNS到Cloudflare，然后去Cloudflare解析到这个宝塔WAF的IP上，看第3步骤有说明。）
  
• 注册一个Cloudflare账号并登录，点击添加站点，根据提示的步骤将你的域名DNS改为Cloudflare的DNS，那么你的域名就可以完美的挂载在Cloudflare平台解析域名了。(看得懂中文的都懂得怎么一步一步的跟着操作，我就不演示了)
  
  添加成功后的界面，是这样的，那么我们需要对两个地方进行修改，DNS解析/SSL设置。（这里的SSL设置可以选择不设置，如果你想要更安全的证书那么你可以设置，因为大部分使用的SSL证书都是免费的，而Cloudflare提供的SSL证书是他们独家签发的，跟他们CDN节点配套的。）
  这里记录值就是服务器IP的意思，你填写哪个IP，域名就解析到哪个IP，我们这里就需要写宝塔WAF的单节点IP，因为这个服务器是我们的抗投服务器，我们要把最终的矛盾转移到这个IP上，就可以完美的规避恶意投诉。
  
  SSL的设置，要先把安全加密模式改为完全，在进源服务器选项里面去创建一张这个域名的SSL证书，如果你的宝塔WAF添加的域名已经配置SSL证书想修改，可以进入网站配置里面去修改，看下面教程就行。
  
  
  
  
• 检查宝塔WAF防火墙的CDN是否有打勾并加速网站
  
  
  这4个步骤做完后就成功实现利用堡塔云WAF和Cloudflare规避网站的恶意投诉了，可能很多人到这一步还很晕这里面的实现原理，那么我就总结说明一下。

总结说明机制原理

• 投诉者：收集你的域名注册服务商联系方式、利用追踪手段Ping出你的源服务器IP、收集你的CDN加速服务商的联系方式。
  首先投诉你的域名注册商未果，他会去投诉你的域名CDN加速商，一般域名的CDN加速商都是不会去抗这类投诉事情的，也不会去阻止禁止客户使用他的CDN，所以CDN加速服务商会把你在他们平台的解析服务器IP提供给投诉商；那么你的恶意投诉者就会去查你这个服务器IP是属于哪个IDC商家的，就会去联系他投诉他，那么如果你的服务器商家不是抗压抗投的商户，不管真假都会立马联系你整改内容或将内容迁移走，多次收到投诉会直接封机。

• 被投诉者：在抗压的域名商那边购买域名，域名商会把矛盾转移到CDN商家，那我们的CDN在Cloudflare，这个时候Cloudflare会将矛盾转移到我们的服务器IP商家，那么这个时候提供出去的IP就是抗投IP，这就形成了完美的抗投闭环。

你的疑问我来答

1. 为什么不直接把网站搭建在抗投服务器上更省事呢？
   答案：因为抗投服务器从来就不便宜，而普通服务器跟抗投服务器对比来说既便宜又可以搭建非常多网站，而我们只需要购买一台最便宜的抗投服务器就可以给几十个甚至几百上千个站做中转加速以及抗投。
2. 这样防御是做到了几层？
   答案：这样的防御做到了三层，如果对方使用的是CC攻击，那么要先突破你的堡塔云WAF防火墙（抗投服务器一般自带一些基础CC防御和上百G的DDOS防御），如果突破你的堡塔云WAF防火墙，那么WAF就会直接将所有流量直接转发到你的源服务器上，那么在转发的过程中我们还有Cloudflare这层防御，Cloudflare自带几百G以上的DDOS防御和免费的5个防御CC的脚本，如果你的免费Cloudflare脚本都被突破了，那么最后才是到你的源服务器，如果你的源服务器是宝塔面板，可以在购买一个nginx防火墙，他可以为你在清洗一大部分恶意CC流量，如果宝塔的nginx防火墙还是被突破了，那么你只能去增加你的堡塔云WAF节点了，多节点清洗就很快了。如果对方是打DDOS攻击，那么基本大概率在Cloudflare就被防御住了。
3. 这个方法可以确保100%不会被投诉成功吗？
   这没办法保证，天下没有密不透风的墙，任何事情都有崩塌的时候。

为什么要用堡塔云WAF？而不用其他的WAF服务商呢？

说实话，Cloudflare也是WAF服务商，但是为什么我们不去用呢？还是回到原来的问题上了，这些WAF服务商都不会去抗侵权的文件的，所以最好的解决方法就是你拥有一个自己的私有WAF最安全。堡塔云WAF是私有化部署方式，在自己的服务器上搭建WAF服务，安全性高，可控性强。

免费Web网站防火墙

免费的WAF防火墙，首个支持ARM国产系统的WAF防火墙，有超高自由度的自定义拦截规则和可灵活配置各种限制访问，有效防CC攻击、防恶意采集、防刷接口等常见攻击和黑客渗透测试行为，为您的业务网站保驾护航。

堡塔云WAF的特色功能

1.完全免费使用。
2.高自由度的自定义防护规则。
3.CC攻击拦截效果好。
4.支持对单URL配置人机验证。
5.缓存静态文件，减缓源站压力。

大气的拦截攻击显示屏

更多的介绍可以扫官方的二维码查看介绍。