Test de Cloudflare

par Korben -

Il y a quelques jours, j’ai encore essuyé quelques attaques Ddos. Le serveur est tombé plusieurs fois, repoussant ses limites tel Chuck Norris pris dans une tempête nucléaire.

J’ai donc chouiné mon désespoir sur Google+, et certains d’entre vous ont été de bon conseil en rappelant à mon bon souvenir un service de CDN gratuit et efficace qui s’appelle CloudFlare.

Ça fait un moment que ça existe, et je pense que certains d’entre vous connaissent déjà, mais je n’avais jamais eu l’occasion de le tester. Et bien c’est chose faite et je vais vous faire un petit feedback.

Tout d’abord, Cloudflare rempli des fonctions classiques de CDN. C’est à dire qu’il met progressivement en cache les pages de votre site, et les rend accessibles à différents endroits de la planète. Etats Unis, Allemagne, Pays Bas, France, Japon, Thailande, Hong Kong… Vos visiteurs du monde entier accèderont alors plus rapidement à votre contenu.

Il y a plusieurs intérêts à passer par un CDN comme Cloudflare. Ça accélère (en général) le temps de chargement de vos pages. Ça vous fait économiser de la bande passante. Ça permet d’avoir toujours des pages accessibles même en cas d’indisponibilité de votre serveur.

Au niveau du paramètrage, c’est hyper simple et hyper bien pensé. Vous n’avez pas à redéfinir votre zone DNS. Juste mettre les DNS de CloudFlare sur votre domaine. Ensuite, c’est Cloudflare qui gère le truc.

Les mecs ont levé 20 millions d’euros en juillet, donc ils peuvent encore proposer une offre gratuite qui franchement est top. Pas de frustration pour l’abonné à l’offre gratuite.

Mais là où Cloudflare se différencie des autres CDN, c’est qu’il apporte une couche supplémentaire de sécurité pour votre serveur.

Comment ?

Et bien en utilisant les bases de données du projet Honeypot, et ses propres systèmes de détection d’attaques de botnet et de spam, Cloudflare est capable de bloquer ces ordinateurs à la source. Cela signifie que si un botnet vous attaque ou qu’un spammeur souhaite se faire les dents sur votre site, il sera immédiatement bloqué au niveau de Cloudflare. Evidemment, ça ne fonctionne que si l’attaquant pointe ses armes vers votre nom de domaine et pas directement vers l’ip de votre serveur. Mais c’est le cas de la plupart des attaques de botnet.

Cela veut dire moins de taf pour votre anti-spam wordpress par exemple, et plus de risque (en théorie) de voir votre site rendu inaccessible par un petit farceur.

Au niveau des options, il y a pas mal de petits trucs réglables. Vous pouvez baisser ou augmenter le niveau de sécurité afin d’alléger ou renforcer le filtrage des potentiels attaquants. Lorsqu’un ordinateur est détecté comme nuisible, son propriétaire tombe alors sur une page qui lui demande un captcha et qui lui explique la situation. Ainsi il est au courant que son ordinateur a peut être un problème de malware et est actuellement utilisé dans un botnet. S’il entre le captcha, il aura accès à votre site pour une durée que vous pouvez définir (quelques heures, une journée, une semaine…etc).

La version pro de Cloudflare propose aussi un firewall qui est capable de bloquer les attaques automatisées, les injections SQL et XSS…etc etc. Mis à part ça, vous pouvez aussi activer quelques options comme l’optimisation de votre site comme par exemple l’auto-minify des CSS, JS et HTML (en beta). Cela veut dire qu’automatiquement, les CSS, JS, HTML que Cloudflare enverra, seront optimisés pour en réduire le temps de chargement.

L’option Rocket Loader (en beta) permet d’activer sans vous prendre la tête, l’exécution asynchrone de vos javascripts. Cela permet à vos visiteurs de charger la page encore plus vite. Cloudflare est aussi capable d’empêcher le hotlinking sur vos images… (Fini les incrustes de photos pornos sur les blogs des voleurs… snif :-) ) Et est capable automatiquement de protéger les adresses emails présentes dans les pages, pour éviter qu’elles se fassent pomper par un robot à la recherche de nouvelles poires à spammer.

Enfin, dernière option sympa, le preloader (option pro), qui après le chargement de la première page, va commencer à charger les ressources statiques des pages linkées pour donner l’impression aux clients que la page se charge très vite.

Une fois que Cloudflare est en place sur un site, il n’y a plus rien à faire… Vous pouvez aller vous faire plaisir dans les stats mais ça ne vaut pas Analytics. (D’ailleurs analytics est très bien supporté par Cloudflare pour peu que vous ayez activé l’option.). Seules données qui font plaisir : La quantité de bande passante économisée et le nombre de requêtes sauvées qui se seraient terminées sur un timeout.

Vous pouvez aussi aller consulter les attaques bloquées et débloquer les pauvres malheureux dont les envois POST n’auraient pas été compris. Quand je dis “pauvre malheureux”, je pense à moi car à chaque fois que je postais un article avec Wordpress, Cloudflare me proposait son captcha en pensant que je faisais une petite attaque. Je me suis donc mis tout seul comme un grand dans la liste blanche.

Un truc amusant, c’est de voir les spammeurs chinois, marocains, tunisiens, russes, français, Sénégalais…etc etc etc laisser des petits messages parce qu’ils ne comprennent pas ce qui leur arrive… Exemple du classique : WTF !

Bref, tout roule… Agarik (mon formidable hébergeur) doit d’ailleurs être content de toute cette bande passante économisée. Moi je souffle niveau ddos et spam et la vie est belle.

Bref, je vous invite fortement à essayer surtout que niveau offre gratuite, il y a vraiment tout ce dont vous avez besoin, sans limite débile au niveau de la bande passante ou autre.