小马博客

华为捐赠鸿蒙基础架构相关代码

Fri, 07 Jan 2022 00:42:32 +0800

6月2日，华为“鸿蒙操作系统”正式发布，这是一款面向全场景的分布式操作系统，和苹果安卓等手机电脑系统不同，鸿蒙系统可用于物联网各种设备。它既能控制手机，同时也能适配PC、平板、手表等智能终端，突破以往不同属性智能终端设备间普遍存在的“兼容性”难题。

　　此外，华为把鸿蒙（HarmonyOS）最核心的基础架构部分全部捐赠给了“开放原子开源基金会”，各个厂家都可以平等地在“开放原子开源基金会”获得代码，根据不同的业务诉求来做产品。

　　开放原子开源基金会6日表示，已于2020年9月接受华为捐赠的智能终端操作系统基础能力相关代码，随后进行开源。

　　此前有报道称，中国工业和信息化部将接手鸿蒙操作系统，而实际上，是华为向开放原子开源基金会捐赠鸿蒙操作系统相关代码，进行全面开源。

　　开放原子开源基金会根据命名规则将该开源项目命名为OpenAtom OpenHarmony，简称OpenHarmony。2021年6月1日，该基金会在代码托管平台 Gitee发布 OpenHarmony2.0 Canary版。

　　华为表示，将持续参与OpenHarmony开源项目共建。全球有兴趣、有需要的组织和个人都可以平等地参与该项目，实现共商、共建、共享、共赢。

　　开放原子开源基金会表示，OpenHarmony开源项目主要遵循 Apache2.0等商业友好的开源协议，所有企业、机构与个人均可基于 OpenHarmony开源代码，结合自身优势，去做各领域的操作系统发行版及终端产品。通俗地说，开源项目 OpenHarmony是每个人的 OpenHarmony。

　　开放原子开源基金会是致力于推动全球开源产业发展的非营利机构，由阿里巴巴、百度、华为、浪潮、360、腾讯、招商银行等多家龙头科技企业联合发起，于2020年6月登记成立，是中国在开源领域的首个基金会。

　　来源：中国新闻网

一串字符可让iPhone的WiFi崩溃

Fri, 07 Jan 2022 00:41:38 +0800

　安全人员Carl Schou近日发现了一个苹果iPhone的奇特Bug，可使WiFi功能无法使用，不但无法连上WiFi网络，还会让iOS的部分功能如：AirDrop、AirPlay 也面临无法正常使用，甚至就算把装置关机后再重新启动，上述问题也仍会持续发生，估计此异常问题可能与iOS系统漏洞有关。

　　根据Carl Schou的表述，该Bug的触发方式也十分简单，用户需要将把自己的WiFi热点设置成了以下名称：“%p%s%s%s%s%n”，当苹果iPhone连接到该WiFi时，就会导致WiFi功能无法开启，同时AirDrop、AirPlay等功能也无法使用，每次尝试再次开启WiFi时，系统都会迅速关闭，即便重新启动设备，或把家里的WiFi改成一个正常的名称也不行。

　　Carl Schou首先是在他iOS版本14.4.2的iPhone XS上测试发现的，之后他又在最新的14.6系统上进行了同样的测试，漏洞依旧存在。Carl Schou首先在Twitter上反馈了这一问题，其他多位网友看到他的描述后也复现了该漏洞。

　　该程序员进一步指出，由于该组字符串是以特殊符号组成，内容并带有「％」符号，只要 iOS 设备的WiFi联机到这组字符串时，系统的SSID网络名称可能会误认为是与程序代码有关的常用指令之一，并可能会导致系统内存损坏，进而启动保护机制，强制将装置的WiFi功能设定为关闭状态。

　　如果你是Android用户，则完全不必担心，因为有人尝试用Android手机连接同样名称的WiFi，问题没有出现。

　　一些网友认为，这个“可怕的”漏洞应该引起高度的重视。因为像这样的漏洞可能会被黑客利用，比如在公共场合设置在流氓WiFi，就可以让附近所有iPhone崩溃。

　　不过，该Bug并不是永久的，用户只要把装置内置的网络设定用手动的方式执行重新设置后，即可获得解决。操作路径为：设定 > 一般 > 重设 > 重设网络设定。

Valve掌机Steam Deck公布

Fri, 07 Jan 2022 00:41:13 +0800

7月16日，V社出品的便携式PC掌机Steam Deck正式公布，将会在今年12月正式发售和玩家见面。这款掌机64GB版售价399刀、256GB版529刀、512GB版649刀，预计将于2021年12月开始发货。Steam Deck采用定制的AMD芯片，V 社宣称该掌机可流畅运行最新的3A游戏。

　　该设备内置AMD Van Gogh APU，包含一个四核Zen 2 CPU，8个线程和8个计算单元的AMD RDNA 2图形芯片，搭配16GB的LPDDR5内存。据Valve称，有三个不同的存储选项：64GB eMMC存储售价399美元；256GB NVMe SSD存储售价529美元；以及512GB NVMe SSD存储售价649美元。还可以使用microSD卡插槽扩展可用的存储空间。

　　配置细节如下：

　　CPU: Zen 2 4c/8t, 2.4-3.5GHz (最高 448 GFlops FP32)

　　GPU: 8 RDNA 2 CUs, 1.0-1.6GHz (最高 1.6 TFlops FP32)

　　APU功耗: 4-15W

　　RAM: 16 GB LPDDR5 RAM (5500 MT/s)

　　存储: 64 GB eMMC (PCIe Gen 2 x1)

　　256 GB NVMe SSD (PCIe Gen 3 x4)

　　512 GB high-speed NVMe SSD (PCIe Gen 3 x4)

　　作为掌机，Steam Deck机身有大量的控制选项，有两个拇指杆，拇指杆下面有两个小触控板，ABXY按钮，一个D-pad和一个7英寸触摸屏。该设备也有一个用于运动控制的陀螺仪。与Switch一样，它在每侧有两个肩部触发器，还有四个背部按钮（每侧两个）。

　　Steam Deck的板载40瓦时电池为大多数游戏提供了几个小时的时间，Valve表示，"对于较轻的负载，如串流游戏，较小的2D游戏，或网络浏览，可以期望得到最大的电池寿命大约7-8小时"。

　　Valve还将出售一个底座，可以用它来支撑Steam Deck，并将它插入电视等外部显示器。不过，不需要购买底座就可以把它插入电视，如果你有合适的电缆就可以。

　　在软件方面，Steam Deck运行的是Valve所说的 "新版SteamOS"，它针对移动外形因素进行了优化。但实际的操作系统是基于Linux的，并利用Proton作为兼容层，允许基于Windows的游戏运行，而不要求开发者专门为Steam Deck移植这些游戏。当然，最终，Steam Deck仍然是一台成熟的Linux电脑，这意味着更多的技术用户也能够访问到常规的Linux桌面，还能够插入鼠标、键盘和显示器，并安装其他游戏商店、常规PC软件、浏览网页等。

　　Valve指出，Steam Deck的功能是为了模仿桌面上的常规Steam应用程序，包括聊天、通知、云保存支持，以及所有你的资料库、收藏和收藏夹都保持同步。Valve也提供远程游戏功能，直接从游戏电脑向Steam Deck传输游戏。

　　微评：Steam Deck是基于Steam OS系统，本质上是基于Linux，这需要游戏厂家开发对应的Steam OS的游戏版本才行。目前Steam商店里的3A大作大多都没有支持Steam OS的版本。

　　游戏厂商要是针对Steam Deck进行优化，需要花很大的成本，如果Steam Deck的用户量很少，那还不如开发Switch版更合算一些。而且，用户很多已经购买了Windows版本的游戏，开发出来的Steam Deck版本游戏也没法卖更多的钱。

如何去除看不到的水印

Fri, 07 Jan 2022 00:40:55 +0800

　据媒体报道，因涉及讨论内部事务要求匿名的知情人士透露，阿里巴巴上周对内宣布，针对周姓员工在内网发帖控诉遭前公司经理侵犯的文章被对外公开之事，公司已将泄露这篇文章的员工开除。之前，阿里巴巴一名女员工的自述文字前晚在社交网络流传。该员工称，7月27日，她被上司逼着在台风天到济南出差，期间在与商家的饭局上，被恶意灌酒并遭到客户猥亵。

　　知情人士表示，这些员工将周某内网控诉文章的截图除去带有个人ID的水印后对外公开发布，此等行为违反了公司政策。据悉阿里巴巴的内网是面向25万员工，不对外开放。而此次阿里在结束内部调查后做出了解雇这10名员工的决定，并没有向公众宣布调查的最终结果。

　　肉眼看不到的水印，就数字图像处理来说是叫做数字水印，不可见则被称为“盲水印”。盲水印的实现一般和傅立叶相关，傅立叶变换可以把数据从时域转换到频域。盲水印隐蔽性强，给水印数据进行编码过后不易被破解出来。

　　一般企业内网论坛，通常会添加“盲水印”，这里介绍一下将企业内网贴文截图去除水印的通用方法。

　　1、内网贴文复制文字，以纯文本方式发布外网。

　　2、内网贴文复制文字，发布到外网博客或论坛，然后再截图匿名发布。

　　3、对于无法复制文字的图文，使用OCR软件提取文字（例如QQ里的剪切板自带的OCR），然后以纯文字方式发布外网。

　　4、对于纯图片来说，不容易去除复杂的数字水印，在不了解水印算法的情况下，可以通过一些方法尝试攻击破坏水印，例如涂抹，剪切，放缩，旋转，压缩，加噪，滤波等，好的数字盲水印可以抵御上述攻击。此外，通过手机拍摄屏幕图片也是一种简单有效的水印攻击方法。

配置DNS over HTTPS来阻止DNS污染

Fri, 07 Jan 2022 00:39:57 +0800

　　DNS（域名系统）的主要功能是将域名解析成IP地址，域名的解析工作由DNS服务器完成。从安全角度来看，域名解析的请求传输时通常不进行任何加密，这导致第三方能够很容易拦截用户的DNS，将用户的请求跳转到另一个地址，常见的攻击方法有DNS劫持和DNS污染。因此，使用不加密的DNS服务是不安全的。

　　DoH（DNS over HTTPS）是一个安全的域名解析方案。其意义在于以加密的HTTPS协议进行DNS解析请求，避免原始DNS协议中用户的DNS解析请求被窃听或者修改的问题（例如中间人攻击）来达到保护用户隐私的目的。因此，攻击者将无法查看请求的URL并对其进行更改，如果使用了基于HTTPS的DNS，数据在传输过程中发生丢失时，DoH中的传输控制协议（TCP）会做出更快的反应。

　　不过，由于其基于HTTPS，而HTTPS本身需要经由多次数据来回传递才能完成协议初始化，因此DNS over HTTPS的域名解析耗时较原DNS协议会显著增加。

　　目前，主流的浏览器和操作系统均已经支持DNS over HTTPS，不少移动设备也开始支持基于HTTPS的DNS选项。

　　谷歌Chrome浏览器设置方法

　　设置-隐私设置和安全性-使用安全DNS，系统默认的几个都不好用，建议使用自定义DNS，参数如图所示，设置好了以后，即可在Chrome里防止DNS污染。

　　火狐Firefox浏览器设置方法

　　设置-常规-网络设置-设置-启用基于HTTPS的DNS，建议使用自定义DNS，参数如图所示，设置好了以后，即可在Firefox里防止DNS污染。

　　安卓Android系统设置方法

　　设置-连接设置-私密DNS/私人DNS/加密DNS设置。此外，谷歌的安卓Chrome浏览器也支持设置DoH。

　　苹果iPhone系统设置方法

　　iPhone目前并没有通用的加密DNS设置方法，目前只能通过各个DNS服务商提供的APP来实现，例如下载安装Cloudflare提供的1.1.1.1应用，运行之后，在界面上选择“切换到仅DNS模式”即可支持DoH。

　　Windows 10操作系统设置方法

　　Windows系统版本必须为Windows 10 Build 19628版及以上版本，暂时低于该版本的系统均不支持DoH加密。使用winver可查看当前Windows系统版本。

　　打开注册表编辑器，找到如下路径：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

　　右键点击右侧空白处新建DWORD然后将其命名为EnabledAutoDoh，双击该项然后将其键值由默认值修改2并保存，保存成功后重启计算机。

　　接下来，在查看网络连接设置里，选择属性-Internet Protocol Version 4 (TCP/IPv4) ，设置DNS为如下数值。

Cloudflare – 首选: 1.1.1.1, 备用: 1.0.0.1
Google – 首选:8.8.8.8, 备用: 8.8.4.4
Quad9 – 首选: 9.9.9.9, 备用: 149.112.112.112

　　在Windows 10 Build 20185版及以上版本，可以直接设置。

　　设置-网络状态-属性，点击DNS设置里的编辑，设置DNS为如下数值。

Cloudflare – 首选: 1.1.1.1, 备用: 1.0.0.1
Google – 首选:8.8.8.8, 备用: 8.8.4.4
Quad9 – 首选: 9.9.9.9, 备用: 149.112.112.112

　　常见的支持DoH的公共DNS服务器

　　国内：

　　腾讯: https://doh.pub/dns-query

　　阿里巴巴: https://dns.alidns.com/dns-query

　　360: https://doh.360.cn/dns-query

　　国外：

　　Cloudflare: https://1.1.1.1/dns-query

　　Google Public DNS: https://dns.google/dns-query

　　Open DNS: https://doh.opendns.com

　　QUAD9 DNS: https://dns.quad9.net/dns-query

　　除了基于HTTPS的DNS外，目前还有另一种用于保护域名系统的技术：基于TLS的DNS（DoT）。这两个协议看起来很相似，都承诺了更高的用户安全性和隐私性。DoT使用了安全协议TLS，在用于DNS查询的用户数据报协议（UDP）的基础上添加了TLS加密。DoT使用853端口，DoH则使用HTTPS的443端口。

　　由于DoT具有专用端口，因此即使请求和响应本身都已加密，但具有网络可见性的任何人都可以发现来回的DoT流量。DoH则相反，DNS查询和响应和其他HTTPS流量完全一样，很难进行监视和识别。

个人网站如何进行备案

Fri, 07 Jan 2022 00:38:50 +0800

　　网站备案是根据国家法律法规需要网站的所有者向国家有关部门申请的备案，主要有ICP备案和公安局备案。网站备案的目的就是为了防止在网上从事非法的网站经营活动，打击不良互联网信息的传播，如果网站不备案的话，很有可能被查处以后关停。

　　每个省的备案条件都都有不同，有的条件甚至恰恰相反，备案条件有的省严格，有的省宽松，对于个人用户来说，你的户口在哪个省，就用哪个省的条件备案，运气好的话备案其实也不算难。下面是以广东省为例的个人用户备案规则：

　　一：备案重要规则

　　1、负责人未满18周岁备案需提供就业证明

　　2、域名持有者需与主办人名称一致

　　3、已取得备案号的域名必须可以访问且网站下方须有备案号标识，备案号必须与实际备案号一致

　　4、前缀不一致的域名请按不同网站备案；域名前缀不同超过5个时（不含5个），需提供每个域名的网站建设方案书，大于等于10个时，除网站建设方案书外还需提供加盖备案专用章保证书

　　5、个人网站名称命名注意事项：

　　1）、网站名称请使用 3 个以上汉字命名；

　　2）、不能涉及到行业、企业、产品等信息，且个人网站名称请勿涉及个人姓名、地名、成语；

　　3）、请不要用纯数字、纯英文或字母组成，不能包含特殊符号，敏感词语（反腐、赌博、廉政、色情等）；

　　4）、非国家级单位，不得以中国、中华、中央、人民、人大、国家等字头命名。

　　5）、请不要使用资讯、网站、网络、网址、爱好者、作品展示、论坛、社区、工作室、平台、主页、热线、社团、导航这种的格式命名；

　　6）、网站名称中不能带有博客、论坛、在线、社区、交流等字样，若要带有此类信息，需提交前置审批文件。

　　7）、江苏管局要求个人备案网站名称只能填写“某某的个人博客”或者“某某的个人主页”；并在备注中说明网站开通后的主要内容。

　　8）、部分省份个人备案网站名称不能使用行业、经营性关键字

　　二、备案所需资料

　　1、个人有效证件原件电子版，如身份证电子版等

　　2、网站备案真实性核验单。

　　3、网站建设方案书（非必选）：域名前缀不同超过5个时（不含5个），需提供每个域名的网站建设方案书，大于等于10个时，除网站建设方案书外还需提供加盖备案专用章保证书。

　　其他：网站内容方面的说明

　　对于网站内容来说，需要网站是纯纯粹粹的个人网站，内容是个人信息，不能有新闻资讯，评论功能需要关闭，不能有联盟广告。管局的人会访问并审查，如果看到内容不合适驳回，又要多花几十天时间等待，总之条件限制非常多，要想稳妥的话，建议手动做几个HTML页面放上去，审核通过之后再上线正式的网站。

　　个人网站的条件限制非常多，变更接入商时候管局还会再审查一次，如果要做一个以流量为目标的商业网站的话，最好先注册一个公司，然后以公司的名义备案。

服务器禁用TLS 1.0协议

Fri, 07 Jan 2022 00:38:02 +0800

　TLS（传输层安全性）1.0是一种过时的加密协议，只有少数网站继续使用TLS 1.0。微软在2018年宣布将在2020年停止使用TLS 1.0，并实施更安全的加密协议(TLS v1.1或更高版本)以满足PCI数据安全标准的要求，不过很多网站管理员没有意识到TLS 1.0存在重大漏洞，易受攻击，升级到新版本有助于确保每个人的Web安全性更高。

　　在兼容性方面，禁用TLS 1.0协议之后，大多数是比较老旧系统上自带浏览器将不支持访问，如果是主流用户使用的Chrome、Firefox和其他浏览器基本都兼容。

　　禁用的方法是：

　　nginx服务器，执行下面的命令：

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

　　Windows server服务器，修改注册表，复制下列代码保存为 .reg 文件格式，双击运行直接导入注册表，完成后重启服务器。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]"DisabledByDefault"=dword:00000001"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]"DisabledByDefault"=dword:00000001"Enabled"=dword:00000000

　　如果觉得修改注册表麻烦，还有一个简单的自动配置工具IISCrypto，下载该工具后，使用推荐配置即可完成安全设置，不选中TLS1.0即可，使用起来非常简单。

服务器启用HSTS协议

Fri, 07 Jan 2022 00:37:07 +0800

HSTS（HTTP Strict Transport Security）国际互联网工程组织IETF正在推行一种新的Web安全协议，网站可以选择使用HSTS策略，来让浏览器强制使用HTTPS与网站进行通信，以减少会话劫持风险。

　　采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本，不需要用户手动在URL地址栏中输入加密地址。该协议将帮助网站采用全局加密，用户看到的就是该网站的安全版本。HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接。

　　服务器开启HSTS的方法是，当客户端通过HTTPS发出请求时，在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。

　　比如，https://www.williamlong.info 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点：在接下来的一年（即31536000秒）中，浏览器只要向www.williamlong.info或其子域名发送HTTP请求时，必须采用HTTPS来发起连接。比如，用户点击超链接或在地址栏输入 http 网址，浏览器应当自动将 http 转写成 https 网址。

　　对于nginx服务器，只要在添加Strict-Transport-Security这个HTTP头部信息即可。

add_header Strict-Transport-Security "max-age=31536000";

　　但有一点需要注意，Strict-Transport-Security中的max-age的时间不能小于15552000。

　　对于Windows server服务器，打开网站目录下的 web.config 这个文件，在相应的位置添加上针对 https 响应的 url 重写规则（黑体部分），并保存。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="redirect to HTTPS" enabled="true" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="^OFF$" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
                    redirectType="Permanent" />
                </rule>
            </rules>
            <outboundRules>
                <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
                    <match serverVariable="RESPONSE_Strict_Transport_Security"
                        pattern=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                    </conditions>
                    <action type="Rewrite" value="max-age=31536000" />
                </rule>
            </outboundRules>
        </rewrite>
    </system.webServer>
</configuration>

　　开启了HSTS后，你部署SSL/TLS的服务检测得分就可能是A+以上了。这时候就可以加入HSTS Preload List。

　　HSTS preload list是Chrome浏览器中的HSTS预载入列表，在该列表中的网站，使用Chrome浏览器访问时，会自动转换成HTTPS。Firefox、Safari、Edge浏览器也在采用这个列表。　　进入hstspreload官网，输入你的域名，然后检测结果会告诉是否符合加入HSTS Preload List，没有问题的话勾选确定。

　　当然，加入到了HSTS Preload List后，你可能还需要等待1-2月，待新版本的Chrome和Chromium、Firefox、IE等发布后，你的域名算是正式被各大浏览器承认并强制使用Https访问了。

Blogger导入XML文件出错分析

Fri, 07 Jan 2022 00:36:55 +0800

　这些天遇到一个问题，通过Blogger导入一个XML格式的文件，一直没有导入成功，我分析原因属于XML格式转换的问题，折腾了好几天才找到原因，因此记录一下整个过程。

　　在使用Wordpress转化网站到Blogger的时候，由于之前的转化工具Google Blog Converters已经歇菜，因此使用了一个WordPress插件“Export to Blogger”来解决问题，大部分内容导出到Google Blogger都没问题，但奇怪的是有一个转化好的XML文档始终都无法导入到Blogger中，不知道是怎么回事。

　　经过了多次尝试和分析，我确认是文档中的某个字符转化错误导致无法导入，然而文档长达2M大小，很难从中找到具体是哪个字符出错，因此就暂时作罢。

　　后来我想到了一个思路，利用XML Validator这种格式检查工具来检测XML文件，但是找了好几个检查工具，都只支持最大64k的文件大小，无法检测大文件，后来，我双击XML文件发现，IE浏览器会对正确的XML文件进行格式渲染，而对错误的XML文件直接显示源代码，这也就意味着我可以把IE当成一个XML验证器。

　　于是开工，先把XML文件分成两半，用IE打开，一半成功渲染，另一半不成功，因此确认问题在某一半，依次循环操作，逐次切割，最终将文件切割到了几个字符，但我依然没有看到有什么异常字符。

　　最终切割到只有1、2个字符的时候，我发现了问题所在，原来这2个字符中间居然有一个隐藏字符，使用普通文本编辑器根本看不到这个字符，我使用WinHEX来查看，原来这个隐藏字符是ASCII码1C，将这个隐藏字符删除后，XML文件渲染终于成功了。

　　实际上，ASCII码1C到1F都是隐藏看不见的字符，如果这样的字符存在XML文件之中，XML格式不会报错，但就是无法导入到Google Blogger中，导入过程也不报错，就是无法导入成功，将这些隐藏字符删除后，才能正确地导入。

　　可惜的是，一般编辑器都不支持搜索这种隐藏字符，要换一个比较专业的编辑器才能看到并搜索这种隐藏字符。

　　解决方法：使用EditPlus即可查找这类字符，使用正则表达式的方式查找，查找内容为[\u0000-\u001F]

使用Cloudflare免费防御DDOS

Fri, 07 Jan 2022 00:36:14 +0800

据Cloudflare官方账号表示，Cloudflare在包含免费计划的所有服务计划中提供的DDoS防御服务均不计容量且不设上限。Cloudflare的全球网络现已遍及90多个国家/地区，拥有37Tbps的网络容量，并在全球200个城市部署数据中心。Cloudflare的每一个数据中心均启用了完整的DDoS缓解功能。

　　为什么是不计容量，不设上限？

　　根据Gartner近期发表的由Thomas Lintemuth，Patrick Hevesi和Sushil Aryal撰写的一份报告——《DDoS云清理中心的解决方案比较》（ID G00467346），Cloudflare获得了最多的“高分”评级。Cloudflare的网络容量几乎等于其他6家领先的DDoS提供商的总清洗容量的总和。无论是面对500Gbps以上的大型DDoS攻击，还是10Gbps以下的高频次小型攻击，Cloudflare均可以保障用户的在线资产安全。

　　Cloudflare全球网络不同于传统的DDoS缓解方式，传统模式下DDoS防御需要将网站容量引入清洗中心，因此DDoS缓解服务提供商会针对攻击流量占用的额外带宽进行计费。得益于Anycast技术与全球分布式架构，Cloudflare可以在攻击源附近进行分析和清洗。通过这种方式，Cloudflare为客户免去了绕路清洗中心带来的回源延迟；同时，Cloudflare仅针对干净的正常流量进行计费——因此使用Cloudflare DDoS解决方案，成本会变得更可控！

　　除此以外，自动化的边缘分析和边缘强制DDoS缓解功能使Cloudflare能够以前所未有的速度缓解攻击。Cloudflare一般可在10秒内缓解DDoS攻击。

　　能不能防御CC？

　　使用Cloudflare Rate Limiting或Cloudflare基本的防火墙工具就可以防御cc攻击。对于比较复杂的情况，例如应用或游戏是全球部署的，无法通过IP或地理位置区分流量是否来自于真实需求用户，Cloudflare会采用白名单的模式，插入对应指纹与字段，Cloudflare可以在业务上线前期就去完成这些工作，并且Cloudflare已经有这方面的案例。

　　集成是Cloudflare的设计原则

　　Cloudflare构建产品时的一个关键设计原则就是集成。Cloudflare的DDoS解决方案与其他产品无缝集成，包括WAF、Bot管理、CDN等。Cloudflare提供全面且集成的安全解决方案，可在支持性能的同时增强安全性。性能与安全性二者皆可得！

　　Cloudflare在所有服务计划中都提供DDoS防御服务，其中，免费计划与企业计划的区别主要在于：企业计划还包括了高级缓解功能、详细报告、丰富的日志、效率提升和细粒度控制。Cloudflare还有专门的客户成功和解决方案工程师与企业计划的客户对接。