Cloudflare není jen CDN nebo firewall – zhruba pětina všech webů běží přes jejich síť a mezi stránky používající CDN má dominantní podíl kolem 80 %. Díky obrovské síti datacenter a vlastnímu softwaru dokáže sbírat data o útocích a rychle je zmírnit.

Cloudflare patří mezi největší a nejúspěšnější poskytovatele ochrany proti DDoS útokům. Dokáže absorbovat útoky, které by většinu infrastruktury na světě okamžitě položily.

Pro představu, jak opravdu dobrý je:

• 22,2 Tbps útok (nejnovější) – největší dosud zaznamenaný útok, trval okolo 40 sekund a údajně byl blokován bez zásahu člověka.

• 11,5 Tbps útok (2025) – trval asi 35 sekund, většina provozu byla UDP povahy a Cloudflare jej rychle odfiltroval.

• 3,8 Tbps útok (2024) – detekce i blokace proběhla automaticky, bez zásahu člověka.

Jak je možné, že jejich ochrana funguje tak dobře? A co přesně dělají uvnitř?

Obrovská globální síť

Cloudflare provozuje jednu z největších anycast sítí na světě. Anycast znamená, že stejná IP adresa je dostupná z mnoha geografických míst. Když útočník vyšle útok na jednu IP, ten se rozloží mezi datacentra po celém světě.

Výhody:

• Útok se nesoustředí na jedno místo, ale rozloží se mezi stovky datacenter po celém světě
• Každé datacentrum zároveň filtruje provoz lokálně.
• Síťová kapacita je obrovská (terabity až desítky terabitů).

Vlastní síťová infrastruktura postavená na line-rate filtrování

Cloudflare staví na vlastním software, který běží přímo na jejich edge routerech a serverech. Je navržen tak, aby dokázal:

• filtrovat paket na úrovni linkové rychlosti (line-rate)
• nezatěžovat CPU víc než je nutné
• zastavit útoky, které už zná, i ty nové, které se chovají podezřele

Botnet intelligence a detekce chování

Cloudflare sbírá obrovské množství dat o provozu, protože chrání miliony webů. To využívá k detekci známých botnetových zdrojů nebo neobvyklého chování (náhlé nárůsty, neobvyklé patterny).

Botnet intelligence se sdílí mezi regiony okamžitě, takže pokud je nějaký nový útok odhalen v Asii, během sekund se filtr aplikuje na Evropu, Ameriku i další kontinenty.

Automatické pravidla a rychlá mitigace

Cloudflare má plně automatizovaný mitigátor. Jakmile se objeví podezřelý provoz, jejich systém:

• identifikuje vektor
• nasadí odpovídající pravidla
• začne filtrovat na hranici své sítě
• nezasahuje do legitimního provozu více než nutně

Mitigace běží bez zásahu člověka a často trvá jen několik sekund.

Ověřování návštěvníků

U HTTP(S) útoků používá Cloudflare různé challenge mechanismy, čímž oddělí reálné uživatele od botů bez toho, aby byl reálným lidem zbytečně blokován přístup. Například:

• JavaScript výzvy
• CAPTCHA
• browser integrity checks
• kontrolu TLS fingerprintu
• analýzu chování během připojování

Magic Transit a ochrana celých IP rozsahů

Cloudflare už dlouho nechrání jen webové servery, ale i síťovou infrastrukturu celých firem. Díky Magic Transit mohou:

• přesměrovat IP prefixy přes Cloudflare síť
• čistit provoz dříve, než dorazí k zákazníkovi
• dodávat provoz přes GRE tunely zpět
• A mnoho více

Rychlá distribuce pravidel díky vlastnímu firewallu

Cloudflare používá vlastní WAF a packet firewall, který umožňuje aplikovat pravidla na celou síť během sekund nebo přizpůsobovat filtrování individuálním aplikacím.

Důležité je, že všechna pravidla jsou zároveň extrémně optimalizovaná, aby nezpomalovala edge servery.

Softwarový stack

Cloudflare ve svém softwaru typicky:

• píše kritické části v jazycích jako C, Rust nebo Go
• provozuje vlastní XDP (eXpress Data Path)/eBPF filtry
• optimalizuje vše od kernelu po aplikační vrstvu

Shrnutí: Proč je Cloudflare jinde než konkurence

Cloudflare má špičkovou DDoS ochranu hlavně díky tomu, že kombinuje:

• obrovskou globální síť
• intenzivní automatizaci
• vlastní optimalizovaný software
• nonstop monitoring provozu
• rychlé a inteligentní filtrování
• masivní datovou základnu o útocích

Cloudflare buduje svou síť jako obrovský internetový operátor, ale hlavním cílem je jedno – zachytit útoky na hranici sítě dřív, než způsobí jakoukoli škodu.