Cloudflare korumalı bir muşteriye yonelik bir paket , BGP Anycast aracılığıyla en yakın Cloudflare veri merkezine doğru yol alır . Bir kez geldiğinde, ağ anahtarları aracılığıyla eşit maliyetli cok yollu yonlendirme grupları ( ECMP ) algoritması kullanılarak yonlendiriciden bir sunucuya gecirilir . Bir sunucuya ulaştığında, paket bir grup eXpress Veri Yolu ( XDP ) programına gonderilir. İlk XDP programları grubu olan L4Drop , onceden tespit edilen saldırılardan hafifletme kuralları uygular ve daha fazla analiz icin paket orneklerini dosd'a iletir.

Bir paket kotu amaclı olarak duşurulmezse , tescilli L4 yuk dengeleyicimiz olan Unimog'a aktarılır . Sunucu sağlığı ve performans olcutlerini kullanarak Unimog, paketi aynı sunucuda tutması veya veri merkezindeki başka bir sunucuya daha iyi işleyebilecek bir sunucuya aktarması gerektiğine karar verir. Unimog'dan sonra, iptables guvenlik duvarından gecirilir ve ardından bir L7 uygulaması, orneğin Cloudflare WAF tarafından korunan bir hizmet hedefleniyorsa, HTTP ters proxy'imize gecer. Ters proxy kullanıcı alanında calışır ve HTTP istekleri Web Uygulaması Guvenlik Duvarımızdan gecer., uygulama Guvenlik duvarı kuralları ve ek muşteri yapılandırmaları. Paket bunun yerine bir TCP / UDP uygulamasına (Spectrum) veya proxy yerine yonlendirilen bir IP hedefine (Magic Transit) yonelikse, HTTP proxy'miz yerine bu sistemlerden gecer.

Bir paketin omru
L4Drop'a ek olarak, HTTP proxy'miz ayrıca HTTP isteklerinin orneklerini ve meta verilerini dosd'ye iletir. Bu uc ornekleme, sinyaller bir cekirdek veri merkezine gonderilmek yerine artık yerel olarak analiz edilebildiğinden (ve bunlara gore hareket edilebildiğinden), cekirdek orneklemeden 10 kat daha buyuk bir hızda gercekleşir. Benzer şekilde, paketler, gatebot'tan 81 kat daha hızlı bir oranda dosd ile orneklenir.

Dosd, gatebot ve flowtrackd birlikte aldıkları ornekleri analiz eder ve DDoS saldırıları tespit edildiğinde azaltma kurallarını uygular. HTTP saldırılarını azaltmak icin azaltma kurallarını web proxy'sine aktarırlar. Saldırı istekleri, sistemin kararına bağlı olarak bir engelleme, hız sınırı veya meydan okuma eylemiyle ele alınır. Bununla birlikte, saldırı yuksek duzeyde hacimsel ise, azaltma kuralı yığından iptables guvenlik duvarına itilir ve daha duşuk maliyetli bir azaltma icin L4 saldırıları IP Hapishaneleri kullanılarak L4'te bırakılır . Benzer şekilde, L4Drop icindeki genişletilmiş Berkeley Paket Filtresi ( eBPF ) programları kullanılarak iptables guvenlik duvarında L3 / 4 saldırıları hafifletilir . Bu bileşenlerden yararlanmak, DDoS saldırılarını geniş olcekte otomatik olarak azaltmamıza olanak tanır.