GasTarbols

Вот поэтому мой пример выше он объединяет 4 правила: человек приходит со "спамной" AS num, при этом имеет пустой реферер, яндекс бразуер в юзер агенте и с IPv6.

Сейчас это прямые заходы.

Отвечая на свой же вопрос: увидел что боты идут с одних и тех же подсетей, с IPv6, в юзер-агенте есть YaSearchBrowser и у всех пустой реферер.

Блокнул пока таким образом:

Нужно выставлять именно блокировку, потому-что любые капчи они проходят.

AS num Откуда боты прут:

AS45027 INETTECH-AS
AS50113 SUPERSERVERSDATACENTER
AS209641 I-SERVERS-EAST
AS34665 PINDC-AS

Может кому полезно будет.

Увидел что все боты прут на конкретные внутренние страницы, в итоге забанил их в CF, если приходят с пустым реферером (реальных юзеров там почти нет). Несколько дней продержалось, а сегодня боты стали приходить просто на главную страницу без реферера и капчу CF они легко проходят. Эта ситуация примерно на 5 разных сайтах. Есть советы?

Вот оно и странно, что cloudflare показывает что отдал им капчу, а они её спокойно проходят.
С указанной вами AS прёт большинство, есть ещё AS25490 STC-AS PJSC Rostelecom Krasnodar с неё тоже прёт, но меньше.

Пока блокнул по пустому рефереру и переходу на конкретную страницу (они почему-то все её как точку входа используют), результат отличный, но пока не ясно куда дальше.

Смотрю на некоторых сайтах боты ломятся на 1 страницу, самую "суровую" проверку cloudflare они проходят. У всех пребывание на сайте до 15 сек. Вопрос такой: если настроить правило, которое блочит доступ на эту страницу для всех кто пришёл с пустым реферером, то на базе собранных айпишников есть смысл делать чёрный список или эти айпи каждую неделю будут разные? Очень много прёт с Краснодара, но по AS банить не хочу.

Напишите в техподдержку для уточнения, но скорее всего расскажут про недействительные клики. Громов здесь для галочки.

Главное не пишут реальную причину бана площадок, пишут про недействительные клики и вводят этим самым в заблуждение. Начинаешь искать как устранить несуществующую проблему. Лучше бы чётко обозначили что не так с площадками и в какую сторону их нужно дорабатывать, чтобы соответствовать постоянно меняющимся хотелкам яндекса.

Пришёл к выводу, что бан сайта по причине недействительных кликов просто удобный способ забанить площадку и ничего не объяснять.

Всё также примерно, 70% поискового трафа:

Но я понимаю ваш вопрос, у меня один сайт выкинули тоже в тот момент, когда прямого трафика стало в 2 раза больше чем поискового.

В принципе, по ответу техподдержки стало понятно, что сайт забанили потому-что есть какие-то мутные критерии оценки, которые они не могут озвучить. А чтобы не объяснять пишут: за недействительные клики и показы. Ведь по факту любой сайт можно притянуть к этому нарушению.

Подписываюсь под вопросом, как ботов то банить без ущерба другим посетителям сайта, чтобы не пришлось каждому капчу разгадывать? Вчера писал в техподдержку, но ответы общие, без конкретики.

Вчера выкинули сайт, где 70% поискового трафа. Сайт не большой, но по аналогии могут и крупные сайты также выкинуть (метрика за год):