Тоже был резкий всплеск прямых заходов, побанил их, теперь заходят по новой методике
В referer указывают "https://www.google.com/", а ip такого вида: 72.14.201.30 , 72.14.201.70, 193.186.4.25
Если проверить ip, то можно увидеть "Хост: 193-186-4-25.v4.fetch.tunnel.googlezip.net" , так же у всех один и тот же user-agent "Mozilla/5.0 (Linux; Android 10; K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Mobile Safari/537.36"
Заходят на несколько страниц на сайте, причем у меня несколько сайтов и на каждом такое.
У кого-то было такое?
Попытался заблочить по фильтру Cloudflare, там есть параметр hostname, сделал hostname contains googlezip, но почему-то не срабатывает. Еще попытался сделать Страна US и referer = "https://www.google.com/", тоже почему-то не сработало.
Посмотрите по логам в какое время у вас были эти визиты и найдите их в cloudflare, в WAF->Events.
Скорее всего вы не правильно как то указали правило для фильтрации по User agent.
С этой сети AS15169 помимо ботов гугла, так же бывают и спамные визиты, которые пытаются себя выдать за ботов гугла, но CF их не пропускает без проверки (в Known Bots их нет), т.к скорее всего "белый список" ботов гугла создан их списка IP.
Скиньте сюда правило, как настраиваете фильтр по user agent.
Это только чуть-чуть снижает вероятность определения верного айпишника, а не защищает от обхода CF. Да и определяется не сильно сложнее, если злоумышленник грамотный. Можно просто подосить айпишник найденный и посмотреть доступен ли нормально сайт, да и что мешает проверить айпишник не напрямую? Хост файл что ли трудно отредактировать для одного домена пару раз?
Был один из сайтов по ддос года 4 назад.
3 раза менял хостинг, сайт лежал по несколько суток каждую неделю в течении месяца. Позиции сначала откатились, потом после апдейта все вернулось.
Сейчас, я бы в вашем случае поставил cloudflare, настраивается элементарно. Если сильный ддос с гигами спама, то на бесплатном тарифе будет падать не надолго, но все равно это лучше чем полностью не доступный сайт.
Я же писал раньше. Указываем сайты, откуда посетителей пускаем, остальным капчу.
Плюс правила, где обрубаем ботов по as или иным параметрам, но они выше.
Я это все настроил.
Капча все равно пропускает ботов с каких то сетей. Чтобы их отсечь, я сделал правило с блокировкой по номеру сети и пустому значению в параметре реферер.
Только какие то переходы с заблокированных сетей все равно проходят. Поэтому вопрос, при таком значении:
Будут учитываться визиты только с реферером "-" или еще будут обрабатываться со значением реферера, где присутствует домен сайта?
Очевидно что там должен быть какой-то домен указан.
Если в планах отсечь ботов, которые идут впервые на сайт, то лучше использовать cookie does not contain.
Нет, нужно отсечь ботов, которые идут через прямые заходы.
Много из-за чего так может быть. Начать стоит с очерёдности правил.
Например, пускает всех через поиск, а блокировка по as стоит ниже.
Нет, правило с блокировками стоит по очереди сразу после "белого списка".
Вопрос в том, какой реферер проверяется при таком значении.
Коллеги!
Подскажите один момент.
Я блокирую какие то AS сети в CF. Делаю правило AS num eqals сетка and Refferer eqals пустое значение.
Получается визиты с пустым реферером, это те у которых реферер равен значению "-" и когда реферер равен любой странице домена?
Просто какие то переходы с этих сетей блокируются, а какие то проверка (правило) пропускает.
Вы в логах WAF посмотрите, идут ли ipv6. У меня на серве не было ip6 и АААА в CF, но в WAF все ровно перли адреса вида ipv6. Я отключил полностью в CF ip6.
Получается, если в CF нет AAAA записей, то ничего делать не нужно?
Или нужно еще дополнительно у хостера попросить отключить поддержку IPV6 на сайте?
