Я с ним ничего не обсуждал. Он не мне этот набор правил писал. Я просто частично некоторые пункты себе добавил, чтобы отсечь ботов.
Попробуйте переделать это правило под свои нужды. Так чтобы весь блок с реферерами поисковиков был в одной кучке, без разделения OR между собой.
Ну и как сказал GRAFLEKX - не обязательно наворачивать именно в таком виде. Чтобы сконструировать правило, нужно расписать что именно оно должно делать и зачем. Тогда возможно другие участники форума вместо шаманства над набором правил подскажут более оптимальный вариант.
Чета мне кажется, что мы малость запутались, не? =)
Знаете, почему пилотов новых типов самолетов не набирают из пилотов других самолетов? У них слишком много неустранимых рефлексов, которые приведут к катастрофе. Берут зелень и обучают ее с ноля, именно под эту машину.
Если переносить свой опыт из других сфер, то это не всегда хорошо.
OR разделяет блоки правил между собой. А с AND уже внутри этого блока извращаешься конструируешь задуманное.
Почему?
Тут же правило "ИЛИ", а не "И".
Т.е., если реферер пустой или не содержит любой из рефереров поисковиков, то = JS челендж.А под такие правила будут легко пролетать боты с подставными реферами.
Ну надо человеку. Поэтому и мутит под свои нужды какой-то набор.
внутренние
Ну вы у вашфрилансер поспрашивайте, вы этот набор правил совместно делали / обсуждали чуть выше.
Но я бы на вашем месте посмотрел бы вот на что:
or (not http.referer contains "yandex") or (not http.referer contains "google") or (not http.referer contains "bing")
Это разные, независимые правила. И каждое из них исключает предыдущие.
Все эти амазоны и диджитал океаны полностью блокируем, пусть регают хоть миллион акков там. Но кое в чём Вы конечно правы. Ddos обычно идёт с прокси, а их десятки тысяч и каждый прокси в идеале надо блокировать, причём хвалёный ASN тут вообще не поможет, тут именно по IP надо блочить. Условный ростелеком или МТС по ASN не заблочишь, а ddosят с них за милую душу.
Ну вы в одном предложении смешали в кучу поведенческие переходы с Ростелеком, и ДДОС.Вот отсюда потом и появляются все эти заблуждения на тему, что из себя представляет ДДОС-атака. Ну и компанией зачем-то вцепились в бедный AS. Здесь выкладывали ранее в ветках полноценный перечень из AS, там больше 1000 строк, замучаетесь проверять на актуальность. А не амазон с диджиталом, и все.
Версий уже несколько. ДДОС это:- поведенческие боты с Ростелеком Краснодар и с Мегафона- сканер Ahrefs- кто-то запустил Screaming Frog- пришел Яндекс, подозрительно сканирует сайт- это все выдумки, ботов и ддоса не существует, достаточно только битерике дать в зубы 403, пусть бакланы палят электричество почем зря.
В метрике это прямые, или внутренние переходы?
я читал статьи где расписывали как от cf было ни горячо ни холодно, как и от всех известных сервисов по антиддос
Из топика в топик красной мыслью проходит мысль: клауд это инструмент. Если кто-то не знает, с какой стороны к этому инструменту вообще подходить, то он и будет потом говном исходиться, мол я это включил а оно не работает. Все вокруг отстой, ваши антиддосы это развод.
Потому что мало включить, настраивать нужно. Неделями и месяцами сидеть учиться разбираться, как этим вообще пользоваться, какие типы атак бывают, какие паттерны атак бывают, какие паттерны при атаке на вас, и проч.
А не так, что любой Вася с улицы одним взмахом, нажатием одной волшебной кнопки, отбивает ДДОСы одной левой.
Купите себе подписку на стрессер, и экспериментрируйте. Вместо теоретических рассуждений на форумах. Это сейчас стоит копейки.
10к компов разных стран совершенно случайных людей.
Ага, и в одну секунду все они ринулись на страницы вашего сайта. Люди из Бангладеш и Индии, по протоколу http1. Которых забанило навсегда, и всех их родственников забанило, и они теперь плачут от горя, потому что больше никогда в жизни не увидят то, что вы там у себя на сайте продаете.
Я же не просто так спросил в самом начале, вы хоть раз ДДОС видели в жизни, или нет. И смогли ли вообще уловить, чем друг от друга отличаются все эти Layer с цифрами, или посчитали что это яйцеголовые админы так ругаются между собой, и пропустили мимо ушей. Редиска - Layer 4. Лох - Layer 7. Просто это шифры такие, чтобы никто не догадался 😭
Ну и насчет бана хостинговых сеток, вам в голову не может прийти то, о чем вы не имеете представления. Например что дырявые сайты могут быть участниками ддос-атаки (не по свой воле, кхе-кхе), и часть трафика отсекается именно баном определенных AS.
А HTTP1 - это такой шифр для избранных, но так как буквы незнакомые, то тоже пропустим мимо ушей.
Поэтому не стоит дальше развивать непонятные фантазии и спорить с другими участниками ветки на темы, в которых вы вообще не разбираетесь. Вон sagamorr поспорил с троллем, который навалил на вентилятор каких-то бредовых только что выдуманных утверждений (наподобие того как он забивает канал клауда одним пуком), теперь день-два в бане от форума ни за что отдыхает.
Главную мысль вы уловили. Cloudflare тянет.
Сколько интересных версий.Добавлю еще одну. Капча не пройдена.В этом случае всегда вот так вот в логах. Ну почти всегда, изредка еще вебманифест видел.
По меньшей мере странный комментарий от специалиста. DDOS-атака - она как раз распределённая. И очень даже важно, сколько устройств в ней задействовано.
И будет забанен после 10 запросов без всяких ваших клаудфлэров. Так что не надо писать ерунду про "не важно, сколько".
Я не про fail2ban или iptables писал. Он захлебнется при нормальной атаке. А лог просто ужрет все свободное место на сервере.При грамотном ддос на настроенный сервер очень быстро вычисляется тот порог, сколько запросов в период - потолок. И ставится частота чуть меньше. Ну и отдельных айпишников будет не 3300, а в 10 раз больше (или вообще миллион ipv6). Или в 100 раз больше, тайские, индонезийские, корейские и бразильские посетители повалят на ваш сайт огромным косяком, но с малой частотой.И будет например 8 коннектов в 10 секунд по ipv4 (при вашем пороге 10 запросов в 10 секунд - бан), ну и все, сервер прилег.Или 100 вагонов айпишников ipv6, ни одного повторения. И что вы с ними сделаете, если не додумаетесь вырубить протокол? Да ничего.
Ну или параметры добавить в каждый коннект рандомные (site.ru/?=hfhfrrtt), и ваш сервер извините обосрется. Потому что будет собирать каждую такую страницу как уникальную. И сколько бы там ни было ядер и памяти, она ужрется почти мгновенно.Я писал про клауд. В бесплатном тарифе в клауде нет настроек банить такой-то айпи при стольки-то запросах. Ну вернее есть, но там настолько корявка, что лучше ее не трогать.
Поэтому если нет бана по другим критериям, то сайт за клаудом при желании можно уложить достаточно малым количеством айпи, но с высокой частотой.Ну и обратный пример, если паттерн блокировки на клауде настроен, то количество входящего под бан трафика также не имеет значения. Хоть 100 тыс уникальных коннектов с уникальных айпи, хоть 100 млн коннектов.Также не стоит забывать, что клауд сеть распределенная, и коннекты приходят на клауд на ближайший сервак, а не все 100 млн скопом на один.
