Да блоканите через htaccess Битерику и RankTech. Отключите поддержку IPv6 на сервере.После этого посидите в логах, поизучайте айпишники. Докиньте по диапазонам в блок.Это все обсуждают в ветке про клауд, каждый кто не ленится мог уже 100 раз себе переписать оттуда список наиболее спамных подсетей, и при нахождении их у себя в логах - вносить диапазон в бан в хтассессе.
Ну а то что у вас не получилось настроить клауд, - это не в клауде дело.
Можно привести аналогию с авиалайнером. Одно дело сидеть в кресле пассажира и рассуждать о том как просто управлять самолетом, вы же об этом читали на форуме.А другое дело - когда вас запихнули в кабину и сказали - сажай самолет. А там одних только тумблеров и разных моргающих кнопочек столько, что с ума сойти. А все ваши знания об управлении самолетами ограничиваются просмотром вот этого скетч-шоу когда-то.
Ну а вы такой - все самолеты глючные 🤣
Благо клаудом дело ведь не ограничивается, сделайте то что я расписал выше, и будет вам счастье.
Ну а счетчик метрики... С чего вы взяли, что только через метрику тот же яндекс получает всю необходимую информацию? Да хоть снесите его, и фольгой обмотайтесь. Думаете, это поможет вам избежать бана?
Кстати, дам обратную связь.В 5.17 мне на сервер накидали около 170 тысяч запросов. Как понимаю, проверить мои утверждения, чуть ранее в этом топике )Вот только сейчас в клауд занесло.Трафик в основном из Азии и обоих Америк, ну и так по мелочи со всего мира. Уникальных устройств не так много - около 3300 штук.
Проверяющий надежность клауда пользуется услугами провайдера Альянс-Телеком. Проверял ляжет ли сайт, ходил по страницам, заодно отсветил свой айпишник. Там просто во время тестового ддоса в логах сервера больше ничего нет, только он.
Если у кого-то будет желание погонять потестировать систему, я всегда рад такой возможности. Но чтобы в этот момент оба были онлайн, и я видел, есть ли на самом сервере дополнительная нагрузка. Велкам тогда в личку.
Стресс-тест начального уровня. Просто попытка забить канал коннектами на главную. При заказном ДДОС используются совсем другие паттерны.
Не работает. Я добавил ASN ВК и всё номрально, но спс
Ну я тоже так делаю, однако вопрос был именно про блокировку в правилах.Для правил, чтобы понимать в чем именно не работает, добавляют ссылку в вк, и сразу смотрят Evens, вычисляя в данном конкретном заходе где именно блокируется, так как в логе есть все необходимые данные.
Раньше кругом галочки ставил, сейчас оставил только Auto Minify и Rocket Loader™. И ничего по загрузки скорости не поменялось. Может оставить только Rocket Loader™ ?
Поставить все кроме Rocket Loader.Проблему оптимизации нужно решать именно на сайте и на сервере. А клауд это передатчик. Что нахимичите у себя, то он и передаст. Вот такой он передаст 🤣
Если сайт плохо оптимизирован, а сервер тупит - то с большего хоть все опции в клауде нажмите, хоть ни одной - это мало на что повлияет.
не соглашусь с вами что 10к компов мощного ddos-бота это пыль.
ну а если пыль, тогда пруфы статистик хотелось бы увидеть какую пыль вы отбивали на cf и какая мощность атаки была.
Да я уже назвал вам цифры.
Я же сказал - наливали около 500 миллионов запросов.
Вы мне про десять тысяч компов рассказываете ) На сервер не комп приходит, а коннект от устройства.Одно устройство может один запрос сгенерировать, а может 1000.А то мы в разных единицах измерения общаемся, складываем килограммы и километры. Давайте таки в коннектах.Не важно, сколько распределенных устройств. Важно какой поток это все создает и как ваш акк клауда готов это принять и поглотить.Когда делал скрин - замазал красным ту часть где видно содержание правил.Ну и да, у меня в клауде до сих пор Allow. Старый акк, и интерфейс так и не поменялся. Если кто из знатоков подскажет что нажать, чтобы обновилось, буду благодарен. Циферки CSR - это сколько процентов входящего трафика прошло проверку.0% означает что проверку не прошел никто.А значит, и сервер вообще не узнал о ддосе, потому что за пределы клауда это так и не вышло.
Подскажи, я чего то не понял. Добавил в первое правило, где пропуск ботов Skip, User агента VK. Долго тестил, ничего не подсасывало в ВК, но потом поставил "Не равно" (does not equal) и указал полного агента вк шаред и все стало работать. Как так? почему не работает при содержит vkShare или равно с полным указанием юзер агента Mozilla/5.0 (compatible; vkShare; +http://vk.com/dev/Share)????
Equal - это полное соответствие.Я же писал про "содержит" (contains). Не обязательно точный дословный юзерагент вносить, можно только его часть.
Это если в правиле блок или проверка и мы вносим в исключение.(not http.user_agent contains "vkShare")
Ну а если в Skip, то там соответственно (http.user_agent contains "vkShare")В скип не обязательно ставить все галки подряд. Достаточно только первой в списке.
как раз таки наоборот, я заметил что пиарят cf и решил уточнить, все кто рекомендуют вы различаете ddos от агрессивного сканирования ботами или парсинга?
я могу конечно ошибаться, но просто интересно как справится cf с целенаправленной мощной атакой 10к ботами разных стран с разной шириной канала чьи подсети нельзя банить т.к это ваши потенциальные клиенты.
Понял. У вас чисто теоретический интерес. С реальным ддосом вы не сталкивались.
Если кто-то сканирование тем же ашрефсом называет ддосом, тот и сам себе редиска.
Что касается вашей боязни "мощной" ддос атаки аж с 10 тысяч устройств... Я же написал, это настолько пыль, что не хочется тратить свое время на обсуждение такого мелкого всплеска активности.
"Ваши" - это наши типа? А причем тут мы вообще?
Ну вот в этой вот фразе "не может справиться CloudFlare в бесплатной версии" проскользнуло заблуждение чем отличается бесплатная версия клауда от ПРО или энтерпрайз. Т.е. волшебной кнопки, на которую нажмешь и ддос сам по себе отобьется, там нет.
Ну а что касается второй части вашего сообщения, то здесь полностью согласен, тарифы Антиддос от хостеров - это введение в заблуждение. Потом начинается, это тариф для Layer 4 и проч. А не Layer 7. И вообще это антиддос для всего сервера, а не для вас отдельно, и так далее. И правил фильтрации там нет, это за отдельную плату. Ну и проч отмазки.
У вас на сайте, кстати, нет всего этого маркетингового мусора. Т.е. видно что хостер не юлит и не впаривает пустышку.Правда здесь уже с точки зрения бизнеса вопрос, насколько это маржинальное занятие - работать не вводя в заблуждение. Регру вон на каждые 500 руб реальных услуг еще на 1500 прицепом накидывает дырками от бублика.
Делюсь методом.
Заменил метрику на GA.
Боты ушли ровно через месяц.
Делюсь методом.Ничего не меняем, метрику оставляем.Идем в Настройка - Фильтры - Фильтровать роботов по поведению.Сдвигаем галку вправо.Роботы ушли прямо мгновенно. Без месячного ожидания.Для тех, кто дочитал до конца. На самом деле, они никуда не ушли, просто не показываются в метрике. Но если закрыть глаза, то их как-бы и нет 🤣
Когда-то сталкивался с тем, что администраторы зоны XYZ чуть ли с фонариком в одном месте у вас лазят. И если им что-то не понравится на вашем сайте - тут же блок домена, и сиди доказывай им что не баран.
Не знаю как сейчас, я после первого же такого звоночка больше экспериментировать не стал.
