Анти БОТ

У многих поведенческих ботов есть движение мышью, они переходят по ссылкам на сайте, долго и заинтересованно на нем шарахаются. Как вы их отличите от точно таких же, но живых?

Ну т.е. продолжайте работать и развивать продукт. Вам на этом пути предстоит много открытий и нового кода.

Как показал чуть выше Mik Foxi (который, между прочим, мягко говоря, в теме), все эти жс скрипты - это на побаловаться. И обходится элементарно, включая банальным вырезанием кода при загрузке. Ну или через хостс, я тоже без никакой капчи зашел.
Ну и плюс массив запросов без JS всегда превышает те что с браузером идут, так что это не защита, а полузащита. Двигайтесь в сторону фильтрации до коннекта с целевым сайтом, а не после (когда уже бесполезно).

Вам и без меня днем подтянутся фекалий накидают, завсегдатаи форума.
Вы проксирование клауда отключите, а там будет видно.

Попробуйте разбить вашу проблему на куски, методом исключения.
Выключите проксирование на клауде, проверьте, сохранятся ли ошибки и глюки. Если все наладится - проблема именно в этом:

А если и без клауда все будет так-же - то, соответственно, проблема в Джумле или ваших настройках сервака.

Вот в этом то и проблема. Для большинства ДДОС - это что-то из раздела фантастики в библиотеке. Ну либо другая крайность, любое повышение нагрузки на хостинге воспринимается как ддос атака. Мне за годы работы с клаудом пришлось иметь дело с огромным числом атак, спокойно разбираться с большинством из них, все стандартно до скукоты. А вот когда делом занимаются профессионалы, дорогие профессионалы, они разберут сайт по косточкам, в поисках слабых мест, и обязательно их найдут.
Счастье рядового владельца сайта в том, что это дорого и штучно, поэтому с высокой долей вероятности он с таким вообще ни разу не столкнется за свою жизнь. А залетные ддосеры делают массово дешево и сердито, поэтому их бояться не стоит, если есть клауд и опыт работы с ним именно в отбитии атак, а не просто НС прокинуть и пару WAF из интернета скопировать.
Сразу видно что именно вы - в теме.

Вот в том и есть проблема. Вы не имеете никакого представления и проблемах мелкого рядового владельца сайта, работали с парой крупных заказчиков. Поэтому и льете пургу, раздавая ярлык некомпетентности всем подряд, теории расписываете, выводы делаете, на своем широком опыте выдаивания, годами, какого-то корпоративного заказчика.

Исходя из своих ложных предпосылок. Возможно, кириллица для вас давно не основной язык, поэтому есть проблемы с пониманием прочитанного, отсюда эта хамская манера общения.
А написано было следующее - исходя из моего, уже поверьте, очень широкого опыта в определенной нише, и именно с клаудом связанной - целевые атаки именно на айпи - это скорее редкое исключение. Абсолютное число ддос  идет по доменном у имени. Значит в большинстве случаев дешево и сердито - вообще не париться по этому поводу. А вот если столкнулись с тем редким исключением, где не залетный ддос за пару шекелей, то тогда уже придется заморочиться. Я даже расписал способы такого заморачивания (которые вы собственно выше повторили, с видом академика, только уже от своего имени).

Вы как "лидеры рынка защиты от ддос", из одной из прибалтик, с нулевой отчетностью на юрлице на последние 5 лет, о которых никто не знает в Рунете, с дорвеем из начала 2000-х, - это да, как раз те самые люди, кто имеет полное право оскорблять других участников и даже ставить под сомнение их компетентность, причем в той узкой нише, которой они занимаются 🤣
Корону привязывать надо, а то упадет. Конфуз будет.

Кажется вы забываете о том, что по айпи редко кто ддосит. Ну вернее, невозможно забыть то, чего не знаешь. 
А на хостинге, если это впс, можно в настройках сетевого экрана поставить блок всех айпи за исключением айпи клауда. Либо можно в рамках своего тарифа шаред заменить айпишник, купить другой у хостера, после включения проксирования. Короче, много чего можно.

Так вот, сообщаю вам -  не парьтесь (из практики, а не ББС). Тем более, если вся ваша настройка клауда будет состоять из нажатия на кнопочку Under Attack, или честно скомунизженного с VC (c mailru в первом правиле, а судя по вопросам вы новичок и так оно и будет) - вам все равно ничего не поможет при ддосе.

Вот кстати, здесь сложно не согласиться. 

Мне в практике попадалось когда боты без посещения сайта писали данные сразу в аналитику, прикольно было наблюдать вечный онлайн в более чем 100 посетителей, при этом в логах посещений на хостинге в это время - зеро.

Чтобы был нормальный ДНС сервер, а не та шляпа, что у вашего хостинга по дефолту идет. Когда при необходимости любой правки в ДНС нужно ждать около часа, чтобы она синхронизировалась. Хостинг не онлайн их обновляет (как клауд, нажали, досчитали до 5 - готово), а допустим раз в 1 час или больше, зависит от того с какой ноги сисадмин встал когда настраивал.
Итого вы допустим прописали новую TXT запись, хостинг сообщил запись обновлена. У него лично на его сервере. А вот синхронизация с внешним миром, если спросите у саппорта хостинга - получите отписку что скоро, максимум в течение 24 часов.

Ну и да, если ДДОС, то если клауд настроен нормально, можно отбиться. Проксирование включается в 1 клик.
Потеряете процентов 30 трафика (из-за блока на стороне РКН), а не 100% и слёт всех позиций (которые потом, возможно, так и не восстановятся).

Вы наверное эзотерикой увлекаетесь, в приметы разные верите.
Вот уверен, если бы редирект не задавали, то боты бы не набежали 🤣

Раньше IPV6 у сайта не было, теперь появился. Есть пачки сайтов с информацией по вновь активированным доменам, парсеры разные, достаточно где-то светануться, и есть большой шанс попасть в какой-нибудь прогревочный список на выгул ботов. Причем выгул по этому протоколу в разы дешевле, чем по IPV4.

Так что не стоит теории строить, просто отключите IPV6.