Оказывается, у МТС есть в6-подсети, специально выделенные под мобильных абонентов. Раньше такое только у хостеров было вроде. Которых легко отсекать пачками.
Давно уже есть, у МТС так очень давно. У других мобильных операторов та же история. В процентном отношении айпишников Ipv6 еще не так много по ним, но достаточно для того, чтобы считать устаревшей идею ставить в блок или проверку посетителя только потому, что у него IPv6.
IPv6 в клауде активен?Если да, то для начала сузьте количество точек входа. Деактивируйте IPv6 в клауде. Это резко сузит количество входящих подключений, отбросит ботофермы которые только на IPv6 крутятся. А то это борьба с ветряными мельницами, крутить им проверку, которую часть все равно пройдет. Да и ГЕО получше будет определяться.
Да, я сейчас ещё раз пересмотрел метрику. Все боты с Android 10,11,12,13 или Windows 10 c Chronme. И все они с IPv4 address block not managed by the RIPE NCC
Для начала деактивируйте IPv6 в Cloudflare через API.
И одним из правил, последним, через Skip поставьте запись визитов. Что-то наподобие если хост содержит ваш домен - skip и запись лога.
Не совсем понял, скриншот какой именно статистики интересн. Все поскриншотил)
Много у вас там IPv4 address block not managed by the RIPE NCC в отчетах?
Есть такие. Легко находится по запросу: список ip ботов google.
Ну или вотhttps://developers.google.com/search/apis/ipranges/googlebot.json
Это есть в платных тарифах.
Да, все еще продолжается всплеск из России
В буржуйнете этот способ расписан, на нем работают некоторые раскрученные сервисы, которые якобы живой трафик предлагают наливать на сайт.
Там смысл в том, что идет обращение напрямую к гугл аналитикс, с определенными параметрами, и собственно тем номером счетчика, в который все это транслировать. В итоге аналитикс показывает таких посетителей онлайн, еще и в историю их пишет. И все это без собственно посещений самого сайта. Гео у прокси также можно подделать. Крутят как раз тайские прокси с перебитым на РФ гео.Здесь только смысл не очень понятен, зачем лить на какой-то левый сайт.
Вот так сейчас сделал в третьем правиле (Choose action: Block):
Странная последняя строчка. Мне кажется, так работать не будет.
Это топикстартер так в названии темы написал.
Я не говорил что они без IP. Я сказал что не относятся к реестру RIPE NCC (европейскому). Всего реестров 5 штук.
Например, некоторые сети крутят какие-нибудь тайландские прокси, но подделывают им ГЕО и они уже якобы российские. Ну или просто из другой страны, за пределами нашей геозоны. Тогда будет так как на скриншоте.
Поведенческие боты, прямые заходы с подменой реферера, поэтому попадает в отчет переходов с сайтов.
Айпи не относится к реестру RIPE NCC.
