У Вас провайдер может не блочить. К примеру домашний провайдер сайты с клаудом норм открывает. Мобильный же с ошибкой что обсуждают. Лучше выключить этот TLS 1.3 (с заботой о других пользователях сайта).
сегодня, пока не зашёл на форум, решил грохнуть учётную запись сайта на CF и создать новую, думал, поможет. И вот столкнулся с тем, что CF мне не даёт опять домен добавить, пишет, оплатите счета.
Я что-то не понимаю в "бесплатном тарифе" CF? Что это:
Посмотрите в платежке за что платили и за что стоят счета.
Вот тема тоже по проблеме, если решите почитать комменты лишним не будет)
РКН заблокировал ECH [SNI]: пользователи Cloudflare под ударом, что дальше? / Хабр
А так конечно весело)
Это само собой нужно делать, и об этом как-то криво сказал хостер / ТС нам. Но судя по теме, боты идут по домену. То что он сменит айпи и просто поставит клауд - не решит проблему, сайт так же не будет отвечать из-за большого количества запросов.
Как показывает практика, достаточно переблокать в WAF правилах ASN сетки хостинговые и Microsoft (8075), но бингбота с 8075 в исключение.Собираете логи через тот же WAF - да, на бесплатном тарифе собирать так еще морока. Блочите. Конечно, когда есть база правил или опыт, все оперативнее и проще.+ по логам можно увидеть куда обращаются, с какого юзер агента. скорее всего на главную или типо сайт/рандомные буквы - тоже вносятся правила и сайт дальше живет.
ну и лишним не будет включить режим
Где выбрать действие, блок.
Клауд хотя бы по своим правилам и базам плохого трафика - отработает и заблочит.
Смотрите логи сервера, изучаете какие айпи заходят. Если с хостинговых айпи - то блочите подсети через .htaccess или ASN номера сетей Cloudflare. Можно сделать в клауде правило на referer (переход якобы с t.me - капчу).
Вы не сказали прямые ли это заходы, по логу сервера посмотрите.
Как бы сделал я:
1. установить клауд.2. Написать WAF правила, которые блочат ASN сети - разными сервисами можно узнать, тем же клаудом пропустить через него и посмотреть кто ходит (логи клауда, ASN страна протокол, страница и тд).3. Блокировка тех стран, откуда нет тарфика ну или обязательную капчу.4. Сделать допустим вообще капчу на прямые заходы (если это прямой заход), исключив поисковики. Если прямой и HTTP 1 или 1.1 - то совместить. Чем больше данных для анализа, тем легче составить правило защиты.А так да, есть помимо клауда - капча гугла и вообще много чего другого.
Реферер при переходе с мессенджеров пустой (не передается), но с веб версии вроде может передаваться.
А по HTTP 1 - ваш клиент сидит скорее всего на XP и использует устаревший браузер, такое может быть, а может быть он используете Safari (мак, айфон) - такое может быть, не раз сталкивался что у яблочных браузер с приветом. (если это так, делаете исключение для http 1 у кого юзер агенты яблочных).
Все так же, изучаете логи сервера и делаете свои правила. Можно вообще сделать логирование в клауде так же для точного referer https://адрес-сайта.ру и для главной страницы / - по моим наблюдениям подобные боты идут только на главную и используют реферер главной.
Пример для логирования:
После чего изучаете полученные логи, ищите одинаковые данные и делаете блокировку или капчу.
В интернете предостаточно информации, я не думаю что это нужно здесь расписывать, это индивидуально, есть свои нюансы, можете ТП хостинга помучить)
Вам нужно сделать Ваше (это) правило для - и для пустоты referer (просто сообщаю если не сделали).Чтобы не думать кто и как лезет по прямым заходам, сделайте логирование прямых заходов, как я говорил ранее для оставшихся "-" и "".
Ну не будут Вам тут прям дословно все предоставлять по полочкам, если хотите разобраться сами, то проявляйте активность и изучайте всю ветку.
нормальный блок, но вы не учитываете, что:
1. прямой заход может быть не с пустым referer, а и с "-" если посмотрите логи сервера то там может быть вместо пустоты черточка. То есть это правило не учитывает такие заходы, а значит логика сломана.
2. Можно более детально сделать правило а именно URl equals равно / - раз вы говорите, что боты идут на главную только.
3. А если у Вас боты из сети мегафон но не с IPV6 айпи? Тогда Ваше правило не отработает. Как по мне правило IPV6 и User agent chrome лишнее - но опять же нужно видеть что у Вас.
Так же рекомендую в самый низ (5 правилом или если у Вас больше) ниже этого правила сделать правило пропуска ботов по прямым заходам, где referer "" и "" - (картинку прикрепил, показать принцип, чтобы не подумали что это нужно в код правила запихать) 18 правило условно - прямые заходы, сбор данных. Это поможет Вам анализировать какие остатки ботов проходят.
