Понял. У вас чисто теоретический интерес. С реальным ддосом вы не сталкивались.
Если кто-то сканирование тем же ашрефсом называет ддосом, тот и сам себе редиска.
Что касается вашей боязни "мощной" ддос атаки аж с 10 тысяч устройств... Я же написал, это настолько пыль, что не хочется тратить свое время на обсуждение такого мелкого всплеска активности.
не соглашусь с вами что 10к компов мощного ddos-бота это пыль.
ну а если пыль, тогда пруфы статистик хотелось бы увидеть какую пыль вы отбивали на cf и какая мощность атаки была.
Вы вцепились в AS и не видите всего остального, что вам написали выше. Я же сказал - это одна из простейших, очевидных настроек. Одна из.
Давайте начнем с самого начала. Вы когда-нибудь видели полноценный длительный ДДОС своими собственными глазами? Или рассуждаете о нем, исходя из прочитанного на форумах, чисто теоретически?
как раз таки наоборот, я заметил что пиарят cf и решил уточнить, все кто рекомендуют вы различаете ddos от агрессивного сканирования ботами или парсинга?
поэтому когда рекомендуют интересно понять, вы думаете что скорее всего человека сканят например амазон боты, сейчас он натянет cf и вставит пару записей чтобы заблокировать известные подсети и все закончится?)
я могу конечно ошибаться, но просто интересно как справится cf с целенаправленной мощной атакой 10к ботами разных стран с разной шириной канала чьи подсети нельзя банить т.к это ваши потенциальные клиенты.
При ддос вам это мало поможет. Потому что любой коннект создает нагрузку и отжирает у вас кусок ресурсов просто на то, чтобы дать ему 403 ошибку. А когда число таких коннектов превысит определенный предел - ваш сервер ляжет.
С компами обычных пользователей та же самая история. В значительной мере это тот же HTTP1. Который рекомендуют отключать в самых простейших правилах настройки клауда, которых валом в сети.Те кто поопытнее, добавляют себе еще кучу разных паттернов для фильтрации входящего потока. Амазоны хетцнеры - это лишь малая часть этих паттернов. Самая очевидная.
можно заблокировать так чтобы не тратило ресы без 403 ошибки.
блокировать известные сетки серверов это не отражение ддос атаки.
реальная целенаправленная атака это компьютеры самых разных стран и провайдеров, обычные люди.
Да, представьте себе )Там выше вам уже написали, не важно сколько атакующих устройств. sagamorr же написал, это было на нубском включении кнопки Under Attack, еще до того, как он открыл для себя WAF и AS.Важно, как вы настроили правила фильтрации трафика. Правила WAF, другие настройки в аккаунте. Как по AS заблокировали спамные подсети. Например, одной записью c блокировкой AS16509 вы исключаете из атаки более 44 млн адресов, с любого из которых вам может приходить коннект с участвующего в атаке сервера. https://www.bigdatacloud.com/asn-lookup/AS16509А еще Azure, гугл облака, хетцнер, овх, и далее, далее по списку. Крупнейших AS - сотни. Ну и блок того же протокола HTTP1 здорово облегчает жизнь.Поэтому еще раз. В целом важно не то, сколько вам приходит трафика. А то, насколько готова к этому защита вашего аккаунта.
вы считаете что когда вас будут атаковать это будут обязательно сервера амазона, azure и тд?)
а если это будут компьютеры обычных людей, то что вы сделаете?
подсети амазон я заблокировал через htaccess без сторонних сервисов, также можно заблокировать и все остальные известные подсети если есть список их адресов.
Вот для этого и используют клауд. Потому что у него мощностей побольше, чем мощностей у любой атаки. Пару тысяч, пару десятков тысяч атакующих устройств - это пыль.
По моей практике, на моем сайте тестировали атаку с единовременным заливом 500 млн соединений. На клиентских - поменьше было. И все это на фри тарифе.
десятки тысяч атакующих компов это пыль?)
сомневаюсь что вам хоть какой то тариф от cf поможет даже при 10-20к атакующих компов, они просто не захотят вами заморачиваться.
тут человек в теме писал что у него сайт вырубался на некоторое время.
Точных цифр не помню, но сервер на виртуальном хостинге забивался моментально.
Почему от CF толку 0? Любой вебмастер без каких либо знаний администрирования сервера может элементарно заблокировать все спам сети в WAF, а там хоть и 100 Гб, все равно на сайт они не попадут.
Остальные будут сидеть в JS проверке, ждать пока их не вычистят.
просто видно сегодня называется ddos это сканирование обычных ботов типа ahrefs и тд)
нормальную атаку с 1-3 тысяч компов чтобы отбить нужны мощности больше чем мощности атаки.
вы пишите про спам-сети, что это за сети и что они делают?
Несколько лет назад один из сайтов сильно Ддосили. Ру-центр и ihc заблокировали аккаунт через час Ддоса. Бегет продержался чуть больше, но сайт тоже вырубили.
После подключения CF и включения "under atack" сайт большую часть времени работал, бывало падал мин на 5, но потом опять включался.
На тот момент я еще не знал про возможности WAF и что можно все спам сетки было по AS заблокировать.
какова мощность атаки была? сколько трафу сожрало по стате cf?
ведь зависит еще и от нагрузки самой атаки, типа 360 гб/сек. у кого есть данные сколько реально выдержит бесплатный тариф от cf?
никаких последствий быть не может потому что это ваш сайт и технически вы можете делать что угодно.
одно дело когда клиент вас просит улучшить показатели, а вы делаете путем таких ухищрений, тогда обман клиента.
актуальный список всех подсетей амазона https://ip-ranges.amazonaws.com/ip-ranges.json
отделить ip-адреса можно с помощью этой программы https://www.youtube.com/watch?app=desktop&v=lS8fxkAICmY
далее сделать приставку Deny from у каждого ip-адреса, excel в помощь.
в итоге должен получится список такого вида:
Deny from 3.2.34.0/26Deny from 3.5.140.0/22Deny from 13.34.37.64/27
Вставить этот список в htaccess и все подсети Amazon заблокированы.
Заблокировать также можно через конфиг nginx.
При желании можно автоматизировать процесс через написание скриптов и крон.
