ارتفاع غير عادي في عدد المشاهدات المجهولة

شكراً. إنها DigitalOcean، لكنني سأعود وأعمل على إعداد SSL بشكل أكبر. إنها ليست Full-strict بل Full، وأعتقد أن هذا يتفاعل مع letsencrypt. لقد قمت بتمكين تخفيف حدة الروبوتات وروبوتات الذكاء الاصطناعي + حظر خادم جغرافي محدد جدًا.

نعم، هذا غريب. بعض مواقعي تفضل الوضع الكامل (full)، وبعضها الوضع الكامل الصارم (full strict). وهو أمر غريب جدًا بما أنها جميعًا تعمل على نفس خادم الويب هههه. عند تشغيل CF، تحقق كل بضع ساعات، جرب VPN لتجاوز ذاكرة التخزين المؤقت لنظام أسماء النطاقات لمزود خدمة الإنترنت الخاص بك وما إلى ذلك. أعتقد أن أحد مواقعي يستخدم فقط السحب الأصلي الصارم SSL فقط ويعطي أخطاء بخلاف ذلك هههه. إذا حصلت على خطأ SSL، فأنا فقط أغيره إلى واحد يعمل وأتركه هناك. من بين حوالي 30 موقعًا، إذا قمت بتطبيق CF على 100% منها، اضطررت إلى تعديل هذا الإعداد بعد يوم أو نحو ذلك.

لم أواجه أي أخطاء SSL أثناء التصفح، وهذا أثناء التجول باستخدام VPN.

لقد تحققت للتو من Qualys وحصلت على B أربع مرات.

لم تكن عنوان IP محمية طوال هذا الوقت. ومع ذلك، بمجرد وضع CF في المنتصف، لا يمكن أن تكون هناك المزيد من ضربات IP المباشرة، هل هذا صحيح؟

نوعا ما. لا يمكنهم استهداف الموقع أو قاعدة البيانات مباشرة. ولكن سجلات DNS عامة. لذلك لا يزال بإمكانهم شن هجمات DDoS على عنوان IP. عادةً ما أجد أن هجمات DDoS على عناوين IP محددة نادرة إذا كانوا لا يعرفون ما تستضيفه. إنه مضيعة لوقت عرض النطاق الترددي لهجمات DDoS الخاصة بهم حيث لا يمكنهم رؤية أي نتائج لما يؤثرون عليه.

لقد لاحظت أيضًا زيادة إشكالية لا يبدو أنها تتباطأ. إنها غير طبيعية بوضوح. أي نصيحة قبل أن يصبح هذا مشكلة؟

Screenshot_20250621_211346_Analytics982×1090 89.6 KB

Screenshot_20250621_211402_Analytics982×1156 108 KB

Screenshot_20250621_211427_Analytics1080×826 82.8 KB

Screenshot_20250621_211502_Analytics1080×1021 89.9 KB

Screenshot_20250621_222407_Chrome1080×849 74 KB

رائع. يبدو الرسم البياني الأخير للوحة المعلومات الخاصة بك مشابهًا جدًا لرسمي. ربما نفس التوقيت أيضًا. مرحلتان أيضًا. الزيادة الأولى التي تستمر لعدد من الأيام فيما يبدو أنها زيادة ممتعة في حركة المرور ثم تتبعها زيادة المرحلة الثانية. ما هي المواقع الجغرافية الأساسية لحركة المرور إذا كان بإمكانك رؤيتها؟

بدأت هواوي الاستثمار في سنغافورة ابتداءً من عام 2019 كمحور للذكاء الاصطناعي. نفس رقم نظام الحكم الذاتي (ASN) الخاص بهواوي في سنغافورة تعامل مع حركة المرور إلى المكسيك وهونغ كونغ. كيف يعمل ذلك؟ انتحال الموقع؟

أيضًا، ألقِ نظرة على أعمدتك “الأخرى” بمفردها.

حتى لو لم تكن تتعرض لهجوم DDoS. لقد وجدت هذا الدليل المنشور على منشور Cloudflare في منتدى مجتمعهم (discourse) مفيدًا كتركيز ونقاط عمل محتملة للعمل عليها.

https://community.cloudflare.com/t/mitigating-an-http-ddos-attack-manually-with-cloudflare/302366

عندما وصلت حركة المرور إلى ذروتها، قفز معدل الارتداد إلى أكثر من 80%، بينما يكون هذا عادةً في نطاق 20% المنخفض إلى المتوسط لمعدل الارتداد في حركة المرور العادية.

الغريب أنني أرى قفزة أخرى إلى ما يقرب من 80% في معدل الارتداد لحركة مرور يوم واحد، ولكن لا توجد طفرة. تبدو مستويات حركة المرور طبيعية، أي قبل الطفرة.

خلال الطفرة، انخفض متوسط وقت التفاعل بشكل كبير، وهناك أيضًا انخفاض هذه المرة. أنا لا أنظر عادة إلى هذا المقياس، ولكنني فعلت ذلك بسبب الرسم البياني الذي نشرته. أعتقد أن هذا أو معدل الارتداد هما مؤشرات جيدة على أن هناك شيئًا خاطئًا جدًا بجودة ونوع حركة المرور.

كان حلي هو حظر جميع الدول غير الناطقة بالبرتغالية جغرافيًا، لكنني ما زلت أتلقى حركة مرور عالية من بلدي والولايات المتحدة وألمانيا. يبدو لي أن البرازيل هي المصدر الأكبر لهذا النوع من الهجمات، لذا فشلت محاولتي. لدي 20 عضوًا نشطًا ولكن بمعدل 2 مليون طلب شهريًا. لا يصدق أن منصتي ما زالت تتلقى حركة مرور من فيديفيرسو (Fediverso) حتى عندما تم تعطيل المكون الإضافي. أنا متعب وليس لدي أي فكرة عن كيفية حل ذلك.

فيما يتعلق بتخفيف Cloudflare، ما نجح معي هو:

قواعد WAF 1)

تحدي JS مطبق على ASN / ASN = 136907

(المواقع حسب ترتيب معظم حركة المرور)

1. سنغافورة
2. هونغ كونغ
3. المكسيك

أي شخص مثل @piffy يتحقق مما إذا كان نفس ASN يؤثر عليه أيضًا. بدت هذه حركة مرور حقيقية في تحليلات جوجل، فقد رفعت معدل الارتداد إلى أكثر من 80% وانهار تفاعل المستخدمين. سيعبث هذا بإيراداتك لكل ألف ظهور (RPM) / تكلفة النقرة (CPC) في AdSense على حد علمي.

قاعدة WAF 2)

تحدي JS الجغرافي مطبق (حسب ترتيب معظم حركة المرور)

1. سنغافورة
2. هونغ كونغ
3. المكسيك

يبدو أن هناك زيادة جديدة في خدمات Cloudflare، ومرة أخرى نفس المناطق الجغرافية هي الأعلى، لذا فقد طبقت الآن تحدي JS الجغرافي على هؤلاء المخالفين الثلاثة الأوائل.

تدخل للأغراض الرئيسية لاستعادة صحة مقاييس التحليلات / تفاعل المستخدمين، هذه الحركة المرورية لم تعد تضغط على الخادم لأن Cloudflare يتعامل مع الكثير عبر التخزين المؤقت وإدارة هجمات الروبوتات، ولكن بشكل عام، يتم تشويه المقاييس بشكل كبير. هذه حركة مرور عدوانية.

سأقوم بالتحديث إذا رأيت تحسنًا في مقاييس التحليلات / AdSense وما إلى ذلك.

لقد فعلت ذلك والآن عدت لحظر جميع البلدان مرة أخرى بقواعد أخرى مفعلة لفترة من الوقت، كان التحدي المدار كافياً ويبدو أن مصادر الهجوم تتباطأ

image605×287 30.2 KB

الآن نما تفاعل المعدل الخاص بي بنسبة 131% وانخفض الرفض بنسبة 16%، تخميني هو أن متجر Play يدفع لذلك، لذا لفترة من الوقت أحتاج إلى الانتظار بضعة أسابيع لمعرفة ما إذا كان هذا النمو عبارة عن روبوتات أم حركة مرور شرعية.

قاعدة جدار الحماية رقم 2 سحقت حركة المرور الإضافية باستخدام تحدي JavaScript المطبق جغرافيًا.

قبل ذلك، كانت النسبة تقريبًا - 4:1
Cloudflare: خادم المصدر
الآن أقرب إلى 1:1 في الخدمة.

كانت هذه المناطق لا تزال ترسل كمية هائلة من حركة المرور.

كانت التحليلات تطلق تنبيهات الشذوذ وكانت المقاييس في التحليلات لا تزال في حالة فوضى.

كانت إعلانات AdSense معطلة حقًا، وكان عائد الألف ظهور للصفحة يقارب 0.00 دولار مع الارتفاع. أعتقد أن AdSense كانت تكتشف هذه حركة مرور مشبوهة وأوقفت القياس.

تعطل مقاييس AdSense لعدد مشاهدات الصفحة (الأزرق) مقابل عائد الألف ظهور للصفحة (الأحمر)1049×264 77.3 KB

لوحة المعلومات

هكذا بدت مشاهدات لوحة المعلومات، الأيام الخمسة الأخيرة أقل لأن تخفيف CF تم نشره من هنا فصاعدًا. إذا لم يكن الأمر كذلك، فلا يوجد سبب لعدم توقف هذه الحركة المرورية عن الزيادة.

للمقارنة، كانت مشاهدات صفحة الأخرى (الأحمر) في أعلى يوم تقريبًا 10 أضعاف حجم مشاهدات صفحة المجهول (الأخضر). دع هذا يستوعب. :وجه_يذوب:

مشاهدات الصفحة المسجلة الدخول والمجهولة عبر لوحة معلومات Discourse843×252 88.3 KB

حركة المرور الأخرى عبر لوحة معلومات مسؤول Discourse828×188 37 KB

نأمل أن يتوازن هذا خلال اليومين/الثلاثة أيام القادمة.

تحدي جافاسكريبت (JS) ليس له نفس تأثير الحلول المدارة، لقد قمت بشيء مشابه تقريبًا بتطبيق حظر الارتباط المباشر (hotlink blocking) على الوسائط والمكتبات مثل CSS و JS، حيث يعمل فقط من خلال المُحيل (referer) (فتح الوصول المباشر من علامة تبويب يؤدي إلى الحظر). هذا يساعدني على تقليل استهلاك النطاق الترددي ووحدة المعالجة المركزية.

سأترك تحدي JS (JS Challenge) في مكانه لبعض الوقت حيث أن معدل حل التحدي (CSR) = 0% حتى الآن. سأجرب الوضع المُدار (Managed) بعد مرور المزيد من حركة المرور و/أو عندما يبدأ معدل حل التحدي (CSR) في التذبذب. في الوقت الحالي، تبدو نسبة خدمة CF:OS أقرب إلى نسبة 1:1. أخذت التخفيفات (Mitigated) مكانها وتضخمت. ما أتساءل عنه هو لماذا تستمر الهجمات إذا كانت تُحظر بواسطة JS بعد فترة زمنية معينة (أليست غير متطورة جدًا بعد كل شيء؟) وهل ستكون هناك محاولة للدخول عبر أرقام أنظمة مستقلة (ASN) ومواقع جغرافية أخرى؟ إذا حدث هذا، فسأجرب الوضع المُدار (Managed) على أي متجهات هجوم جديدة.

بما أن تحدي JS له نفس الهدف ولكن بكفاءة أسوأ من ‘تحدي الإدارة’، فربما يكون قد تم إهماله لأن هذا الخيار لا يعرض لي كابتشا، بل يتجاهلني كحركة مرور مشروعة، على عكس ما يفعله ‘المدار’.

لقد وجدت هذا الموضوع على ميتا والذي أعتقد أنه ذو أهمية كبيرة ومن الأفضل تقديمه كموضوع خاص به Cloudflare Security WAF (Web Application Firewall) + Discourse?

مصدر آخر قد يكون مفيدًا - https://radar.cloudflare.com/

قلت إنني سأقوم بتحديث الموضوع، لذا إليك التحديث.

بشكل عام، نجح تخفيف Cloudflare على المستوى المجاني بشكل جيد للغاية كحل في الوقت الحالي، أي على المدى القصير الفوري.

بمعنى ما، أتمنى لو كنت أعرف أن Cloudflare يمكن استخدامه مع Discourse، لكنني بطريقة ما فاتني ذلك.

أدت التخفيفات المختلفة باستخدام Cloudflare إلى توقف شبه فوري للحركة المرورية المضللة، من مواقع سنغافورة وهونغ كونغ والمكسيك (ربما مزيفة).

شهد أمس واليوم اتجاهًا حيث يبدو أن نفس مصادر حركة المرور قد توقفت عن المحاولة حيث انخفض الحجم بشكل كبير. هذا هو طول الوقت الذي استغرقه ربما للاستسلام.

ومع ذلك، لا يزال الأمر مبكرًا.

يمكنني أيضًا تحديد هجمات أخرى قصيرة المدى / حركة مرور الروبوتات بسهولة أكبر.

أعتقد أن Cloudflare يخفف هذه الهجمات في النهاية بعد حوالي 30-60 دقيقة، وهذه الارتفاعات التي يقدمها Cloudflare هي المكان المناسب للتركيز عليه، وتجعل تحديد أرقام ASN المصدر أو المواقع الجغرافية أسهل بكثير وإضافتها إلى قائمة الحظر أو أي قاعدة WAF.

كان رابط الرادار https://radar.cloudflare.com/bots/ مفيدًا حقًا لتقدير جودة ASN، لقد اخترت بعض أسراب خوادم WOW التي أفترض أنها خادم World Of Warcraft؟ استمر هذا في الظهور في الارتفاعات.

لقد لاحظت أن حركة المرور عادت إلى مستوياتها المعتادة وتبدو أيضًا أكثر ثباتًا وإيقاعًا منتظمًا.

تحسنت مقاييس AdSense تقريبًا إلى وضعها الطبيعي أو على الأقل تتعافى (أي أن عائد الألف ظهور المنخفض أفضل من عدم وجود عائد ألف ظهور!)

ربما كانت هذه هي المرة الأولى التي رأيت فيها حركة المرور تضع الخادم تحت ضغط كبير لدرجة أن الخدمة كانت تكافح، في هذه الحالة، وبصرف النظر عن التخفيفات الأخرى مثل تغيير عنوان IP للخادم، بشكل عام كحل سريع وحل إداري في الوقت الحالي كان Cloudflare رائعًا، خاصة عندما لا يكون لديك وقت للتلاعب أو المهارات اللازمة للتعامل مع nginx وما إلى ذلك أثناء التعرض لأنواع من الهجمات المتزايدة، وقد سمح لخادم بمواصفات دنيا بالعمل بالقرب من وضع الخمول، مما يمنحه مساحة أكبر من مواصفاته.