Danke. Es ist DO, aber ich werde mich wieder mehr um die SSL-Einrichtung kümmern. Es ist nicht ‘Full-strict’, sondern ‘Full’, was meiner Meinung nach mit Letsencrypt interagiert. Ich habe die Bot- und KI-Bot-Abwehr aktiviert + eine sehr spezifische Geo-Server-Blockierung.
Ja, es ist seltsam. Einige meiner Websites mögen ‘full’, einige ‘full strict’. Was ziemlich seltsam ist, da sie alle auf demselben Webserver laufen, lol. Wenn Sie CF einschalten, überprüfen Sie alle paar Stunden, versuchen Sie ein VPN, damit Sie den DNS-Cache Ihres ISP usw. umgehen. Ich glaube, eine meiner Websites verwendet nur ‘strict SSL only origin pull’ und gibt ansonsten Fehler aus, lol. Wenn ich einen SSL-Fehler bekomme, ändere ich ihn einfach zu einem, der funktioniert, und lasse es dabei. Von etwa 30 Websites, wenn ich CF auf 100% davon angewendet habe, musste ich diese Einstellung ein oder zwei Tage später anpassen.
Ich bin beim Surfen, auch mit einem VPN, auf keine SSL-Fehler gestoßen.
Ich habe gerade Qualys überprüft und viermal ein B erhalten.
Die IP war die ganze Zeit nicht geschützt. Wenn man bedenkt, dass man nach dem Einfügen von CF in die Mitte keine direkten IP-Treffer mehr haben kann, habe ich das richtig verstanden?
So lala. Sie können die Seite oder die Datenbank nicht direkt treffen. Aber die DNS-Historie ist öffentlich. Sie könnten also trotzdem die IP per DDoS lahmlegen. Normalerweise sind DDoS-Angriffe auf spezifische IPs selten, wenn sie nicht wissen, was dort gehostet wird. Es ist eine Verschwendung ihrer DDoS-Bandbreite, da sie keine Ergebnisse sehen, was sie bewirken.
1 „Gefällt mir“
Ich habe auch einen problematischen Anstieg bemerkt, der sich nicht zu verlangsamen scheint. Es ist eindeutig unnatürlich. Haben Sie Ratschläge, bevor dies zu einem Problem wird?
2 „Gefällt mir“
Wow. Ihr letzter Dashboard-Graph sieht meinem bemerkenswert ähnlich. Vielleicht auch zur gleichen Zeit. Auch zwei Phasen. Erster Anstieg, der über mehrere Tage anhält, was wie eine angenehme Zunahme des Traffics erscheint, gefolgt von einem Anstieg in Phase zwei. Was sind die primären geografischen Standorte des Traffics, wenn Sie ihn sehen können?
1 „Gefällt mir“
Huawei begann ab 2019, in Singapur als KI-Hub zu investieren. Dasselbe Huawei ASN aus Singapur wurde für den Datenverkehr aus Mexiko und Hongkong genutzt. Wie funktioniert das? Standort-Spoofing?
1 „Gefällt mir“
Schauen Sie sich auch Ihre “anderen” Spalten einzeln an.
Auch wenn Sie nicht unter einem DDoS-Angriff stehen. Ich fand diesen Leitfaden, der im Cloudflare Community (Discourse) Forum veröffentlicht wurde, nützlich als Fokus und mögliche Aktionspunkte zum Durcharbeiten.
https://community.cloudflare.com/t/mitigating-an-http-ddos-attack-manually-with-cloudflare/302366
Als der Spitzenverkehr einsetzte, sprang die Absprungrate über 80 %; typischerweise liegt diese bei normalem Verkehr im niedrigen bis mittleren 20 %-Bereich.
Merkwürdigerweise sehe ich einen weiteren Sprung auf fast 80 % Absprungrate beim Verkehr eines Tages, aber es gibt keinen Anstieg. Die Verkehrsaufkommen sehen normal aus, d.h. vor dem Anstieg.
Während des Anstiegs fiel die durchschnittliche Interaktionszeit dramatisch, und auch diesmal gibt es einen Rückgang. Normalerweise schaue ich mir diese Metrik nicht an, tat es aber wegen des von Ihnen geposteten Diagramms. Ich denke, dies oder die Absprungrate sind gute Warnsignale dafür, dass mit der Verkehrsqualität und -art etwas ganz und gar nicht stimmt.
1 „Gefällt mir“
Meine Lösung war, alle nicht-portugiesischsprachigen Länder zu geoblocken, aber ich erhalte immer noch hohen Traffic aus meinem Land, den USA und Deutschland. Es scheint, dass Brasilien die Hauptquelle für diese Art von Angriff ist, daher war mein Versuch erfolglos. Ich habe 20 aktive Mitglieder, aber 2 Millionen Anfragen pro Monat. Unglaublich, meine Instanz erhält weiterhin Traffic vom Fediverso, selbst als das Plugin deaktiviert wurde. Ich bin müde und habe keine Ahnung, wie ich es lösen soll.
1 „Gefällt mir“
Was bei mir in Bezug auf die Cloudflare-Abwehrmaßnahmen funktioniert:
WAF-Regeln 1)
ASN - JS-Challenge angewendet / ASN = 136907
(Standorte in Reihenfolge des meisten Traffics)
- Singapur
- Hongkong
- Mexiko
Jeder, wie z.B. @piffy, sollte prüfen, ob dieselbe ASN auch bei euch auftritt. Dies sah in Google Analytics wie echter Traffic aus, es trieb die Absprungrate auf über 80% und die Nutzerbindung brach zusammen. Meines Erachtens wird es auch eure AdSense RPM / CPC durcheinanderbringen.
WAF-Regel 2)
Geo-JS-Challenge angewendet (in Reihenfolge des meisten Traffics)
- Singapur
- Hongkong
- Mexiko
Es schien einen neuen Anstieg bei den Cloudflare-Auslieferungen zu geben und wieder waren dieselben geografischen Regionen an der Spitze, daher habe ich nun eine Geo-JS-Challenge auf diese Top-3-Verursacher angewendet.
Eine Intervention hauptsächlich zur Wiederherstellung der Gesundheit der Analyse- / Nutzerbindungsmetriken. Dieser Traffic belastet den Server nicht mehr, da CF so viel über Caching und die Verwaltung von Bot-Angriffen abwickelt, aber insgesamt werden die Metriken wirklich durcheinandergebracht. Dies ist aggressiver Traffic.
Ich werde ein Update geben, wenn ich eine Verbesserung der Analysemetriken / AdSense usw. feststelle.
1 „Gefällt mir“
Ich habe es getan und jetzt blockiere ich wieder alle Länder mit anderen aktivierten Regeln für eine Weile. Die Herausforderung war genug und ich scheine die Angriffsquellen zu verlangsamen
Jetzt ist mein Engagement um 131 % gestiegen und die Ablehnungen sind um 16 % gesunken. Ich vermute, dass der Playstore impulsiv ist, daher muss ich eine Weile ein paar Wochen warten, um zu sehen, ob dieses Wachstum Bots oder legitimer Traffic ist.
1 „Gefällt mir“
WAF-Regel Nr. 2 hat den zusätzlichen Traffic mit Geo-angewandtem JS-Challenge zerschlagen
Zuvor betrug das Verhältnis ungefähr 4:1
Cloudflare:OriginServer
Jetzt ist es näher an einer 1:1-Auslieferung
Diese Regionen sendeten immer noch eine Menge Traffic.
Analytics spuckte Anomalie-Warnungen aus und die Metriken in Analytics waren immer noch durcheinander.
Adsense war wirklich ruiniert, die Seiten-RPM lag mit dem Anstieg bei fast 0,00c. Ich schätze, Adsense hat dies als verdächtigen Traffic erkannt und die Messung eingestellt.
Sie können den Anstieg vor dem Anstieg (blau) sehen, und selbst dann brach die RPM zusammen, aber der massive Seitenaufruf-Anstieg (blau) ließ die Seiten-RPM völlig zusammenbrechen. Die vorherigen 30+ Tage mit sehr stabilen Seitenaufrufen und Mustern.
Dashboard
So sahen die Dashboard-Ansichten aus, die letzten 5 Tage sind niedriger, weil von hier an CF-Abwehrmaßnahmen eingesetzt wurden. Wenn nicht, gäbe es keinen Grund, warum dieser Traffic nicht weiter zunehmen würde.
Zur Veranschaulichung: An dem Tag mit dem höchsten Aufkommen waren die Seitenaufrufe von Other (rot) fast 10 Mal so hoch wie das Volumen der Seitenaufrufe von Anon (grün). Lassen Sie das mal auf sich wirken. 
Daumen drücken, dass sich das in den nächsten 2/3 Tagen ausgleicht.
1 „Gefällt mir“
Die Herausforderung bei JS ist, dass es nicht den gleichen Effekt hat wie verwaltete (Ressourcen). Ich habe fast dasselbe getan, indem ich Hotlink-Blocking auf Medien und Bibliotheken wie CSS und JS angewendet habe. Es funktioniert nur über den Referer (direkter Zugriff über einen Tab = blockiert). Dies hilft mir, die Nutzung von Bandbreite und CPU zu reduzieren.
1 „Gefällt mir“
Ich werde die JS Challenge noch einige Zeit beibehalten, da die CSR (Challenge Solved Rate) bisher = 0% beträgt. Ich werde mit Managed experimentieren, nachdem mehr Traffic verarbeitet wurde und/oder die CSR anfängt zu schwanken. Aktuell sieht das CF:OS-Bereitstellungsverhältnis wie ein noch engeres 1:1-Verhältnis aus. Mitigated hat seinen Platz eingenommen und ist stark angestiegen. Ich frage mich, warum Angriffe fortgesetzt werden, wenn sie nach einer bestimmten Zeit durch die JS blockiert werden (doch nicht sehr ausgeklügelt?) und wird es einen Versuch geben, über andere ASNs und geografische Standorte einzudringen? Sollte dies geschehen, werde ich Managed bei neuen Angriffsvektoren ausprobieren.
1 „Gefällt mir“
Da die JS-Challenge dasselbe Ziel, aber eine schlechtere Effizienz als die ‘Manage Challenge’ hat, ist sie vielleicht veraltet, da diese Option mir kein Captcha anzeigt, sondern mich einfach als legitimen Traffic verwirft, wie es die ‘Managed’ tut.
Ich habe dieses Thema auf Meta gefunden, das meiner Meinung nach von großem Interesse ist und wahrscheinlich am besten als eigenes Thema behandelt wird Cloudflare Security WAF (Web Application Firewall) + Discourse?
Eine weitere nützliche Ressource - https://radar.cloudflare.com/
Ich sagte, ich würde das Thema aktualisieren, also hier ist das Update.
Insgesamt hat sich die Cloudflare-Minderung in der kostenlosen Stufe als Lösung für den Moment, d. h. für die unmittelbare kurzfristige Perspektive, sehr gut bewährt.
In gewisser Weise wünschte ich, ich hätte gewusst, dass Cloudflare mit Discourse verwendet werden kann, aber irgendwie habe ich das verpasst.
Die verschiedenen von Cloudflare initiierten Minderungsmaßnahmen stoppten den unbegründeten Datenverkehr aus den Standorten Singapur, Hongkong und Mexiko (wahrscheinlich gefälscht) fast sofort.
Gestern und heute gab es einen Trend, bei dem dieselben Traffic-Quellen aufhören, es zu versuchen, da das Volumen drastisch zurückgegangen ist. Das ist ungefähr die Zeit, die es brauchte, bis es vielleicht aufgab.
Es ist jedoch noch zu früh.
Ich kann auch andere kurzzeitige Angriffe / Bot-Traffic leichter identifizieren.
Ich denke, Cloudflare mildert diese Angriffe schließlich nach etwa 30-60 Minuten ab. Diese von Cloudflare bedienten Spitzen sind der Ort, auf den man sich konzentrieren sollte, und es macht es viel einfacher, Quell-ASNs oder Geo-Standorte zu identifizieren und zur Blockierliste oder zu beliebigen WAF-Regeln hinzuzufügen.
Der Radarlink https://radar.cloudflare.com/bots/ war wirklich nützlich, um die Qualität einer ASN einzuschätzen. Ich habe einige WOW-Server-Schwärme identifiziert, von denen ich annehme, dass es sich um einen World Of Warcraft-Server handelt? 
Dieser tauchte immer wieder in Spitzen auf.
Ich habe bemerkt, dass der Traffic wieder auf üblichere Niveaus zurückgekehrt ist und auch gleichmäßiger und im Rhythmus ist.
Die AdSense-Metriken haben sich fast wieder normalisiert oder erholen sich zumindest (d. h. ein schlechter RPM ist besser als kein RPM!) 
Dies war wahrscheinlich das erste Mal, dass der Traffic den Server so stark unter Druck setzte, dass der Dienst ins Stocken geriet. In diesem Fall und abgesehen von anderen Minderungsmaßnahmen wie dem Ändern der IP-Adresse des Servers war Cloudflare als schnelle und Management-Lösung im Moment großartig, insbesondere wenn man keine Zeit zum Basteln oder die Fähigkeiten hat, mit Nginx usw. herumzuspielen, während man unter irgendeiner Art von wachsenden Angriffen steht, und hat es ermöglicht, dass ein Min-Spec-Droplet fast im Leerlauf läuft und ihm Spielraum über seine Spezifikationen hinaus gibt.