תודה. זה DO, אבל אחזור ואעבוד יותר על הגדרת ה-SSL. זה לא Full-strict אלא Full, מה שלדעתי מקיים אינטראקציה עם letsencrypt.
הפעלתי מניעת Bot ו-Ai-Bot + חסימת שרת גיאוגרפי ספציפית מאוד.
כן, זה מוזר. חלק מהאתרים שלי אוהבים מלא, חלק מלא מחמיר. וזה די מוזר מכיוון שכולם פועלים על אותו שרת אינטרנט חחח. כשמפעילים את CF, בדקו כל כמה שעות, נסו VPN כדי לעקוף את מטמון ה-DNS של ספק האינטרנט שלכם וכו’. אני חושב שאחד האתרים שלי משתמש רק ב-SSL מחמיר בלבד למשיכת מקור ונותן שגיאות אחרת חחח. אם אני מקבל שגיאת SSL, אני פשוט משנה אותה לאחת שעובדת ומשאיר אותה שם. מתוך כ-30 אתרים, אם עשיתי CF על 100% מהם, הייתי צריך להתאים את ההגדרה הזו יום או יומיים לאחר מכן.
לא נתקלתי בשגיאות SSL כלשהן בגלישה וזה מקווה להסתובב ב-VPN.
רק בדקתי את Qualys וקיבלתי B 4 פעמים.
ה-IP לא היה מוגן כל הזמן הזה. עם זאת, ברגע שאתה מוריד את CF באמצע, לא יכולות להיות יותר פגיעות IP ישירות, האם אני צודק?
במידה מסוימת. הם לא יכולים לפגוע ישירות באתר או במסד הנתונים. אבל היסטוריית ה-DNS פומבית. אז הם עדיין יכולים לבצע מתקפת DDoS על ה-IP. בדרך כלל אני מוצא שמתקפות DDoS על IP ספציפיים הן נדירות אם הם לא יודעים מה הוא מארח. זה בזבוז של רוחב הפס של ה-DDoS שלהם מכיוון שהם לא יכולים לראות תוצאות למה שהם משפיעים עליו.
לייק 1
I have also noticed a problematic uptick that does not seem to be slowing down. Its clearly inorganic. Any advice before this becomes a problem?
2 לייקים
וואו. גרף לוח המחוונים האחרון שלך נראה דומה להפליא לשלי. אולי גם באותו תזמון.
גם כן בשתי פאזות.
עלייה ראשונית שנמשכת מספר ימים, מה שנראה כמו עלייה נעימה בתנועה, ואז עוקבת אחריה עלייה בפאזה השנייה.
מהן המיקומים הגיאוגרפיים העיקריים של התנועה, אם אתה יכול לראות זאת?
לייק 1
Huawei החלה להשקיע בסינגפור מ-2019 ואילך כמרכז AI.
אותו ASN של Huawei מסינגפור נכנס עם תעבורת מקסיקו והונג קונג.
איך זה עובד? זיוף מיקום?
לייק 1
גם תסתכלו על העמודות ה"אחרות" שלכם בפני עצמן.
Even if you are not under DDoS attack. I found this guide posted onto Cloudflare post on their community (discourse) forum useful as focus and possible action points to work through.
https://community.cloudflare.com/t/mitigating-an-http-ddos-attack-manually-with-cloudflare/302366
כשתנועת השיא הגיעה, שיעור הנטישה קפץ מעל 80%; בדרך כלל זה בטווח הנמוך עד בינוני של 20% שיעור נטישה בתנועה רגילה.
באופן מוזר, אני רואה קפיצה נוספת לכמעט 80% שיעור נטישה בתנועה של יום אחד, אבל אין עלייה חדה. רמות התנועה נראות רגילות, כלומר, לפני העלייה החדה.
במהלך העלייה החדה, average engagement timed ירד באופן דרמטי, ויש גם ירידה הפעם. אני בדרך כלל לא מסתכל על המדד הזה, אבל עשיתי זאת בגלל הגרף שפרסמת. אני חושב שזה או שיעור הנטישה הם התראות טובות לכך שמשהו מאוד לא בסדר עם איכות וסוג התנועה.
לייק 1
הפתרון שלי היה לחסום גיאוגרפית את כל המדינות שאינן דוברות פורטוגזית, אך עדיין אני מקבל תעבורה גבוהה מהמדינה שלי, ארה"ב וגרמניה.
פשוט נראה שברזיל היא המקור העיקרי לסוג זה של התקפות, כך שהניסיון שלי נכשל. יש לי 20 חברים פעילים, אבל 2 מיליון בקשות בחודש בקצב.
לא ייאמן שהמופע שלי ממשיך לקבל תעבורה מהפדיברסו גם כשהתוסף הושבת. אני עייף ואין לי מושג איך לפתור את זה.
לייק 1
במונחים של הפחתת Cloudflare, מה שעובד עבורי:
כללי WAF 1)
אתגר JS הוחל על ASN / ASN = 136907
(מיקומים לפי סדר תעבורה הגבוהה ביותר)
- סינגפור
- הונג קונג
- מקסיקו
כל אחד, כמו @piffy, שיבדוק אם אותו ASN פוגע גם בכם. זה נראה כמו תעבורה אמיתית בגוגל אנליטיקס, זה הקפיץ את שיעור הנטישה ליותר מ-80% ומעורבות המשתמשים קרסה. זה יבלגן לכם את ה-RPM / CPC של AdSense למיטב ידיעתי.
כלל WAF 2)
אתגר Geo JS הוחל (לפי סדר תעבורה הגבוהה ביותר)
- סינגפור
- הונג קונג
- מקסיקו
נראה שהייתה עלייה חדשה בהגשות של Cloudflare ושוב אותם אזורים גיאוגרפיים נמצאים בראש, אז עכשיו החלתי אתגר Geo JS על שלושת הפוגעים העיקריים האלה.
התערבות למטרות עיקריות של שחזור בריאות מדדי אנליטיקס / מעורבות משתמשים, תעבורה זו אינה מפעילה יותר לחץ על השרת מכיוון ש-CF מטפל כל כך הרבה באמצעות שמירה במטמון וניהול התקפות בוטים, אך בסך הכל המדדים משתבשים מאוד. זו תעבורה תוקפנית.
אעדכן אם אראה שיפור במדדי אנליטיקס / AdSense וכו’.
לייק 1
I did it and now I back block all countries again with others rules enabled for awhile managed challenge was enough and I seem attack sources slow down
Now my rate engajament grow up 131% and rejection down for 16% my guess is Playstore impulsinate so for a while I needs wait a couple weeks to see if this growing is bots or legimite traffic
לייק 1
WAF RuleNo.2 has crushed the extra traffic using Geo applied JS Challenge
Before the ratio was approx - 4:1
Cloudflare:OriginServer
Now it’s closer to 1:1 serving
These regions were still sending a ton of traffic.
Analytics was spitting anomaly alerts and the metrics in analytics were still all over the place.
Adsense were really wrecked, page RPM was nearly at .00c with the surge. I guess Adsense was detecting this as suspicious traffic and pulled metering.
You can see the pre-surge uplift (blue), and even then the RPM collapsed, but the super page view surge (blue) totally floored the page rpm. Previous 30+ days very steady page views and pattern.
Dashboard
This is how the dashboard views looked, the last 5 days are lower because CF mitigation were deployed from here on out. If not, there is no reason why this traffic was going to stop increasing.
For perspective the Other (red) page views traffic on the highest day was nearly 10 times the volume of the Anon (green) page views. Let that sink in. 
Fingers crossed this balances out over the next 2/3 days.
לייק 1
ל-JS מאתגר אין את אותה השפעה כמו ל-JS מנוהל, עשיתי כמעט את אותו הדבר, יישמתי חסימת קישור ישיר (hotlink blocking) למדיה וספריות כמו CSS ו-JS, וזה פשוט עובד מתוך ה’רפרר’ (referer) (פתיחת גישה ישירה מכרטיסייה = חסום). זה עוזר לי להפחית את השימוש ברוחב פס ובמעבד.
לייק 1
אשאיר את אתגר ה-JS במקומו לזמן מה, מכיוון שעד כה שיעור פתרון האתגרים (CSR) = 0%
אתנסה עם Managed לאחר שיעבור יותר תעבורה ו/או ששיעור פתרון האתגרים (CSR) יתחיל לרדת.
כרגע יחס ההגשה של CF:OS נראה כיחס צמוד עוד יותר של 1:1.
מצב
לייק 1
מכיוון שלאתגר JS יש את אותה מטרה אך יעילות גרועה יותר מ’אתגר מנוהל’, ייתכן שהוא מיושן כי אפשרות זו אינה מציגה לי קפצ’ה אלא פשוט דוחה אותי כתעבורה לגיטימית, כמו ש’מנוהל’ עושה.
I found this topic on meta which I think is of deep interest and is probably best served as it’s own topic Cloudflare Security WAF (Web Application Firewall) + Discourse?
Another resource that might be useful - https://radar.cloudflare.com/
I said I would update the topic so here is the update.
Overall Cloudflare mitigation on the free tier has worked out very well as a solution for now, i.e. the immediate short term.
In one sense I wish I had known Cloudflare was ok to use with Discourse but somehow missed that.
The various mitigations using Cloudflare instigated an almost immediate stop to the spurious traffic, from the Singapore, Hong Kong and Mexico traffic (probably spoofed) locations.
Yesterday and today saw a trend where the same traffic sources look like they have stopped trying as the volume has dropped off a cliff. This is about how long it took for it to maybe give up.
However, it is still early days.
I can also identify other short burst attacks / bot traffic more easily.
I think cloudflare eventually mitigates these attacks after about 30-60 minutes, these Cloudflare served surges is the place to focus on, and it makes picking out source ASN’s or Geo locations much easier and adding to the bloc list or whatever WAF rule.
The radar link https://radar.cloudflare.com/bots/ was really useful to gauge an ASN quality, I picked out some WOW server swarms which I assume that is a World Of Warcraft server? 
That one kept popping up in surges.
I have noticed the traffic being back to more usual levels also looks more steady and even rhythm too.
The adsense metrics have improved almost back to normal or is at leat recovering (i.e. shyte RPM is better than no RPM!) 
This was probably the first time I had seen traffic put the server under so much pressure that the service was struggling, in this instance, and apart from other mitigations like changing IP of the server, overall as a quick solution and management solution in the moment Cloudflare has been great, especially when you do not have time to tinker or the skillz undertake hood with nginx etc. whiel under some kind of growing attacks, and has allowed a min spec droplet run close to idle, giving it headroom beyond it’s specs.