Bedankt. Het is DO, maar ik ga terug en werk meer aan de SSL-setup. Het is niet Full-strict maar Full, wat volgens mij interacteert met letsencyrpt.
Ik heb Bot- en Ai-Bot-mitigatie ingeschakeld + één zeer specifieke geo-serverblokkade
Ja, het is vreemd. Sommige van mijn sites zoals full, sommige full strict. Wat nogal vreemd is, aangezien ze allemaal op dezelfde webserver draaien, lol. Bij het inschakelen van CF controleer je elke paar uur, probeer een VPN zodat je de DNS-cache van je ISP omzeilt, enz. Ik denk dat een van mijn sites alleen strikte SSL-only origin pull gebruikt en anders fouten geeft, lol. Als ik een SSL-fout krijg, verander ik deze gewoon naar een die werkt en laat ik hem daar. Van de ongeveer 30 websites die ik heb gedaan, heb ik CF op 100% van hen toegepast en moest ik die instelling een dag later aanpassen.
Ik ben nog geen SSL-fouten tegengekomen tijdens het browsen, ook niet met een VPN.
Ik heb Qualys gecheckt en kreeg vier keer een B.
Het IP-adres was al die tijd niet beschermd. Dat gezegd hebbende, als je Cloudflare ertussen plaatst, kunnen er geen directe IP-hits meer plaatsvinden, heb ik het goed?
Ik ga het server-IP sowieso wijzigen.
Kind of. They can’t directly hit the site or data base directly. But the DNS history is public. https://dnshistory.org/ and other sites keep record of it. So they could still DDoS th IP. Usually I find ddos’s to specific ip’s rare if they don’t know what it hosts. It’s a waste of time for their DDoS bandwidth as they can’t see any results to what they’re effecting.
1 like
I have also noticed a problematic uptick that does not seem to be slowing down. Its clearly inorganic. Any advice before this becomes a problem?
2 likes
Wow. Je laatste dashboardgrafiek lijkt opmerkelijk op de mijne, maar je hebt een groter verkeersvolume.
Misschien ook dezelfde timing. De echte toename begon ongeveer 7 dagen geleden.
Het leken ook twee fasen te zijn.
Eerste stijging die een aantal dagen aanhoudt, wat een aangename toename van het verkeer lijkt te zijn, en daarna gevolgd door een surge in fase twee.
Je geo-locaties zijn ook identiek.
Het lijkt inderdaad op dezelfde golf.
Kan nu geen vergelijkende grafieken plaatsen.
De belangrijkste boosdoener leek een Huawei ASN in Singapore te zijn. Nadat die was geblokkeerd, stortte dat verkeer in.
Een ander gevolg was dat het ook vrijwel onmiddellijk de Adsense-statistieken vernietigde.
1 like
Huawei begon vanaf 2019 te investeren in Singapore als een AI-hub.
Dezelfde Singapore Huawei ASN kwam binnen op het Mexico- en Hong Kong-verkeer.
Weet iemand hoe dat werkt? Locatie spoofen?
1 like
Kijk ook eens naar uw “andere” kolommen op zichzelf. Het kan verrassend, schokkend of beide zijn!
Even if you are not under DDoS attack. I found this guide posted onto Cloudflare post on their community (discourse) forum useful as focus and possible action points to work through.
https://community.cloudflare.com/t/mitigating-an-http-ddos-attack-manually-with-cloudflare/302366
Toen de piekzwermverkeer toesloeg, sprong de Bounce rate boven de 80% - normaal gesproken zit dit bij normaal verkeer in de lage tot midden 20%.
Tijdens de zwermstijging kan ik bevestigen dat de average engagement timed ook dramatisch daalde, net als jouw analyse @piffy, en er is ook een corresponderende daling deze keer.
Normaal gesproken kijk ik niet naar die metriek, maar deed dat omdat jij je grafiek plaatste. Ik denk dat average engagement timed of bounce rate goede indicatoren zijn dat er iets goed mis is met de kwaliteit en het type verkeer.
Vreemd genoeg zie ik weer een sprong naar bijna 80% bounce rate op het verkeer van één dag maar er is geen piek. De verkeersniveaus zien er normaal uit, d.w.z. vóór de piek.
Analytics liepen vertraging op, er is een beetje een piek, ongeveer 30% van de vorige mega-piek. Zelfde patroon weer. Het enige verschil is dat CF die druk beheert en de server doordraait, maar dit is niet goed omdat het de gebruikersbetrokkenheidsstatistieken verpest.
1 like
Mijn oplossing was om alle landen die geen Portugees spreken te geoblocken, maar ik ontvang nog steeds veel verkeer uit mijn eigen land, de VS en Duitsland
Ik heb net ontdekt dat Brazilië de grootste bron is van dit soort aanvallen, dus mijn poging is mislukt. Ik heb 20 actieve leden, maar 2 miljoen verzoeken per maand qua snelheid
Ongelooflijk, mijn instantie blijft verkeer ontvangen van Fediverso, zelfs toen de plugin was uitgeschakeld. Ik ben moe en weet niet hoe ik dit moet oplossen.
1 like
Wat betreft Cloudflare-mitigatie, wat voor mij werkt:
Bots
- Bot fight mode - AAN
- Blokkeer AI-bots - AAN
WAF-regels 1)
ASN - JS-uitdaging toegepast / ASN = 136907
(locaties in volgorde van meeste verkeer)
- Singapore
- Hong Kong
- Mexico
Iemand zoals @piffy, controleer of dezelfde ASN jou ook treft. Dit leek op echt verkeer in Google Analytics, het sloeg de bounce rate op tot meer dan 80% en de gebruikersbetrokkenheid stortte in. Het zal ook je AdSense RPM / CPC verpesten, voor zover ik kan nagaan.
WAF-regel 2)
Geo JS-uitdaging toegepast (in volgorde van meeste verkeer)
- Singapore
- Hong Kong
- Mexico
Er leek een nieuwe toename te zijn in Cloudflare-verkeer en opnieuw zijn dezelfde geo-regio’s bovenaan, dus nu heb ik een Geo JS-uitdaging toegepast op deze top 3 overtreders.
Een interventie met als hoofddoel het herstellen van de gezondheid van analytics/gebruikersbetrokkenheidsstatistieken, dit verkeer zet geen druk meer op de server aangezien CF zoveel afhandelt via caching en het beheren van bot-aanvallen, maar over het algemeen worden de statistieken echt verpest. Dit is vijandig verkeer.
Ik zal updaten als ik verbetering zie in analytics-statistieken / AdSense, etc.
1 like
I did it and now I back block all countries again with others rules enabled for awhile managed challenge was enough and I seem attack sources slow down
Now my rate engajament grow up 131% and rejection down for 16% my guess is Playstore impulsinate so for a while I needs wait a couple weeks to see if this growing is bots or legimite traffic
1 like
WAF RuleNo.2 has crushed the extra traffic using Geo applied JS Challenge
Before the ratio was approx - 4:1
Cloudflare:OriginServer
Now it’s closer to 1:1 serving
These regions were still sending a ton of traffic.
Analytics was spitting anomaly alerts and the metrics in analytics were still all over the place.
Adsense were really wrecked, page RPM was nearly at .00c with the surge. I guess Adsense was detecting this as suspicious traffic and pulled metering.
You can see the pre-surge uplift (blue), and even then the RPM collapsed, but the super page view surge (blue) totally floored the page rpm. Previous 30+ days very steady page views and pattern.
Dashboard
This is how the dashboard views looked, the last 5 days are lower because CF mitigation were deployed from here on out. If not, there is no reason why this traffic was going to stop increasing.
For perspective the Other (red) page views traffic on the highest day was nearly 10 times the volume of the Anon (green) page views. Let that sink in. 
Fingers crossed this balances out over the next 2/3 days.
1 like
Challange JS heeft niet hetzelfde effect als beheerd, ik heb bijna hetzelfde gedaan door hotlink-blokkering toe te passen op media en bibliotheken zoals CSS en JS, het werkt gewoon vanaf de referer (directe toegang openen vanuit een tabblad = geblokkeerd) dit helpt me bij het verminderen van bandbreedte- en CPU-gebruik.
1 like
Ik laat de JS Challenge nog enige tijd staan omdat de CSR (Challenge Solved Rate) tot nu toe 0% is.
Ik zal Managed uitproberen nadat er meer verkeer is en/of de CSR begint te falen.
Momenteel lijkt de CF:OS serverratio een nog krapper 1:1 te zijn.
Mitigated heeft de plaats ingenomen en is opgeblazen.
Wat ik me afvraag is waarom aanvallen doorgaan als ze na een bepaalde periode worden geblokkeerd door de JS (niet erg geavanceerd tenslotte?) en of er een poging zal zijn om binnen te komen via andere ASN’s en Geo-locaties?
Als dit gebeurt, zal ik Managed proberen op nieuwe aanvalsvectoren.
1 like
Omdat JS Challenge hetzelfde doel heeft, maar een slechtere efficiëntie dan ‘Manage Challenge’, is deze mogelijk verouderd, omdat deze optie me geen captcha toont, maar me gewoon afwijst als legitiem verkeer, net zoals ‘managed’ dat doet.
I found this topic on meta which I think is of deep interest and is probably best served as it’s own topic Cloudflare Security WAF (Web Application Firewall) + Discourse?
Another resource that might be useful - https://radar.cloudflare.com/
I said I would update the topic so here is the update.
Overall Cloudflare mitigation on the free tier has worked out very well as a solution for now, i.e. the immediate short term.
In one sense I wish I had known Cloudflare was ok to use with Discourse but somehow missed that.
The various mitigations using Cloudflare instigated an almost immediate stop to the spurious traffic, from the Singapore, Hong Kong and Mexico traffic (probably spoofed) locations.
Yesterday and today saw a trend where the same traffic sources look like they have stopped trying as the volume has dropped off a cliff. This is about how long it took for it to maybe give up.
However, it is still early days.
I can also identify other short burst attacks / bot traffic more easily.
I think cloudflare eventually mitigates these attacks after about 30-60 minutes, these Cloudflare served surges is the place to focus on, and it makes picking out source ASN’s or Geo locations much easier and adding to the bloc list or whatever WAF rule.
The radar link https://radar.cloudflare.com/bots/ was really useful to gauge an ASN quality, I picked out some WOW server swarms which I assume that is a World Of Warcraft server? 
That one kept popping up in surges.
I have noticed the traffic being back to more usual levels also looks more steady and even rhythm too.
The adsense metrics have improved almost back to normal or is at leat recovering (i.e. shyte RPM is better than no RPM!) 
This was probably the first time I had seen traffic put the server under so much pressure that the service was struggling, in this instance, and apart from other mitigations like changing IP of the server, overall as a quick solution and management solution in the moment Cloudflare has been great, especially when you do not have time to tinker or the skillz undertake hood with nginx etc. whiel under some kind of growing attacks, and has allowed a min spec droplet run close to idle, giving it headroom beyond it’s specs.