根据一段时间以来(从阅读来看,这是过去几个月整个网络中的系统性问题)在这里(https://meta.discourse.org/t/anonymous-views-suddenly-very-high/251826/50)提出的担忧和处理的问题,并面对新一波的此类问题。
我测试了仅限登录 (Login Only),但注意到这些人工智能机器人浪潮正在冲击各种 Discourse 资源/路径,并且可能正在被提供页面/内容。
有人能确认“仅限登录”是否是完全阻止吗?
另外,即使在“仅限登录”姿态下清除所有缓存后,缓存是否还存在另一种入口角度的相互作用?
具体是哪些路径?任何被命中的内容都应该重定向到登录页面。
是的,“仅限登录”意味着访问该站点的唯一方式是通过登录。仍然有可能让一些机器人流量访问 / 或 /login 路由,因为这些需要是公开的才能让人类登录,但会限制在这些路由上。
如在链接的主题中所发布的那样,例如:
...stylesheets/docker_manager_abc123.css
在我进行的一些简单测试中,我跟踪了各种流量正在寻找的链接,并且在 Discourse 处于“仅限登录”模式时,我能够下载 css 或 js 文件以及其他未知文件。
哦,我明白了,是的,那是预期的……那些是用于渲染应用程序的静态资源,它们通常为了性能而被缓存,并且不包含敏感的帖子信息。
好的,我理解了,但也许需要深入而迅速地考虑真正的封锁,除了不留下任何可能被用于 DDoS 级别的线程外,我从技术原因上想不出其他办法。
我刚刚看到近 3K 个唯一 URL 请求专门针对 uploads/default/original/3X/c/.../...some.jpeg 路由,所有这些都来自新加坡的一个 IP,路径是正确的,我对一些链接进行了抽样,它们指向独特的特定图像文件,但 Cloudflare 被设置为整体阻止新加坡。
照目前的情况来看,不应该留下任何可能被用作靶子的东西。完全阻止。
也许 Secure Uploads 可以帮到你?
感谢您的指出。我之前没有意识到这一点,但“也许”的可能性很大,我不知道我现在是否有时间和资源来实现。
搜索元数据后,我现已发现并激活了:
阻止匿名用户下载附件。也许这会阻止此类请求。