هل هناك طريقة لعرض عناوين IP للمستخدمين المجهولين / الضيوف؟
و / أو عدد الاتصالات من كل منها؟
يتلقى موقعي مئات ومئات المشاهدات للصفحة في الدقيقة، على مدار الساعات القليلة الماضية، ويصل استخدام المعالج إلى 100٪ أيضًا.
هل قمت بفحص سجلات Nginx (أو أي شيء آخر تستخدمه)؟ هؤلاء هم الروبوتات والمخترقون. لا تفعل شيئًا بالعناوين IP. ستتغير بعد بضع محاولات (عناوين IP عديمة الفائدة على أي حال، ستتغير دائمًا على أي حال). يجب أن تبدأ في حظر جغرافي (عدد قليل جدًا من المواقع عالمية حقًا) وحظر العديد من وكلاء المستخدم على مستوى الخادم؛ على الأقل جميع أدوات كشط SEO غير الضرورية والجشعة، والروبوتات التي تعرف نفسها باسم IE5.x وما إلى ذلك.
إعجاب واحد (1)
إذا قمت بتثبيت قياسي، فيجب أن يكون هناك حد للمعدل (وبعضها داخل Rails). كيف قمت بالتثبيت؟
إعجاب واحد (1)
كيف يعمل تحديد المعدل هذا بالفعل (لا، لم أبحث عن الإجابة). هل سيتم تفعيله بعد عدد معين من الطلبات في إطار زمني معين لكل عنوان IP؟
على أي حال، عندما يكون هناك وضع يشبه هجمات الحرمان من الخدمة (DDoS) بمعنى أنه على سبيل المثال إذا تم ذكر عنوان URL في قائمة غبية ما، فتبدأ فيضانات من عناوين IP من الصين وباكستان وإيران والعراق وفيتنام وروسيا بالإضافة إلى الكثير من خدمات الخوادم الافتراضية الخاصة الكبيرة، بشكل أساسي من الولايات المتحدة وفرنسا وألمانيا. عندما يحاولون 3 مرات ويغيرون عنوان IP، فإن تحديد المعدل لا يساعد كثيرًا.
لقد حصلت في وقت ما على الكثير من عمليات البحث الغبية. والكثير يعني أن خادم DigitalOcean بسعر 5 دولارات قد تعطل وكان لدي ما يقرب من صفر طلبات من البشر.
هذه مسألة خادم ويب أكثر أو أقل، وليست مسألة Discourse. يجب أن تقتل هذه الهجمات قبل التطبيق. أعرف أن وضعي/حلولي أسهل بكثير من وضع OP أو معظم مديري المواقع هنا لأنني من فنلندا ومنتدى بلدي فنلندي بحت - لذا فإن حظر العالم بأسره ممكن بالنسبة لي (حسنًا، خارج فنلندا يرى الفنلنديون الذين يعيشون هناك الأمر بشكل مختلف ؛)).
ولكن بغض النظر عن تحديد المعدل، على الأقل يجب إيقاف وكلاء المستخدم المزيفين على الفور.
كيف حال مهاجمي SSH؟ هؤلاء يستهلكون الموارد أيضًا.
إعجاب واحد (1)
إذا كنت تواجه مشكلات في هجمات الحرمان من الخدمة الموزعة (DDoS)، فإنني أوصي باستخدام Cloudflare (وهو أمر نادرًا ما أفعله). تأكد من استخدام قالب Cloudflare ثم قم بتعطيل التحسينات (أو اقرأ بعناية حول تكوين ذلك).
إعجاب واحد (1)
إنه ليس هجوم حجب خدمة موزع (DDoS) حقيقي. ولكن عندما يكون هناك الكثير من الطلبات من نفس النوع، فإنها تعمل مثل هجوم حجب الخدمة الموزع (DDoS)، والنتيجة واحدة. أنا أستخدم Varnish و Fail2ban بالإضافة إلى حظر جغرافي وهذه الأشياء تقوم بالمهمة بالنسبة لي.
إعجابَين (2)
نعم، لقد قمت بتثبيت قياسي.
كان تفكيري الأول هو مجرد التعرض لـ slashdotted، ولكن بعد 24 ساعة ما زلت أتلقى هجمات.
كان الحل المؤقت السريع هو إغلاق الباب الأمامي وتعيين الموقع على “تسجيل الدخول مطلوب”. وقد نجح ذلك، حيث انخفض استخدام وحدة المعالجة المركزية من 100٪ إلى 3٪ في غضون 60 ثانية.
بمجرد أن أفتح الباب الأمامي، يتم قصف صفحة /search الخاصة بي على الفور بمحتوى غير مرغوب فيه مثل:
/search?q=dogs+order:latest&page=2
/search?q=cats+order:latest&page=2
/search?q=fly+order:latest&page=2
إلخ.
يحدث هذا في غضون 60 ثانية من فتح الموقع مرة أخرى.
نحن مجموعة صغيرة متخصصة، لست متأكدًا من سبب استهداف أي شخص لنا بأي شيء 
إنه مجرد تقدير، ولكن وفقًا لـ Google Analytics، لدينا عادةً من 8 إلى 10 مستخدمين نشطين، وترتفع هذه الأرقام إلى 1000+ في غضون ثوانٍ من فتحي للموقع مرة أخرى للجمهور. تظهر جميع الاتصالات على أنها قادمة من أجزاء مختلفة من الولايات المتحدة، وجميعها مباشرة بدون أي مراجعين.
سأترك الموقع مغلقًا للأعضاء فقط لبضعة أيام وأرى ما إذا كان سيختفي، أو أرى ما إذا كان بإمكاني تقييد /search للمستخدمين المسجلين فقط، وإذا لم يكن الأمر كذلك، فمن المحتمل أن ألجأ إلى Cloudflare.
شكرا للجميع 
إعجاب واحد (1)
نعم. هذا غريب، لكن أعتقد أن هذا هو الإنترنت.
أوه. ما هو وكيل المستخدم؟ ربما يمكنك إضافته إلى وكلاء المستخدم الزاحف المحظورين؟
إعجابَين (2)
سؤال جيد!
سأرى ما إذا كان بإمكاني العثور على ذلك في صفحة تقارير Google Analytics
إعجاب واحد (1)
أعتقد أنه يمكنك أيضًا البحث في /var/discourse/shared/log/var-log/nginx/.... (أو شيء مشابه جدًا لذلك). هناك بعض الإعدادات الأخرى مثل slow down crawler user agents إذا بحثت عن الإعدادات التي تحتوي على “agent”.
إعجابَين (2)
تم العثور عليه في: /var/discourse/shared/standalone/log/var-log/nginx/access.log
(جارٍ التنزيل محليًا الآن)
شكرًا @pfaffman سأرى ما إذا كان هناك أي شيء يلفت انتباهي.
إعجابَين (2)
يبدو أن الفحص السريع يظهر مزيجًا متنوعًا من وكلاء المستخدم.
هذا يجعلني أشك في هجوم الآن بدلاً من slashdot 
[12/Jan/2022:13:26:20 +0000] "greyarro.ws" 184.174.102.229 "GET /search?q=cats+order%3Alatest&page=2 HTTP/2.0" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.57 Safari/537.36" "search/show" 302 1117 "-" 0.012 0.009 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:13:27:22 +0000] "greyarro.ws" 173.211.78.162 "GET /search?q=cats+order%3Alatest&page=2 HTTP/2.0" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.9390.0.4430.212 Safari/537.36" "search/show" 302 1117 "-" 0.012 0.009 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:13:30:46 +0000] "greyarro.ws" 66.78.24.176 "GET /search?q=cats+order%3Alatest&page=2 HTTP/2.0" "Mozilla/5.0 (X11; Linux x86_64; rv:89.0.2) Gecko/20100101 Firefox/89.0.2" "search/show" 302 1117 "-" 0.020 0.019 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:10:32 +0000] "greyarro.ws" 38.18.59.158 "GET /search?q=cats+order%3Alatest&page=2 HTTP/2.0" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.86 Safari/537.36" "search/show" 302 1117 "-" 0.008 0.011 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:10:57 +0000] "greyarro.ws" 108.62.69.249 "GET /search?q=cats+order%3Alatest&page=2 HTTP/2.0" "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:88.0.1) Gecko/20100101 Firefox/88.0.1" "search/show" 302 1117 "-" 0.008 0.009 "-" "-" "-" "-" "-" "-" "-" "-"
و:
[12/Jan/2022:16:11:07 +0000] "greyarro.ws" 38.18.49.252 "GET /search?q=dogs+order%3Alatest&page=2 HTTP/2.0" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.78 Safari/537.36" "search/show" 302 1117 "-" 0.012 0.011 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:28:08 +0000] "greyarro.ws" 206.180.185.39 "GET /search?q=dogs+order%3Alatest&page=2 HTTP/2.0" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:88.0) Gecko/20100101 Firefox/88.0" "search/show" 302 1117 "-" 0.016 0.012 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:28:08 +0000] "greyarro.ws" 38.18.55.132 "GET /search?q=dogs+order%3Alatest&page=2 HTTP/2.0" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.57 Safari/537.36" "search/show" 302 1117 "-" 0.008 0.009 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:28:10 +0000] "greyarro.ws" 184.174.54.113 "GET /search?q=dogs+order%3Alatest&page=2 HTTP/2.0" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.69 Safari/537.36" "search/show" 302 1117 "-" 0.012 0.011 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:28:14 +0000] "greyarro.ws" 184.174.72.90 "GET /search?q=dogs+order%3Alatest&page=2 HTTP/2.0" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:89.0.1) Gecko/20100101 Firefox/89.0.1" "search/show" 302 1117 "-" 0.016 0.017 "-" "-" "-" "-" "-" "-" "-" "-"
أخشى أننا نبتعد قليلاً عن الموضوع الأصلي هنا، ولكن أقدر المساعدة شكرًا 
إعجابَين (2)
كل هذه الإعدادات تساعد فقط إذا اتبع الروبوت الحدود والإرشادات. حتى جوجل بوت لا يفعل ذلك طوال الوقت، والسيئون لا يفعلون ذلك أبداً. هذا هو أحد الأسباب التي تجعل ملف robots.txt عديم الفائدة.
وإخلاء مسؤولية. لا أعرف ما إذا كان Discourse يستخدم تقنية أخرى للإبطاء.
إعجابَين (2)
لا، لسنا كذلك. لأن سؤالك كان خاطئًا بعض الشيء 
أردت معرفة تفصيل صغير عندما كان يجب أن تسأل “ماذا تفعل عندما يتعرض Discourse لهجوم بوت/هجوم حجب الخدمة الموزع”.
3 إعجابات