Предыстория.
Первым делом я через метрику вычислил откуда трафик и закрыл в файле .htaccess
RewriteCond %{HTTP_USER_AGENT} "Android 10" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "Android 11" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "Android 12" [NC]
RewriteRule ^ - [F,L]
Добавляем регистрируемся на сайте cloudflare.com
Заходим в редактирование DNS записей и добавляем запись A с перенаправлением на IP сервера на котором расположен Ваш сайт.
Часть записей система добавит автоматичекски. Вам обязательно нужны записи А для корневого домена и поддомена www. и для почтового домена.
Прописываем NS сервера в Вашем домене которые предложит сервис и ждем обновления.
Я после перенаправления домена на Сloudflare не мог попасть в админку WordPress.
Для этого в начале файла wp-config.php
нужно прописать:
$_SERVER['HTTPS']='on';
Настраиваю проверку трафика с Android 10,11,12 и Windows
Трафик не отсеялся, а появилось много внутренних переходов.
Ручками проверяю весь трафик и нахожу IP-сети ASN, с которых идёт много трафика. Фильтрую по названию, если есть много трафика, особенно с ipv6, проверяю, что за сеть.
Проверка сети:
Сеть можно проверить в https://radar.cloudflare.com
Вот для примера сеть AS12389 ROSTELECOM-AS, видно волнообразный трафик в зависимости от времени суток, мобильный и трафик с компьютеров 42/58, показатель ботов 19% и браузеры распределены равномерно.
А вот сеть AS204490 ASKONTEL, график трафика не зависит от времени суток, мобильный трафик 97%, показатель ботов 52%, с браузера Chrome Mobile 88%, что говорит о том, что 88% с Android или боты замаскированные под него. Очевидно что из этой сети льются спам боты.
Таким образом получилось выявить спамные сети:
- AS44812 IPSERVER-RU-NET Fiord
- AS204490 ASKONTEL
- AS45027 INETTECH-AS
- AS3175 CITYTELECOM-MSK
- AS213220 -DATA-CHEAP-AS
- AS204916 RACKTECH
- AS60389 MANIR-AS
- AS34665 PINDC-AS
- AS35048 BITERIKA-AS
- AS50340 SELECTEL-MSKAS211027 RACKTECH
- AS50113 SUPERSERVERSDATACENTER
- AS205125 IPV6-TUNNELBROKER-ASN
И две сети, с которого подозрительно много трафика, но при это они не переспамленные
- AS0 -Reserved AS
- AS12389 ROSTELECOM-AS
Первый список в фильтре Security -> WAF добавляем через OR и назначаем действие Blok. Тут я радикально блокирую весь трафик с этих сетей.
Второй список в фильтре Security -> WAF добавляем через OR и назначаем действие Interactive Challenge. Проверяем этот трафик с помощью капчи, на случай если там есть живые люди, что бы не потерять их.