Настраиваем cloudflare

Предыстория.

Первым делом я через метрику вычислил откуда трафик и закрыл в файле .htaccess

RewriteCond %{HTTP_USER_AGENT} "Android 10" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "Android 11" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "Android 12" [NC]
RewriteRule ^ - [F,L]


Добавляем регистрируемся на сайте cloudflare.com

Заходим в редактирование DNS записей и добавляем запись A с перенаправлением на IP сервера на котором расположен Ваш сайт.

Часть записей система добавит автоматичекски. Вам обязательно нужны записи А для корневого домена и поддомена www. и для почтового домена.

Прописываем NS сервера в Вашем домене которые предложит сервис и ждем обновления.

Я после перенаправления домена на Сloudflare не мог попасть в админку WordPress.
Для этого в начале файла wp-config.php нужно прописать:

$_SERVER['HTTPS']='on';

Настраиваю проверку трафика с Android 10,11,12 и Windows

Трафик не отсеялся, а появилось много внутренних переходов.

Ручками проверяю весь трафик и нахожу IP-сети ASN, с которых идёт много трафика. Фильтрую по названию, если есть много трафика, особенно с ipv6, проверяю, что за сеть.



Проверка сети:

Сеть можно проверить в https://radar.cloudflare.com

Вот для примера сеть AS12389 ROSTELECOM-AS, видно волнообразный трафик в зависимости от времени суток, мобильный и трафик с компьютеров 42/58, показатель ботов 19% и браузеры распределены равномерно.

А вот сеть AS204490 ASKONTEL, график трафика не зависит от времени суток, мобильный трафик 97%, показатель ботов 52%, с браузера Chrome Mobile 88%, что говорит о том, что 88% с Android или боты замаскированные под него. Очевидно что из этой сети льются спам боты.

Таким образом получилось выявить спамные сети:

  • AS44812 IPSERVER-RU-NET Fiord
  • AS204490 ASKONTEL
  • AS45027 INETTECH-AS
  • AS3175 CITYTELECOM-MSK
  • AS213220 -DATA-CHEAP-AS
  • AS204916 RACKTECH
  • AS60389 MANIR-AS
  • AS34665 PINDC-AS
  • AS35048 BITERIKA-AS
  • AS50340 SELECTEL-MSKAS211027 RACKTECH
  • AS50113 SUPERSERVERSDATACENTER
  • AS205125 IPV6-TUNNELBROKER-ASN

И две сети, с которого подозрительно много трафика, но при это они не переспамленные

  • AS0 -Reserved AS
  • AS12389 ROSTELECOM-AS

Первый список в фильтре Security -> WAF добавляем через OR и назначаем действие Blok. Тут я радикально блокирую весь трафик с этих сетей.

Второй список в фильтре Security -> WAF добавляем через OR и назначаем действие Interactive Challenge. Проверяем этот трафик с помощью капчи, на случай если там есть живые люди, что бы не потерять их.

admin

Автор блога и основатель турклубом «Снежные волки»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *