На форум пошел новый ддос, с обходом защиты Cloudflare.
Отбить такой ддос оказалось относительно легко, поскольку IP ботов передавали пустые User Agent, либо содержали реферер c cdn-cgi, вида http:// domain.com/cdn-cgi/l/chk_jschl?s=[параметры].
Пример лога с пустым User Agent
Не знаю почему ддосер не может прогнать через Клоудфлар нормальный запрос, видимо такова специфика обхода защиты Cloudflare.
И это делает ддос-ботов удобной мишенью для фильтрации с помощью инструмента Firewall Rules (см. инструкцию).
В нашем случае нужно отсечь ботов с пустым User Agent.
Выставляем капчу для IP по правилу (http.user_agent eq "").
А боты с рефером cdn-cgi отсекаются правилом (http.referer contains "cdn-cgi").
География IP ддосера, собранная с помощью php-скрипта Antiddos.
Российские IP и СНГ- самые ценные боты, их мы отфильтруем вручную после того, как забаним нецелевой трафик. Таких ботов нужно абузить и выкладывать в паблик.
Обратите внимание, что в настройках Firewall Rules можно блокировать целые континеты через ip.geoip.continent.
Коды континентов.
Таким образом, добавив правило (ip.geoip.continent contains "AF" or ip.geoip.continent contains "SA"), не придется заносить африканские и латинские страны вручную. Можно и Азию добавить, Россия относится к Европе.
Одно это правило уже отфильтрует 70% ботов.
Инструмент Firewall Rules полностью бесплатный.
update
На данный момент Клоудфлар отфильтровал 70 млн. запросов.
Отбить такой ддос оказалось относительно легко, поскольку IP ботов передавали пустые User Agent, либо содержали реферер c cdn-cgi, вида http:// domain.com/cdn-cgi/l/chk_jschl?s=[параметры].
Пример лога с пустым User Agent
Код:
41.191.216.189 - - [17/Sep/2019:15:34:23 +0300] "POST / HTTP/1.1" 504 1235 "-" ""
68.15.151.20 - - [17/Sep/2019:15:34:24 +0300] "POST / HTTP/1.1" 403 31 "-" ""
186.72.254.38 - - [17/Sep/2019:15:34:22 +0300] "POST / HTTP/1.1" 403 31 "-" ""
173.196.152.235 - - [17/Sep/2019:15:34:22 +0300] "POST / HTTP/1.1" 403 31 "-" ""
192.119.203.170 - - [17/Sep/2019:15:34:21 +0300] "POST / HTTP/1.1" 403 31 "-" ""
188.252.64.154 - - [17/Sep/2019:15:34:21 +0300] "POST / HTTP/1.1" 403 31 "-" ""И это делает ддос-ботов удобной мишенью для фильтрации с помощью инструмента Firewall Rules (см. инструкцию).
В нашем случае нужно отсечь ботов с пустым User Agent.
Выставляем капчу для IP по правилу (http.user_agent eq "").
А боты с рефером cdn-cgi отсекаются правилом (http.referer contains "cdn-cgi").
География IP ддосера, собранная с помощью php-скрипта Antiddos.
Код:
102.164.252.23:GQ
104.237.224.54:US
104.237.232.231:US
104.43.251.65:US
144.217.22.128:CA
144.217.85.164:CA
148.77.34.194:US
155.138.134.252:CA
158.255.249.219:SK
159.89.49.60:US
162.223.89.94:US
163.158.216.191:NL
167.114.197.123:CA
173.196.152.235:US
173.239.232.43:US
176.113.157.149:UA
176.120.37.82:UA
176.235.191.130:TR
178.128.225.180:CA
178.216.0.168:UA
180.189.168.66:TL
185.155.88.27:UA
185.18.64.106:SK
185.185.113.51:TR
185.19.176.237:RU
185.200.37.85:TR
185.207.57.246:TR
185.51.36.152:TR
186.151.160.174:GT
188.126.34.10:RU
188.166.117.39:NL
192.119.203.170:US
192.95.62.134:CA
195.175.74.254:TR
195.211.162.116:RU
195.74.72.129:UA
195.78.112.235:UA
195.78.93.28:UA
195.9.188.78:RU
196.20.21.82:NA
198.50.152.64:US
198.50.214.17:CA
198.98.58.178:US
199.195.248.24:US
209.133.201.210:US
212.156.149.38:TR
212.175.98.174:TR
213.14.31.122:TR
213.21.23.98:RU
213.241.194.34:RU
217.107.71.14:RU
24.106.221.230:US
24.172.225.122:US
24.37.245.42:CA
31.133.57.134:UA
31.204.180.44:RU
35.194.0.19:US
37.17.182.21:KZ
37.17.38.196:BY
37.77.135.126:RU
38.89.139.51:US
41.191.216.189:BW
41.60.220.84:ZM
41.86.254.5:BJ
45.20.212.149:US
46.146.203.124:RU
46.147.108.132:RU
5.140.233.65:RU
51.79.141.24:CA
51.79.57.161:CA
51.79.57.163:CA
51.79.57.164:CA
54.39.139.2:CA
54.39.77.241:CA
62.176.14.53:RU
64.91.248.243:US
68.15.151.20:US
70.169.17.22:US
70.28.43.61:CA
70.35.213.229:CA
74.15.191.160:CA
74.84.255.88:US
75.157.242.104:CA
78.141.217.40:NL
78.186.237.112:TR
78.188.119.218:TR
78.189.203.182:TR
78.24.101.86:RU
81.163.56.121:RU
84.53.247.204:RU
85.198.133.19:UA
85.223.157.204:UA
85.9.217.48:LV
86.57.219.178:BY
87.226.37.80:LV
87.247.3.234:KZ
87.99.93.100:LV
88.247.165.215:TR
88.250.65.90:TR
89.246.66.124:DE
89.40.48.186:KZ
91.149.180.96:BY
91.209.11.131:UA
93.78.238.94:UA
94.153.224.194:UA
94.54.36.2:TR
95.0.194.3:TR
95.174.109.43:RU
95.179.240.175:DE
95.31.130.96:RU
95.68.115.202:LV
96.80.89.69:USОбратите внимание, что в настройках Firewall Rules можно блокировать целые континеты через ip.geoip.continent.
Коды континентов.
- AF – Africa
- AS – Asia
- NA – North America
- OC – Oceania
- SA – South America
Таким образом, добавив правило (ip.geoip.continent contains "AF" or ip.geoip.continent contains "SA"), не придется заносить африканские и латинские страны вручную. Можно и Азию добавить, Россия относится к Европе.
Одно это правило уже отфильтрует 70% ботов.
Инструмент Firewall Rules полностью бесплатный.
update
На данный момент Клоудфлар отфильтровал 70 млн. запросов.
Последнее редактирование: