@mamontionk

Атакуют сайт с тысяч разных IP. Как защитить?

Столкнулся с неординарной для меня задачей.
Пару дней назад начал сильно расти трафик на сайт (.ru). Сначала обрадовался, но потом посмотрев глубину просмотра и почасовой график посещений, понял, что меня каким-то образом атакуют.
Несколько раз в сутки в течении часа происходит пиковый рост уникальных посетителей в 3-4 раза превосходящий обыкновенный трафик. К примеру, обычно в час около 500 уников, тогда как в пик атаки около 2000 уников за час! И это не DoS. Промежуток между спамными обращениями несколько секунд в пик, а в то время, когда они маскируются под обычный траф, могут достигать несколько десятков секунд с одного IP.
Двиг сайта самописный. Всё пишется в логи. Поэтому счёл задачу ординарной, проделанной уже далеко не раз, я полез разбираться и ловить злодея по обычным признакам. Но не тут-то было...
Итак, картина. Тысячи посетителей с уникальными IP с реальных нормальных подсетей со всей России (сотовые операторы, разные там телеком и прочее). Нормальные HTTP_USER_AGENT и HTTP_REFERER. Но только по общему анализу за сутки получается определить, что что-то не так, да и то глазами.
К примеру, за час с одного IP могут быть несколько заходов с разными HTTP_USER_AGENT но с одного поисковика. Или наоборот – один и тот же HTTP_USER_AGENT и разные IP.
По всевозможным серверным переменным в PHP (HTTP_X_FORWARDED_FOR, HTTP_X_REAL_IP и пр.) прокси не определяется.
При более глубоком анализе получилось найти несколько признаков для блокировки и вроде как отбиваю пока бОльшую часть спамного трафика. Но эти признаки скорей мелкое упущение со стороны атакующего, нежели моё достижение. Если атакующий исправит эти признаки, то я уже не смогу определить спамный заход. Единственный признак это один-два просмотра и всё. Но это уже становится ясно постфактум, да и не позволяет со 100% вероятностью определить спамера.
Предположу, что цель этих атак увеличить показатель отказов сайта, как один из параметров ранжирования в поисковых системах.
Вопросы:
1. У кого какие мысли зачем вообще это?
2. Каким образом это делается? (огромное количество нормальных IP)
3. Как победить?
  • Вопрос задан
  • 1160 просмотров
Решения вопроса 1
Get-Web
@Get-Web
Front-End Developer
Похоже что вам конкуренты или недовольный клиент заказали накрутку самого дешевого серфинга, чтобы испортить статистику. Единственное что вы можете сделать, это найти сервис с которого идет накрутка и написать им, чтобы они этого не делали, после того как они убедятся что вы владелец, то заказы на ваш сайт будут приостановлены.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
karabanov
@karabanov
Системный администратор
Попробуй прикрыться CloudFlare или QRATOR.
Ответ написан
t-alexashka
@t-alexashka
Сразу пишу legacy код
Возможно вам конкуренты заказали "накрутку посещений" вроде bidvertiser. вроде дешевого серфинга за 0.0001 копейку за переход.
Ответ написан
dimonchik2013
@dimonchik2013
non progredi est regredi
luminati

побеждается cloudflare , они отслеживают такое
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы