Hace apenas unas horas, estaba revisando mis registros cuando encontré un montón de tráfico desde la dirección IP 54.174.xx.xx y el ISP Amazon.com (validado de Google Analytics). Duró una hora y luego todo parece normal.
Esto es algo muy anormal. Investigué más y estoy confundido al encontrar que en realidad no era un bot (bueno, supongo que sí) porque puedo ver que los usuarios (por ejemplo, con ip 54.174.59.201) incluso hicieron clic en la barra lateral. Sin embargo, los navegadores, el sistema operativo y las resoluciones de pantalla son las mismas para todas las sesiones.
¿Cuál es la causa y qué hacer?
Comentarios
- Ashburn es el hogar de muchos centros de datos, y hay algunas cosas que puede verificar para tratar de determinar la naturaleza del tráfico: fuente / medio, página de destino, dominio de red … usted ‘ deberá intente encontrar un patrón aquí, pero desafortunadamente, puede ser algo que no ‘ no podrá evitar, ya que el tráfico podría ser legítimo.
- ¿Puede ¿Por favor elabora un poco? Las páginas de destino varían con la sesión, aunque el 8-10% son similares. La fuente / medio es Directa o no está configurada. Sospecho de juego sucio principalmente porque hay ‘ s demasiadas sesiones con el mismo navegador / SO / resolución e IP similar.
- ¿Cuáles son las páginas de destino? En la mayoría de los casos, si es ‘ la actividad del bot, las páginas de destino pueden ser todas iguales. También verifique las tasas de rebote.
- @nyuen está haciendo un punto válido. Sería mucho mejor para nosotros ver las entradas del registro para poder decirle lo que realmente están haciendo. Tenga en cuenta que Amazon, como ISP, es muy permisivo y ocupa el segundo lugar en mi base de datos de abusos la última vez que hice una auditoría, que fue hace un tiempo. Hay muchos que usan Amazon para raspar y abusar de sitios web. Tenga en cuenta que, a excepción de un empleado, probablemente no sea un usuario. Es probable que sea una máquina y, por lo tanto, es seguro bloquearla. Solo incluyo en la lista negra dos redes, archive.org y amazon.
- @closetnoc, entonces, ¿es la razón por la que bloquea archive.org y amazon, porque efectivamente hacen la vista gorda a la actividad de sus clientes en su red?
Respuesta
Tuvimos el mismo problema y resultó ser Pingdom (servicio de monitoreo de sitios web).
Alguien lo había configurado para hacer ping a nuestro sitio cada 5 minutos e iniciar sesión, lo que resultó en miles de visitas por mes desde Ashburn, VA con un proveedor de servicios de Amazon. El tiempo en el sitio fue solo una fracción de segundo cada vez.
Pingdom sugiere habilitar el bloqueo del tráfico de bot conocido mediante una configuración en GA: https://help.pingdom.com/hc/en-us/articles/212979949-What-analytics-will-Pingdom-checks-and-products-trigger –
Comentarios
- ¡Hemos estado usando Pingdom durante mucho tiempo pero nunca tuvimos un problema como ese!
- Pingdom explica que: » Dado que Pingdom tiene diferentes servicios, el comportamiento al activar varios análisis que pueda tener en su sitio será diferente. Las comprobaciones básicas / de tiempo de actividad no activarán ningún análisis que utilice JS. » En nuestro caso, utilizamos un servicio que realmente inicia sesión en nuestro sitio para verificar que la autenticación funciona, que ejecuta JS y, por lo tanto, activa nuestro Google Tag Manager / GA.
Respuesta
NOTA: Me llamaría n00b desarrollador de Down Under.
En relación con el OP, una búsqueda en Google de la siguiente IP me llevó aquí.
Como un esfuerzo para minimizar el spam, configure este agujero negro de bot malo según : https://perishablepress.com/blackhole-bad-bots/
El primer impacto informado por Blackhole, en parte, fue:
Martes, 27 de noviembre de 2018 a las 11:36:37
Solicitud de URL: / blackhole / Dirección IP: 52.200.221.20 Agente de usuario: Mozilla / 5.0 (Windows NT 6.1) AppleWebKit / 537.2 (KHTML , como Gecko) Chrome / 22.0.1216.0 Safari / 537.2
Búsqueda de Whois:
Los datos y servicios de ARIN WHOIS están sujetos a los Términos de uso disponibles en: https://www.arin.net/whois_tou.html Si observa inexactitudes en los resultados, infórmelo en https://www.arin.net/resources/whois_reporting/index.html Copyright 1997-2018, American Registry para Internet Numbers, Ltd.
NetRange: 52.192.0.0 – 52.223.255.255 CIDR: 52.192.0.0/11 NetName: AT-88-Z NetHandle: NET-52-192-0-0-1 Principal : NET52 (NET-52-0-0-0-0) NetType: Asignación directa OrigenAS:
Organización: Amazon Technologies Inc. (AT-88-Z) Fecha de registro: 2015-09-02 Actualizado: 2015-09- 02 Ref: https://rdap.arin.net/registry/ip/52.192.0.0 Nombre de la organización: Amazon Technologies Inc. ID de la organización: AT-88-Z Dirección: 410 Terry Ave N .Ciudad: Seattle StateProv: WA Código postal: 98109 País: EE. UU. Fecha de registro: 2011-12-08 Actualizado: 2017-01-28
Si era un bot legítimo, debería NO ha intentado acceder a este directorio / blackhole porque robots.txt no lo permitió específicamente.
AbuseIPDB reports: 52.200.221.20 se encontró en nuestro base de datos!
Esta IP fue reportada 49 veces. La confianza del abuso es del 43%
Para mí, el código blackhole muestra que esto no es un comportamiento legítimo y ahora que la IP tiene prohibido acceder al sitio al que apunta. Por lo tanto, la vigilancia es sin duda fundamental.
Respuesta
Lo que debe tener cuidado aquí es que Amazon no es simplemente un sitio web proveedor, pero también es un proveedor de servicios en la nube y también tiene un servicio mediante el cual los usuarios pueden acceder a una interfaz de escritorio virtualizada en la red de Amazon como una sesión de escritorio remoto. Este servicio en particular utiliza una puerta de enlace de Windows Server, por lo que la resolución del escritorio y la huella digital del sistema operativo generalmente serán las mismas. El simple hecho de que estas entradas aparezcan en sus registros no es algo inherentemente malo, a menos que vea tráfico que indique que están tratando de violar la seguridad de su sitio o que están usando los servicios para realizar acciones maliciosas o enviar spam en su sitio.