Solo poche ore fa stavo controllando i miei log quando ho trovato un sacco di traffico dallindirizzo IP 54.174.xx.xx
e ISP Amazon.com (convalidato da Google Analytics). È durato unora e poi tutto sembra normale.
Questo è qualcosa di molto anormale. Ho indagato ulteriormente e sono rimasto confuso nello scoprire che “non era effettivamente un bot (beh, immagino di sì) perché posso vedere gli utenti (ad esempio con ip 54.174.59.201
) hanno persino fatto clic sulle miniature in la barra laterale. Tuttavia i browser, il sistema operativo e le risoluzioni dello schermo sono gli stessi per tutte le sessioni.
Qual è la causa e cosa fare?
Commenti
- Ashburn ospita molti data center e ci sono alcune cose che puoi controllare per provare a determinare la natura del traffico: sorgente / mezzo, pagina di destinazione, dominio di rete … ‘ dovrai prova a trovare uno schema qui, ma sfortunatamente potrebbe essere qualcosa che ‘ non sarai in grado di evitare, poiché il traffico potrebbe essere legittimo.
- Puoi ti prego di elaborare un po ? Le pagine di destinazione variano con la sessione, sebbene l8-10% sia simile. La sorgente / mezzo è diretta o non impostata. Sospetto un gioco scorretto principalmente perché ci sono ‘ troppe sessioni con lo stesso browser / sistema operativo / risoluzione e IP simile.
- Quali sono le pagine di destinazione? Nella maggior parte dei casi, se è ‘ attività del bot, le pagine di destinazione potrebbero essere tutte uguali. Controlla anche le frequenze di rimbalzo.
- @nyuen è un punto valido. Sarebbe molto meglio per noi vedere le voci di registro stesse per dirti cosa stanno realmente facendo. Tieni presente che Amazon come ISP è molto permissivo ed è il numero 2 nel mio database di abusi lultima volta che ho fatto un audit che è stato qualche tempo fa. Ci sono molti che usano Amazon per raschiare e abusare di siti web. Tieni presente che a meno di un dipendente, questo non è probabilmente un utente. È probabile che sia una macchina e quindi sicura da bloccare. Inserisco nella lista nera solo due reti, archive.org e amazon.
- @closetnoc quindi è il motivo per cui blocchi archive.org e amazon – perché effettivamente chiudono un occhio sullattività dei loro clienti sulla loro rete?
Risposta
Abbiamo avuto lo stesso problema e si è scoperto essere Pingdom (servizio di monitoraggio di siti web).
Qualcuno lo aveva configurato per eseguire il ping del nostro sito ogni 5 minuti e accedere, il che ha portato a migliaia di visite al mese da Ashburn, Virginia, con un fornitore di servizi di Amazon. Il tempo sul sito era solo una frazione di secondo ogni volta.
Pingdom suggerisce di abilitare il blocco del traffico bot noto tramite unimpostazione in GA: https://help.pingdom.com/hc/en-us/articles/212979949-What-analytics-will-Pingdom-checks-and-products-trigger –
Commenti
- Usiamo Pingdom da molto tempo ma non abbiamo mai avuto un problema del genere!
- Pingdom spiega che: ” Poiché Pingdom ha servizi diversi, il comportamento nellattivazione di varie analisi che potresti avere sul tuo sito sarà diverso. I controlli di base / Uptime non attiveranno alcuna analisi che utilizza JS. ” Nel nostro caso, utilizziamo un servizio che accede effettivamente al nostro sito per verificare che lautenticazione funzioni, che esegue JS e quindi attiva il nostro Google Tag Manager / GA.
Answer
NOTA: mi definirei un n00b sviluppatore di Down Under.
In relazione allOP, una ricerca su Google dellIP sottostante mi ha portato qui.
Per ridurre al minimo lo spam, configura questo buco nero di bot difettoso come da : https://perishablepress.com/blackhole-bad-bots/
Il primo hit segnalato da Blackhole, in parte, è stato:
Martedì, 27 novembre 2018 alle 11:36:37
Richiesta URL: / blackhole / Indirizzo IP: 52.200.221.20 Agente utente: Mozilla / 5.0 (Windows NT 6.1) AppleWebKit / 537.2 (KHTML , come Gecko) Chrome / 22.0.1216.0 Safari / 537.2
Ricerca Whois:
I dati e i servizi di ARIN WHOIS sono soggetti ai Termini e condizioni duso disponibili allindirizzo: https://www.arin.net/whois_tou.html Se vedi inesattezze nei risultati, segnalalo a https://www.arin.net/resources/whois_reporting/index.html Copyright 1997-2018, American Registry per Internet Numbers, Ltd.
NetRange: 52.192.0.0 – 52.223.255.255 CIDR: 52.192.0.0/11 NetName: AT-88-Z NetHandle: NET-52-192-0-0-1 Parent : NET52 (NET-52-0-0-0-0) NetType: Direct Allocation OriginAS:
Organizzazione: Amazon Technologies Inc. (AT-88-Z) RegDate: 2015-09-02 Aggiornato: 2015-09- 02 Ref: https://rdap.arin.net/registry/ip/52.192.0.0 OrgName: Amazon Technologies Inc. OrgId: AT-88-Z Indirizzo: 410 Terry Ave N .Città: Seattle StateProv: WA Codice postale: 98109 Paese: US RegDate: 2011-12-08 Aggiornato: 2017-01-28
Se fosse un bot legittimo, dovrebbe NON ha tentato di accedere a questa directory / blackhole perché il file robots.txt non lo ha specificamente consentito.
Segnalazioni di abusoIPDB: 52.200.221.20 è stato trovato nel nostro database!
Questo IP è stato segnalato 49 volte. La fiducia in caso di abuso è del 43%
Per me, il codice blackhole mostra che questo non deve essere un comportamento legittimo e ora che lIP è bandito dallaccesso al sito che ha preso di mira. Quindi la vigilanza è sicuramente fondamentale.
Risposta
La cosa a cui devi stare attento qui è che Amazon non è semplicemente un sito web provider, ma è anche un provider di servizi cloud e dispone anche di un servizio in base al quale gli utenti possono accedere a uninterfaccia desktop virtualizzata sulla rete Amazon come sessione di desktop remoto. Questo particolare servizio utilizza un gateway Windows Server e quindi la risoluzione del desktop e limpronta digitale del sistema operativo saranno generalmente le stesse. Il semplice fatto che queste voci vengano visualizzate nei tuoi log non è una cosa intrinsecamente negativa a meno che tu non veda traffico che indica che stanno tentando di violare la sicurezza del tuo sito o stanno utilizzando i servizi per eseguire azioni dannose o spamming sul tuo sito.