Este post lo vi desde RSS con freshrss en mi servidor en digital ocean, así que ya esta todo bien XD
yo cogí el habito de ver los logs viendo el trafico basura. es interesante notar todo tipo de trafico que llega menos el humano. Tengo fail2ban y stopbadbots como protección y nada mas. Si alguien se porta mal, bloqueo por iptables.
Controlando el tráfico me excedí un poco
Bueno, puede suceder, anoche estaba viendo las reglas de Cloudflare y todo el tráfico basura de bots que llega al blog, una vez al mes escribo al respecto, ha crecido tanto que es inaguantable.
Me puse con una regla: bloquear con un filtro de javascript, el típico "Challenge" que te pide que seas "humano", el tráfico que llega de una cantidad de proveedores de hostings y VPS, el resultado fue bestial.
Claro, rompí unas cuantas cosas en el medio: lectores de RSS, mis propios Links de Viernes, y muchos, muchos bots. El gráfico muestra el resultado claro, la línea naranja es lo que limitaba antes y vean cómo crece después de aplicar las reglas.
El 90% del tráfico ese es basura, apenas una pequeña porción es "natural", la mayoría son spiders de sistemas que buscan coleccionar data de este simple blog, imaginen lo que hacen con sitios como Wikipedia o cualquier otro que no tenga una CDN y nada que sirva de "escudo".
La regla usada es simple: bloquear por ASN. En Cloudflare ya tienen identificado a quién pertenece cada IP y le ponen a cada compañía un número ASN, usando eso armé una regla:
(ip.src.asnum in {136907 32934 24940 211590 197540 132203 61317 62240 44477 3257 199785 212238 1101 395954 216071 210558 11427 59711})Por ejemplo:
AS132203 TENCENT-NET-AP-CN Tencent
AS16276 OVH
AS14061 DIGITALOCEAN-ASN
AS24940 HETZNER-AS
AS14618 AMAZON-AES
AS16509 AMAZON-02
AS197540 NETCUP-AS netcup GmbH
Estos son algunos de los proveedores masivos de VPS, justo yo uso Digital Ocean y OVH en mis proyectos y, casualidad, como son accesibles muchos "proyectos" de spiders o spammers usan los mismos servidores.
Bloquear cada IP es tedioso, así que dije ¿Y si bloqueo todo el proveedor? El problema es que al bloquear todo también te estás cargando a los legítimos como los lectores de RSS.
La otra opción es dejar que sigan invadiendo y atacando el blog y, como mucho, bloquear algunos en particular que sean de china o cosas así, no lo sé.
Si viste bloquear tu lector de RSS favorito pasame el IP que usa para inspeccionar sitios y lo dejo pasar como excepción.
Si te gustó esta nota podés...
Otros posts que podrían llegar a gustarte...
Comentarios
-
-
si, el problema es que empezaron a contratar servicios de VPS y te mandan spiders desde 2000 IPs distintas, "disimulados", sin "atacar", día tras día robando un poquito desde cada IP.
Al final del día esos 2000 IPs distintos te sacaron todo el sitio cinco veces (como si lo cambiara tan seguido!) y te consumieron bocha de recursos.
Menos mal que esto lo tengo armado con mi propio sistema y el consumo es bajísimo, con Wordpress viviría muerto el servidor.
-
Increíble la cantidad de bots y alimañas que rondan la web atacando el sitio. Y como dices, no me quiero imaginar los grandes sitios como wikipedia, o tambien diarios online, o sitios mega populares la cantidad de ataques debe ser inconmensurable.
Un patron que he notado, que sueles mencionar creo, es que atacan mucho de asia, Rusia tambien. Me pregunto que ganan ellos con todos esos ataques? -
de Asia es usualmente spam, dejar comentarios con urls a sus clientes que, usualmente, son de EEUU y Europa.
Sobra gente que "compra" links entrantes y esa es una de las formas de sembrarlos, en este blog tengo bloqueado todo Asia y Africa prácticamente, si estás de viaje tenés que usar un VPN para entrar al blog.
Ojo, no bloqueo, simplemente le pongo el JS Challenge y es suficiente, porque son bots, si es un humano entrando hace click en "confirmar que soy humano" y pasa.
Con estos bloqueos tengo un 0.01% de casos donde alguien pasa el filtro humanamente, desde ya que ni me molesto por todos los bots.
-
El tema tráfico basura/ataques es eterno. Si no existiesen, internet a nivel gobal, volaría! Si mal no recuerdo, en uno de los últimos informes que leí del tema, un 95% del tráfico es considerable basura...
Hace mil que tengo equipos en línea, desde en proveedores globales (como OVH), como propios (en conexiones semi-profesionales) y la seguridad es todo un tema. Muy pocas veces me "casi vulneraron" algo (nunca llegaron a tirarme o robarme nada), y, siempre, por aprovechar exploits de soft "comercial".
Como dice @fabiomb, la ventaja de hacer las cosas fuera del molde, te da cierta protección extra. Al no usar cosas que todos usan (y hacer/ensamblar las propias, modificando cosas como puertos de trabajo o formas de acceso, bloqueando protocolos/servicios innecesarios, etc) los bots no te pegan tanto.
Pero igualmente, no podés cerrar todo al mundo o tener el 100% del control.
El tema es apasionante, y frustrante a la vez. No va a parar nunca, y es el juego del gato y el ratón.
-
ThecaTTony
15/08/2025 - 21:04:10
El lector de RSS que uso no se vio afectado por las restricciones, aunque debe ser porque corre desde la IP del servicio doméstico de Movistar Fibra.
Una alternativa a Cloudflare que encontré hace tiempo es Anubis (https://anubis.techaro.lol), pero no tuve tiempo de probarla.
-
Mi pobrecito lector de RSS Capy Reader (https://github.com/jocmp/capyreader) ha sido bloqueado, sñif, sñif, sñif... 🥺🥺🥺
No tengo ni idea de cuál es la IP que usa. Es una cuenta local, con todo alojado directamente en el celular. 🙄 -
pero si es local, digo, en tu celular, no debería tener ningún bloqueo! No bloqueo por user agent, todo lo contrario, los dejo pasar si lo definen bien, así que debe estar pasando por algún servidor, hasta ahora dejé sólo unos crap-VPS que representan una gran cantidad de tráfico basura, son de europa la mayoría, Clouvider, Netcup, etc.
-
jaja si pudo trayendo el RSS actual con este post inclusive, debería andar para la próxima nota
