2.3 , анон ( ? ), 07:48, 19/11/2025 Как минимум самохостинг go-away или anubis

3.13 , Аноним ( 13 ), 07:56, 19/11/2025 Из-за anubis много раз не мог попасть на lore.kernel.org, в Firefox зависал или не догружался скрипт. Только недавно починили.

4.19 , Аноним ( - ), 08:05, 19/11/2025 > в Firefox зависал или не догружался скрипт Типичная проблема недобраузеров. Радуйтесь что вообще исправили.

Если использовать нормальных хром, то такого не бывает практически никогда.

5.65 , анон ( ? ), 09:47, 19/11/2025 никогда не было проблем с анубисами на фаерфоксе

6.125 , User ( ?? ), 10:40, 19/11/2025 ... "И вот опять!"?

7.147 , анон ( ? ), 11:05, 19/11/2025 нет, просто никогда не было

5.148 , анон ( ? ), 11:06, 19/11/2025 Наслаждаетесь третьим манифестом? :)

5.174 , Аноним ( 174 ), 11:28, 19/11/2025 > нормальных хром Наслаждайся и дальше LRZ-ми.

4.21 , Анонимно ( ok ), 08:06, 19/11/2025 4 месяца cloudflare не может починить прохождение капчи в любых версиях Firefox для Linux > 141 версии. Бесконечно обновляет свою капчу

5.30 , Аноним ( 30 ), 08:19, 19/11/2025 Это винится сменой айпи на американский.

6.44 , Анонимно ( ok ), 09:14, 19/11/2025 Для прохождения капчи cloudflare надо переехать в США? Зачем такой костыль нужен и кому.

7.46 , Аноним ( 30 ), 09:21, 19/11/2025 Как вариант. Достаточно пропустить трафик через посредника. Это такая фишка у cloudflare.

5.96 , 12yoexpert ( ok ), 10:16, 19/11/2025 нет никаких проблем с их капчей, всегда сижу на последних версиях firefox

4.22 , Аноним ( 22 ), 08:06, 19/11/2025 Ага, а лично я намного чаще не мог подключиться к сайтам как раз из-за Cloudflare, чем из-за Anubis. Из под Tor'а вообще вкуснотища, бесконечные капчи.

4.127 , User ( ?? ), 10:41, 19/11/2025 Главное - главное что СВОБОДНО не мог попасть. Гордо и независимо!

3.23 , morphe ( ? ), 08:06, 19/11/2025 > Как минимум самохостинг go-away или anubis Самохостинг это хорошо, однако они спасут только от L7 атак, когда корявый (других не бывает) PHP код по 20 SQL запросов шлёт в ответ на запрос от юзера И то не факт, в случае если сайт изначально полумёртвый под нагрузкой из 10 юзеров, однако тут даже cloudflare мало поможет А от L4, от которого защита тебе потребуется сильнее, самохостинг тебя не спасёт, и надо уже иметь сеть которая способна удар принять и трафик отфильтровать до твоей машины Однако с этим способны справляться уже все облака, и можно спрятать дедики за реверс-прокси на облаках потенциально того же самого провайдера

4.102 , 12yoexpert ( ok ), 10:20, 19/11/2025 > Однако с этим способны справляться уже все облака, и можно спрятать дедики за реверс-прокси на облаках потенциально того же самого провайдера и лежать, когда что-то лежит у них, что бывает чаще

4.166 , Мемоним ( ? ), 11:20, 19/11/2025 > дедики за реверс-прокси на облаках потенциально того же самого провайдера И после первого же дудоса провайдер попросит тебя на выход

5.218 , morphe ( ? ), 12:29, 19/11/2025 >> дедики за реверс-прокси на облаках потенциально того же самого провайдера

> И после первого же дудоса провайдер попросит тебя на выход Как раз таки у облаков провайдер почти всегда берёт на себя решение проблем с атаками, в отличии от дедиков В худшем случае счёт тебе побольше выставит

4.172 , penetrator ( ? ), 11:27, 19/11/2025 у любого серьезного DC есть решения на случай DDoS а не только у облаков

5.216 , morphe ( ? ), 12:27, 19/11/2025 > у любого серьезного DC есть решения на случай DDoS а не только

> у облаков Решения есть, вопрос как они используются У многих провайдеров политика такая, что в случае атаки виноват ты, и значит что при атаке твой сервер могут просто отключить Такая защита не бесплатная

3.51 , Аноним ( 51 ), 09:31, 19/11/2025 Грамотно настроенный WAF и рейт лимиты помогают, но довольно геморно это все отлаживать. Из коробочных решений BunkerWeb для себя нашёл, почти что CF у себя дома. Но в будущем хотелось бы этот комбайн на что-то модульное сменить.

2.7 , name ( ?? ), 07:52, 19/11/2025 ddos guard

2.10 , Bottle ( ? ), 07:54, 19/11/2025 Клаудтвари сами же этих ботов и запускают.

2.108 , пох. ( ? ), 10:24, 19/11/2025 > Как защищать свои сайты и доменьчики от ботов без клауды и подобных? смотря насколько ты кому-то наступил на хвост. от потока просто мусора на 10-30 мегабит с безумных утюгов и холодильников - никак ты не защитишься. Еще и твой провайдер запросто может найти ннну очень уважительную причину разорвать с тобой договор (ему проще потерять деньги чем всех своих клиентов вообще - потому что его внешний канал полностью лежит из-за тебя). (впрочем, клаудшмразь тоже за такое выкатит тебе недетский ценник. Ну, у какого-нибудь бредкома или ситибанка бабла хватит.)

От просто случайных набигателей из инторнетов - просто запасом мощности ну и наличием хоть какого-то представления о том как выглядит твой нормальный траффик и откуда он в основном берется.

3.175 , freehck ( ok ), 11:28, 19/11/2025 >> Как защищать свои сайты и доменьчики от ботов без клауды и подобных?

> смотря насколько ты кому-то наступил на хвост.

10-30 мбит -- это вообще не проблема, этим мелким паразитным траффиком можно в целом пренебречь. Главное, чего нужно добиваться при защите: 1) недопущение перегрузки кластера обработкой паразитных запросов 2) недопущение повышенных расходов за отдаваемый по паразитным запросам траффик (там могут быть циферки огого)

Общий паттерн защиты такой: 1) На балансере -- резать по ip: в ингрессах выделить по правилу на каждый локейшен, и каждому задать rate limit. Можно разбить весь траффик на несколько ингрессов, сгруппировав таким образом локейшены. 2) Раз в месяц нужно анализировать логи балансера и проверять реальную утилизацию локейшенов для пересмотра валидности rate limit-ов. Не забыть сконфигурировать балансер отдавать http-429 для отлупов при превышении лимита, кстати. По умолчанию у того же nginx-а отдаётся http-503. Обязательно поставить алёрты на скачки http-429 в ответах. 3) Далее, если ваше приложение поддерживает авторизацию, то для всего кроме самой авторизации -- ставить rate limit по userid. Реализовывать на уровне приложения. Реализуете это вкупе с #155, и в целом Cloudflare вам не нужен. Можете конечно дополнительно какой-нибудь anti-ddos или WAF бахнуть. Если не бахнули -- не страшно: на первых парах, если у вас реализовано всё по спискам выше, вы с высокими шансами сможете защититься и подручными средствами, побанив зловредов вручную. Да, будет больно, но не смертельно -- скорее всего даже без даунтайма пройдёт.

4.200 , пох.. ( ? ), 11:51, 19/11/2025 > 10-30 мбит -- это вообще не проблема сделают 30 гигабит - снова будет не проблема? Умные утюги разгоняются и до терабитов. Причем васяну-то это вообще ничего не стоит. В отличие от тебя, где в договоре мелким шрифтиком что-то там на тему не превышения входящего... > На балансере -- резать по ip клиенты ненужны! > Раз в месяц нужно анализировать логи балансера уже смешно > Далее, если ваше приложение поддерживает авторизацию, то для всего кроме самой

> авторизации -- ставить rate limit по userid там где ты можешь проверить userid - уже поздно ставить рейтлимиты. Первой лопается проверялка. > Реализуете это вкупе с #155, и в целом Cloudflare вам не нужен он в целом вообще был ненужен если его можно заменить вот этим. > Можете конечно дополнительно какой-нибудь anti-ddos или WAF бахнуть. половину пользователей уже перебанил по ойпи - вторую похоронит васянский антиддыдос.

Ну правильно, чего ждать от специалиста забанившего ответы от юзера которому он отвечает... У них все так работает. А на деле со стороны дерьмохостера которому с тобой "повезло" это выглядит так - "ой", и входной канал лежит. Начинаешь (с большим трудом ибо канал - лежит) разбираться за что ж и откуда - обычно с помощью апстрима, иногда не ближайшего - находишь клиента. Блэклистишь у апстрима его айпишник. Если повезло и его днс у тебя - блокируешь ему доступ и меняешь все адреса на 127.0.0.1, апстрим будет благодарен.

Ждешь пока позвонит. Узнаешь что вчера в два ночи он где-то в чятике послал подальше какого-то онанима (и грех бы такого пры...ра не послать-то). Говоришь что за деньгами взад может подходить в кассу в рабочее время. 5.208 , freehck ( ok ), 12:11, 19/11/2025 [^] [^^] [^^^] [ответить] + / – >> 10-30 мбит -- это вообще не проблема

> сделают 30 гигабит - снова будет не проблема? А тебя и Cloudflare от такого не защитит, потому что не может быть 100%-ых правил как отличить паразитный траффик с тысяч утюгов от легитимного траффика. Это один фиг придётся резать на уровне региональных балансеров с учётом специфики приложения. >> На балансере -- резать по ip

> клиенты ненужны! А без резки по ip им даже ddos не нужен, чтобы тебя положить. Выделят отдельный эндпоинт и с одного хоста его успешно закидают. >> Раз в месяц нужно анализировать логи балансера

> уже смешно У вариантов получше -- высокая стоимость. >> Далее, если ваше приложение поддерживает авторизацию, то для всего кроме самой

>> авторизации -- ставить rate limit по userid

> там где ты можешь проверить userid - уже поздно ставить рейтлимиты. Первой

> лопается проверялка. При ddos-е, который работает ради дауна твоего сервиса -- да, поздно. Это для ботов, создающих большой паразитный траффик, выкачивая у тебя всякое. Позволяет избежать повышенных расходов. > А на деле А на деле, дорогой пох, я занимаюсь проектированием таких систем далеко не первый год, и мои клиенты пережили далеко не одну атаку.

2.155 , freehck ( ok ), 11:12, 19/11/2025 [^] [^^] [^^^] [ответить] + / – > Как защищать свои сайты и доменьчики от ботов без клауды и подобных? Да как бы Cloudflare устроен не особо сложно. Просто заказываешь в ряде регионов по паре машинок для приземления регионального траффика и переотправки на реальный api-сервер. На машинках настраиваешь haproxy для TCP-forward. Перед haproxy не обязательно, но желательно -- внешний балансер от провайдера. Терминировать там SSL не надо. Региональные DNS прописываешь смотреть каждому на балансер. Вот тебе и Cloudflare. Опционально: добавляешь WAF и antiddos. Из плюсов -- ты будешь понимать, как именно они работают, и контролировать ложно-положительные срабатывания.

3.179 , freenoob ( ? ), 11:33, 19/11/2025 [^] [^^] [^^^] [ответить] + / – да счас, кто тебя досить будет по dns? тебя будут напрямую долбить по айпишнику, либо одного регионального узла, либо конкретно API endpoint, если знают его адрес 4.195 , freehck ( ok ), 11:45, 19/11/2025 [^] [^^] [^^^] [ответить] + / – > да счас, кто тебя досить будет по dns? удивительная адекватность =)

4.202 , пох.. ( ? ), 11:54, 19/11/2025 [^] [^^] [^^^] [ответить] + / – > да счас, кто тебя досить будет по dns? а почему нет? Умные утюги отлично умеют в ресолвинг. > по айпишнику, либо одного регионального узла, либо конкретно API endpoint, если тогда эта поделка сдохнет и может даже выпадет из round robin, повезло. Только вот вряд ли кто будет такой фигней маяться. Апи эндпоинт тоже будет по имени, чего возиться-то лишнего.

2.169 , hshhhhh ( ok ), 11:24, 19/11/2025 [^] [^^] [^^^] [ответить] –1 + / – точно так же как и с ним: перед сервером ставится балансировщик нагрузки/кеширующий прокси которые скрывают настоящий айпи серверрв. если провайдер позволяет -- к одному айпи можно подключить несколько балансировщиков. если не позволяет -- можно в днс прописать несколько айпи.

3.204 , пох.. ( ? ), 11:55, 19/11/2025 [^] [^^] [^^^] [ответить] + / – > точно так же как и с ним: перед сервером ставится балансировщик нагрузки/кеширующий

> прокси которые скрывают настоящий айпи серверрв. и что такого волшебного в твоем настоящем ойпи? Просто первым ляжет твой наколеночный балансировщик. Покупайте защщиты от клаудшмары, с вашими талантами самое оно.

