Possible rebuig d'IP d'un servei

Possible rebuig d'IP d'un servei

per FCO. JAVIER HERNANDEZ VILA -
Nombre de respostes: 6

Bon dia a tothom,

una de les automatitzacions que tenim programades a Integromat utilitza mòduls del servei d'optimització de media "Cloudinary"  ( https://cloudinary.com/ ).  En la nostra automatització hi ha un primer mòdul que carrega la foto de portada de qualsevol nova publicació a la portada del nostre Nodes i un altre mòdul que l'optimitza (mides, pes, enquadrament, etc) per publicar-la a Instagram:

 


Tot anava bé fins fa una setmana més o menys, però ara el servei (en el que continuem gaudint del servei free forever) no ens "carrega" les imatges. És a dir, el primer mòdul ja dona error tot i que, com podeu comprovar, l'enllaç de la imatge de portada és correcte. Sospitem que l'adreça/çes IP des de que el Cloudinary intenta accedir a la foto són algunes de les que tniu "capades" a Àgora...  Podria ser això? 

 

En resposta a FCO. JAVIER HERNANDEZ VILA

Re: Possible rebuig d'IP d'un servei

per MONICA GRAU PRIETO -
Hola, Fco, Javier,
estem revisant el problema, en quant sapiguem alguna cosa, t'ho farem saber a través d'aquest mateix fil.

Fins ara,
Mònica
En resposta a FCO. JAVIER HERNANDEZ VILA

Re: Possible rebuig d'IP d'un servei

per ANTONI GINARD LLADO -
     Hola Xavier,

Estem veient que al vostre Nodes arriben peticions de Integromat i de rssapi.net. Mirant el vostre historial de peticions no sembla que se n'estiguin perdent.

Per un altre costat, hem vist que arriben peticions del robot de Cloudinary a Àgora, no al vostre Nodes, però si a altres. Per tant, sembla que us hauria d'estar funcionant. Pots mirar si segueix donant l'error?


Salutacions,

Toni Ginard
Equip Àgora
En resposta a ANTONI GINARD LLADO

Re: Possible rebuig d'IP d'un servei

per FCO. JAVIER HERNANDEZ VILA -
Hola Antoni,

he fet proves carregant fotos directament a Cloudinary des d'enllaços URL públics de fotos de capçalera del nostre Nodes i curiosament el primer cop m'ha sortit un error "403 Forbidden", però totes les altres proves me les ha pujat sense problemes. Prèviament he comprovat des del navegador que l'accés a cada foto fos públic i obert.

És extrany que a vegades no carregui les fotos i fins i tot doni error 403 i unes altres vegades si que les carregui... i més si hi han altres peticions de Cloudinary a d'altres Nodes que no donen problemes (o almenys no estan reportats).

Moltes gràcies per la bona feina que feu. Us seguiré informant si funciona o no a les properes publicacions que fem al nostre Nodes.

Xavi.
En resposta a FCO. JAVIER HERNANDEZ VILA

Re: Possible rebuig d'IP d'un servei

per ANTONI GINARD LLADO -
      Hola Xavi,

Tots aquests serveis (Integromat, rssapi.net, Cloudinary) estan allotjats a núvols públics, igual que nosaltres. Aquests núvols són enormes i disposen de molts rangs d'IP que van canviant amb certa freqüència. Això provoca que les peticions puguin arribar des de rangs diferents en qualsevol moment.

Per desgràcia, molts atacs provenen de núvols públics, cosa que dificulta protegir-se'n. Actualment, tenim centenars de rangs bloquejats per haver-nos fet atacs de diversos tipus. Aquest comportament de què algunes vegades retorna un 403 és molt probable que sigui degut a una petició feta des d'un rang bloquejat.

En aquest cas la dificultat està a saber des de quina IP es va fer la petició, perquè si la sabem, desbloquegem el rang i es resol el problema. Segurament en algun moment la IP va ser usada per alguna petició malintencionada. Com que tots aquests sistemes funcionen de manera automàtica, sense intervenció vostra, imagino que no tens manera de saber la IP d'origen. A més, habitualment aquests proveïdors no publiquen els seus rangs d'IP perquè van variant.

Fa poc hem afegit algorismes de bloqueig de peticions fetes per robots, ja que aquests atacs normalment els duen a terme sistemes automàtics distribuïts. En principi tenim autoritzats tots els robots de xarxes socials, cercadors i altres serveis coneguts, però tampoc podem descartar algun fals positiu.


Salutacions,

Toni Ginard
Equip Àgora
En resposta a ANTONI GINARD LLADO

Re: Possible rebuig d'IP d'un servei

per FCO. JAVIER HERNANDEZ VILA -
Moltes gràcies per l'explicació, Toni.

Una última pregunta: serviria d'alguna cosa si us reporto l'hora exacta i la URL de la propera vegada que em surti un error "forbidden"? Potser alehores tindrieu la manera (i la paciència) de rastrejar més ràpidament des de quina IP es fa la crida i desbloquejar-la... o potser no, ja que seria perillós pq aquestes mateixes IP podrien utilitzar-se de forma maliciosa en un futur??
En resposta a FCO. JAVIER HERNANDEZ VILA

Re: Possible rebuig d'IP d'un servei

per ANTONI GINARD LLADO -

     Hola Xavier,

Disculpa el retard en la resposta.

Si ens indiques el moment més o menys exacte del Forbidden, ens anirà bé per buscar, però també ens hauries d'indicar l'URL que ha estat bloquejat. Cada minut es bloquegen centenars de peticions i, si hem de buscar en una franja de, posem, cinc minuts, tenim milers de peticions per analitzar. Buscar per URL ens és molt més senzill i facilita trobar la petició correcta.

Sobre la reflexió final, qualsevol IP pot ser origen d'un atac. Per part nostra no hi ha cap inconvenient en treure un rang d'IP de la llista negra i, de fet, sempre que detectem que estem bloquejant accessos lícits, obrim de nou el rang.


Salutacions,

Toni Ginard
Equip Àgora