What is bot traffic? | How to stop bot traffic

Le trafic bot est un trafic non humain vers un site Web. Bien qu’une partie du trafic bot soit bénéfique, le trafic bot abusif peut causer des perturbations.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le trafic bot.
  • Comprendre comment identifier le trafic bot.
  • Souligner les conséquences négatives des bots malveillants.
  • Découvrir comment arrêter le trafic bots.

Copier le lien de l'article

Qu’est ce que le trafic de bots ?

Le trafic bot décrit tout trafic non humain vers un site web ou une application. Le terme trafic de bots a souvent une connotation négative, mais en réalité le trafic de bots n’est pas nécessairement bon ou mauvais ; cela dépend entièrement de l’objectif des bots.

Certains bots sont essentiels pour des services utiles tels que les moteurs de recherche et les assistants numériques (par exemple Siri, Alexa). La plupart des entreprises accueillent ces types de robots sur leurs sites.

D'autres bots peuvent être malveillants, par exemple les bots utilisés pour le credential stuffing, le scraping de données et le lancement d'attaques DDoS. Même les « mauvais » bots les plus bénins, comme des robots d'indexation non autorisés, peuvent constituer une nuisance, parce qu’ils peuvent perturber les analytiques de site et générer une fraude au clic.

D'après une estimation, plus de 40 % de tout le trafic Internet est composé de trafic de bots, et une partie importante de ce trafic est constituée de bots malveillants. Cela explique pourquoi tant d'organisations cherchent des moyens de gérer le trafic de bots qui agissent sur leurs sites.

Comment identifier le trafic de bots ?

Les ingénieurs web peuvent examiner directement les requêtes réseau vers leurs sites et identifier le trafic probable de bots. Un outil d'analytique web intégré, tel que Google Analytics ou Heap, peut également aider à détecter le trafic de bots.

Les anomalies suivantes révélés par les analytiques sont caractéristiques du trafic de bots :

  • Vues de page anormalement élevées : si un site connaît un pic soudain, sans précédent et inattendu des vues de page, il est probable que des bots cliquent sur le site.
  • Taux de rebond anormalement élevé : le taux de rebond correspond au nombre d'utilisateurs qui consultent une page d'un site et qui la quittent avant d'avoir cliqué sur un élément de la page. Une augmentation inattendue du taux de rebond peut être le résultat de bots dirigés vers une simple page.
  • Sessions à la durée anormalement longue ou courte : la durée des sessions, autrement dit le temps que les utilisateurs passent sur un site web, doit demeurer relativement stable. Une augmentation inexpliquée de la durée de session peut indiquer que des bots naviguent sur le site à une vitesse inhabituellement basse. À l’inverse, une diminution inattendue de la durée de la session peut être le résultat de bots cliquant sur les pages du site beaucoup plus rapidement qu’un utilisateur humain.
  • Conversions indésirables : une augmentation des conversions « fantômes », telles que les créations de compte utilisant des adresses e-mail qui ressemblent à du charabia ou des formulaires de contact soumis avec de faux noms et numéros de téléphone, peuvent provenir de bots de remplissage de formulaires ou de bots de spam.
  • Pic de trafic provenant d'un emplacement inattendu : un pic soudain d'utilisateurs d'une région particulière, en particulier d'une région qui ne compte vraisemblablement pas un grand nombre de personnes parlant couramment la langue maternelle du site, peut être une indication d'un trafic de bots.

Comment le trafic de bots peut-il affecter les analytiques ?

Comme mentionné précédemment, le trafic bot non autorisé peut influencer les métriques d'analytique telles que le nombre de consultations, le taux de rebond, la durée de session, la géolocalisation des utilisateurs et les conversions. Ces écarts dans les métriques peuvent créer une importante frustration chez le propriétaire du site . il est extrêmement difficile de mesurer la performance d’un site « inondé » par l'activité de bots. Les tentatives d’amélioration du site, telles que les tests A/B et l’optimisation du taux de conversion, sont également paralysées par le bruit statistique créé par les bots.

Comment filtrer le trafic de bots à partir de Google Analytics

Google Analytics does provide an option to “exclude all hits from known bots and spiders” (spiders are search engine bots that crawl webpages). If the source of the bot traffic can be identified, users can also provide a specific list of IPs to be ignored by Google Analytics.

Bien que ces mesures empêchent certains bots de perturber les analytiques, elles n'arrêteront pas tous les bots. En outre, la plupart des bots malveillants poursuivent un objectif autre que de perturber les analytiques du trafic, et ces mesures ne font rien pour atténuer l'activité nuisible des bots à part préserver des données d'analytiques.

Comment le trafic de bots peut-il nuire aux performances ?

L’envoi massif de trafic de bots est une méthode fréquemment utilisée par les attaquants pour lancer une attaque DDoS. Lors de certains types d’attaques DDoS, une telle quantité de trafic d'attaque est dirigée vers un site web que le serveur d'origine est surchargé et que le site est ralenti voire totalement indisponible pour les utilisateurs légitimes.

Comment le trafic de bots peut-il être néfaste pour les entreprises ?

Certains sites web peuvent être financièrement paralysés par le trafic de bots malveillants, même si leurs performances ne sont pas affectées. Les sites qui dépendent de la publicité et les sites qui vendent des marchandises avec un stock limité sont particulièrement vulnérables.

For sites that serve ads, bots that land on the site and click on various elements of the page can trigger fake ad clicks; this is known as click fraud. While this may initially result in a boost in ad revenue, online advertising networks are very good at detecting bot clicks. If they suspect a website is committing click fraud, they will take action, usually in the form of banning that site and its owner from their network. For this reason, owners of sites that host ads need to be ever-wary of bot click fraud.

Sites with limited inventory can be targeted by inventory hoarding bots. As the name suggests, these bots go to e-commerce sites and dump tons of merchandise into their shopping carts, making that merchandise unavailable for purchase by legitimate shoppers. In some cases this can also trigger unnecessary restocking of inventory from a supplier or manufacturer. The inventory hoarding bots never make a purchase; they are simply designed to disrupt the availability of inventory.

Comment les sites web peuvent-ils gérer le trafic des bots ?

The first step to stopping or managing bot traffic to a website is to include a robots.txt file. This is a file that provides instructions for bots crawling the page, and it can be configured to prevent bots from visiting or interacting with a webpage altogether. But it should be noted that only good bots will abide by the rules in robots.txt; it will not prevent malicious bots from crawling a website.

A number of tools can help mitigate abusive bot traffic. A rate limiting solution can detect and prevent bot traffic originating from a single IP address, although this will still overlook a lot of malicious bot traffic. On top of rate limiting, a network engineer can look at a site’s traffic and identify suspicious network requests, providing a list of IP addresses to be blocked by a filtering tool such as a WAF. This is a very labor-intensive process and still only stops a portion of the malicious bot traffic.

Separate from rate limiting and direct engineer intervention, the easiest and most effective way to stop bad bot traffic is with a bot management solution. A bot management solution can leverage intelligence and use behavioral analysis to stop malicious bots before they ever reach a website. For example, Cloudflare Bot Management uses intelligence from over 25,000,000 Internet properties and applies machine learning to proactively identify and stop bot abuse. Super Bot Fight Mode, available on Pro and Business plans, offers smaller organizations similar visibility and control over their bot traffic.