如下图所示,某个IP段频繁访问网站服务且每次访问时间都很短。这种情况,该如何识别风险IP并处理呢!
分析网站访问日志,查看异常IP的访问记录:
日志路径通常位于 /var/log/nginx/access.log 或 /var/log/apache2/access.log。
使用 grep 命令过滤出该IP的访问记录:
bash
grep "59.82.83.71" /var/log/nginx/access.log
分析行为模式:
User-Agent:是否是常见的爬虫UA(如Python-urllib, Go-http-client等)或明显伪造的UA?
访问频率:请求间隔是否非常短,远超正常人类用户?
访问路径:是否在扫描特定漏洞(如访问 /wp-admin/, /phpmyadmin/, .env)?还是在系统地抓取特定内容(如所有产品页面)?
状态码:对方收到的主要是200(成功)还是403/404(失败/未找到)
通过百度智能风控功能,输入IP地址,看看该IP有没有不良标签。比如小编测试了这个IP地址,就标记了高风险、代理IP、爬虫。
确认是风险IP后,接下来就是要处理了。可用直接禁止该IP的访问:
比如Apache服务器中,可在 .htaccess文件中禁止特定IP访问。
Order Allow,Deny
Allow from all
Deny from 59.82.83.71
如果使用的类似Fastadmin的后台管理系统,也可用在后台集成的IP禁止功能中设定需要禁止访问的IP。
发表评论 取消回复