如何识别攻击IP:四个关键维度
|
freeflydom
2026年1月8日 15:0
本文热度 397
|
| 判断维度 | 具体特征/方法 | 工具或日志来源 |
|---|
| 1. 频率与分布异常 | - 绝对高频:单个IP每秒请求数极高。
- 分散低频:大量不同IP各发少数请求,但总量巨大,耗尽带宽。 | Nginx日志、Lua脚本 |
| 2. 行为模式异常 | - 只请求特定URL:如反复请求登录页(/login)、API接口或大文件。
- 非常规User-Agent:为空、乱码或明显伪造的浏览器标识。
- 无完整会话:只访问首页或单一页面,无后续正常浏览行为。 | Nginx access.log |
| 3. 关联与地理异常 | - IP段集中:大量IP来自同一子网或自治系统(AS)。
- 非常规地理来源:来自与您业务无关的国家或地区。 | 第三方IP情报服务(如IPIP.net) |
| 4. 资源访问异常 | - 持续下载大文件:导致上传流量(服务器发出)占满的关键原因。
- 爬取非公开目录:尝试访问/admin、/config等敏感路径。 | 服务器流量监控(如GlassWire)、Nginx日志 |
该文章在 2026/1/8 15:02:18 编辑过
400 186 1886
