文档首页> 内容分发网络 CDN> 最佳实践> 通过日志分析恶意访问地址
更新时间:2024-06-14 GMT+08:00
查看PDF
分享

通过日志分析恶意访问地址

适用场景

如果您的加速域名遭受攻击,想要加固安全防护配置,比如配置防盗链、IP黑白名单等,您可以通过分析攻击时段对应的日志实现。

CDN日志包含了终端用户访问的信息,日志内容示例如下: 
[05/Feb/2018:07:54:52 +0800] x.x.x.x 1 "-" "HTTP/1.1" "GET" "www.test.com" "/test/1234.apk" 206 720 HIT "Mozilla/5.0 (Linux; U; Android 6.0; zh-cn; EVA-AL10 Build/HUAWEIEVA-AL10) AppleWebKit/533.1 (KHTML,like Gecko) Mobile Safari/533.1" "bytes=-256"

各字段从左到右含义如表1所示。

表1 CDN日志字段说明

序号

字段含义

字段示例

1

日志生成时间

[05/Feb/2018:07:54:52 +0800]

2

访问IP地址

x.x.x.x

3

响应时间(单位ms)

1

4

Referer信息

-

5

HTTP协议标识

HTTP/1.1

6

HTTP请求方式

GET

7

CDN加速域名

www.test.com

8

请求路径

/test/1234.apk

9

HTTP状态码

206

10

返回字节数大小

720

11

缓存命中状态

HIT

12

User-Agent信息,其作用是让服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本信息等。

Mozilla/5.0 (Linux; U; Android 6.0; zh-cn; EVA-AL10 Build/HUAWEIEVA-AL10) AppleWebKit/533.1 (KHTML,like Gecko) Mobile Safari/533.1

13

Range信息,其作用是在HTTP请求头中指定返回数据的范围,即第一个字节的位置和最后一个字节的位置。

bytes参数值表示方法一般分为如下三类:

  • bytes=x-y:表示请求第x个字节到第y个字节的数据内容。
  • bytes=-y:表示请求最后y个字节的数据内容。
  • bytes=x-:表示请求第x字节到最后一个字节的数据内容。

bytes=-256

操作步骤

  1. 登录华为云控制台,在控制台首页中选择“CDN与智能边缘 > 内容分发网络 CDN”,进入CDN控制台。
  2. 在左侧菜单栏中,选择日志管理
  3. 选择需要查询的加速域名和日期。
  4. 在需要下载的日志行单击“下载”,即可将日志下载到本地。
  5. 日志下载后,您可以用Excel打开,筛选您感兴趣的字段,然后进行以下分析:
    • 分析用户访问的资源:如果访问的资源比较集中,访客IP较分散,可能是新增了资源。
    • 分析访客IP:如果较集中在某些IP段且访问量很大,访问的URL具体资源比较集中,有可能这些访客IP是恶意访问,可将这些IP添加黑名单,请参考IP黑名单完成配置。
    • 分析User-Agent信息:通过UA请求头看是否存在不常见的UA头,判断是否属于攻击行为,可参考UA黑名单配置配置访问控制。
    • 也可通过其他字段,如:referer、缓存命中状态或者多个字段进行结合过滤筛选,从而判断共性的部分,加固对应的防护配置。
分享:

    相关文档

    相关产品