更新时间:2025-09-11 GMT+08:00
通过日志分析恶意访问地址
适用场景
如果您的加速域名遭受攻击,想要加固安全防护配置,比如配置防盗链、IP黑白名单等,您可以通过分析攻击时段对应的日志实现。
CDN日志包含了终端用户访问的信息,日志内容示例如下:
[05/Feb/2018:07:54:52 +0800] x.x.x.x 1 "-" "HTTP/1.1" "GET" "www.test.com" "/test/1234.apk" 206 720 HIT "Mozilla/5.0 (Linux; U; Android 6.0; zh-cn; EVA-AL10 Build/HUAWEIEVA-AL10) AppleWebKit/533.1 (KHTML,like Gecko) Mobile Safari/533.1" "bytes=-256" x.x.x.x
各字段从左到右含义如表1所示。
|
序号 |
字段含义 |
字段示例 |
|---|---|---|
|
1 |
日志生成时间 |
[05/Feb/2018:07:54:52 +0800] |
|
2 |
访问IP地址 |
x.x.x.x |
|
3 |
响应时间(单位ms) |
1 |
|
4 |
Referer信息 |
- |
|
5 |
HTTP协议标识 |
HTTP/1.1 |
|
6 |
HTTP请求方式 |
GET |
|
7 |
CDN加速域名 |
www.test.com |
|
8 |
请求路径 |
/test/1234.apk |
|
9 |
HTTP状态码 |
206 |
|
10 |
返回字节数大小 |
720 |
|
11 |
缓存命中状态 |
HIT |
|
12 |
User-Agent信息,其作用是让服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本信息等。 |
Mozilla/5.0 (Linux; U; Android 6.0; zh-cn; EVA-AL10 Build/HUAWEIEVA-AL10) AppleWebKit/533.1 (KHTML,like Gecko) Mobile Safari/533.1 |
|
13 |
Range信息,其作用是在HTTP请求头中指定返回数据的范围,即第一个字节的位置和最后一个字节的位置。 bytes参数值表示方法一般分为如下三类:
|
bytes=-256 |
|
14 |
服务端IP:CDN服务端响应IP。 |
x.x.x.x |
操作步骤
- 登录CDN控制台。
- 在左侧菜单栏中,选择。
- 选择需要查询的加速域名和日期。
- 在需要下载的日志行单击“下载”,即可将日志下载到本地。
- 日志下载后,您可以用Excel打开,筛选您感兴趣的字段,然后进行以下分析:
