摘要：# 当你的网站被“点杀”时，日志里藏着谁的指纹？ 我前两天帮一个做电商的朋友看服务器，那场面，真是绝了。 网站打开慢得像在挤早高峰的地铁，但CPU和带宽占用却不高。他一脸懵地问我：“是不是被DDoS了？可我买了高防啊！”我扫了一眼实时访问日志，好家伙，…

当你的网站被“点杀”时，日志里藏着谁的指纹？

我前两天帮一个做电商的朋友看服务器，那场面，真是绝了。

网站打开慢得像在挤早高峰的地铁，但CPU和带宽占用却不高。他一脸懵地问我：“是不是被DDoS了？可我买了高防啊！”我扫了一眼实时访问日志，好家伙，满屏都是同一个URL的请求，频率高得吓人，但每个IP看起来都“清清白白”，来自天南海北。

“你这是被‘点杀’了，”我告诉他，“不是洪水攻击，是精准的CC攻击。人家没冲你大门，是派了无数个‘正常人’，在门口反复扫码，就是不进去，把你验票的保安给累瘫了。”

很多中小站长一提到防护，脑子里就是“高防IP”、“流量清洗”这些大词。真遇到这种“慢性病”式的CC攻击，那些PPT上很猛的方案，往往一拳打在棉花上——钱花了，攻击却没停。因为这类攻击的精髓，就在于伪装成正常用户，用最低的成本耗尽你的服务器资源。

今天，我们不聊那些空泛的防护概念，就聊一个最实际、也最容易被忽略的动作：翻日志。当攻击发生时，你的服务器访问日志（Access Log）不是一堆废数据，而是最原始的“犯罪现场记录”。基于日志的溯源，就像刑警查案，目的不是拦下当时的攻击（那已经发生了），而是搞清楚谁干的、怎么干的、下次怎么提前认出他。

一、别被“正常”IP骗了：日志里的蛛丝马迹

攻击者早就不是单枪匹马了。他们手里握着庞大的“肉鸡”（被控制的傀儡机）网络，或者更直接点，直接用便宜的代理IP池。所以你会在日志里看到成千上万个不同的IP，每个只访问几次，看起来毫无异常。

但魔鬼藏在细节里。 人类的行为有节奏，机器的行为有规律。你可以从这几个“反人类”的细节入手，把它们揪出来：

1. 访问节奏像“秒表”：正常用户点击链接，间隔时间是随机的，有快有慢。而攻击脚本的请求间隔往往精确得可怕，比如严格每0.5秒一次，在时间序列图上看，就是一条笔直的虚线。（你可以用AWStats或自己写个小脚本，按秒级统计请求频次，一眼就能看出异常峰值。）

2. 只“敲门”，不“进屋”：CC攻击的目标通常是消耗性动作，比如搜索一个不存在的商品、反复请求登录页面、刷新某个计算复杂的API接口。所以你会看到，大量IP只访问某一个特定的、消耗资源的URL，而对网站上的图片、CSS等静态资源毫无兴趣。一个真实用户进来，不可能只盯着你网站的“CPU燃烧器”猛点，对吧？

3. “装备”过于统一：检查User-Agent字段。虽然攻击者会伪造UA，但为了省事，一个攻击脚本里的UA往往是同一批。你可能会发现，几百个不同的IP，却用着同一个冷门浏览器的相同版本号，这概率比中彩票还低。（我见过最离谱的，是一批攻击流量全部自称是“某品牌十年前已经停产的手机浏览器”，这简直是举着身份证在攻击。）

4. “路过”的路径一模一样：正常用户的访问路径是发散的，从首页可能去A页面，也可能去B页面。而攻击脚本为了效率，访问路径常常是线性的、重复的。通过会话（Session）追踪，你可能会发现，不同IP却遵循着“首页 -> 搜索页?keyword=xxx -> 商品详情页?id=yyy”这样完全一致的、分毫不差的路径。

说白了，找异常就是找“巧合”。 当大量“巧合”堆在一起，那就不再是巧合，而是精心策划的证据。

二、从IP到人：如何勾勒“攻击者画像”？

找到一批可疑IP，只是第一步。接下来我们要做的，不是拉黑了事（IP池是无限的），而是尝试回答几个问题，给背后的操纵者画个像：

• 攻击源是“散兵”还是“正规军”？ 把可疑IP扔到IP信誉数据库（比如 AbuseIPDB）或威胁情报平台查一下。如果这些IP历史上频繁出现在各种垃圾邮件、漏洞扫描记录里，那大概率是公共的“代理池”或“肉鸡”，属于低成本的资源攻击。如果IP很干净，甚至是来自一些云服务商，那可能意味着攻击者投入了更多成本，或者攻击本身更有针对性。

• 攻击目标有多“精准”？ 攻击是漫无目的地刷你的首页，还是精准地调用某个促销API接口？如果是后者，说明对方很可能已经摸清了你网站的业务逻辑和薄弱点。这可能不是随机攻击，而是有备而来。 比如，你刚上线了一个“秒杀”活动，攻击就紧随而至。这画像里就多了一条：熟悉你业务节奏的竞争对手或黑产团伙。

• 攻击有没有“试探”阶段？ 翻看攻击开始前几个小时甚至几天的日志。聪明的攻击者会先进行小流量试探，观察你的防护策略和响应阈值。比如，先以每秒1次的频率请求，慢慢加到每秒10次，最后才全量爆发。如果你在日志里发现了这种“爬坡”式的流量增长，那说明你面对的是一个老练的对手，而不是脚本小子。

我自己看过不少案例，最后发现攻击源头可能令人哭笑不得：可能是某个被你封禁的“羊毛党”头子蓄意报复，也可能是某个爬虫程序写崩了失控狂刷，甚至可能是你自家某个未做限流的第三方合作接口被当成了“入口”。

三、知道是谁后，我们该怎么办？（实战思路）

溯源不是为了写一份漂亮的报告，而是为了指导接下来的动作，把防护从“被动挨打”变成“主动设防”。

1. 立刻止血（应急处理）：

   • 基于刚才的分析，在WAF或服务器层面，对特征最明显的请求（如特定URL+固定UA+高频访问）立刻设置拦截规则。别想着一次性把所有攻击IP都封完，先打掉最嚣张的那一拨。
   • 启用验证码挑战：对访问可疑路径的会话，弹出验证码。这是区分人机最有效（虽然用户体验不好）的手段之一。

2. 加固薄弱点（战术调整）：

   • 攻击者盯着哪个接口打，就重点给哪个接口“上强度”。比如，在业务代码层面对核心查询、登录、提交等动作，实施更严格的频率限制（单个用户每分钟最多几次），并引入令牌桶等算法。
   • 隐藏真正的资源入口：比如，把直接访问的API改成需要携带动态令牌，或者对消耗资源的操作增加“二次确认”步骤。让攻击脚本的编写成本变高。

3. 布设陷阱（主动防御）：

   • 在日志分析中，你可以故意设置一些“蜜罐”URL或参数。这些链接对正常用户不可见，但会被爬虫和攻击脚本扫到。一旦有IP访问这些“蜜罐”，可以直接将其标记为恶意，并观察其后续行为链。这招对于发现那些还在侦察阶段的攻击者，特别好用。

4. 最重要的：建立你自己的“黑名单特征库”：

   • 把这次攻击中总结出的特征（如异常的UA字符串、固定的Referer、畸形的参数组合）保存下来，做成规则。下次同样的特征出现，即使流量很小，也能提前预警。防护的本质，就是经验的积累和自动化。

写在最后：日志不是垃圾，是金矿

很多运维朋友觉得日志分析又麻烦又滞后，不如买套现成的防护产品省心。这话对，也不对。

现成产品是“通用盾牌”，能挡住大部分常规攻击。但真正想搞你的“高手”，永远在研究通用盾牌的缝隙。而你的日志，记录的是只属于你自家业务的、独一无二的“攻击指纹”。

定期翻翻日志，哪怕没有攻击，你也能看到哪些IP在偷偷扫描你，哪些爬虫在不受控制地抓取数据。这些信息，是任何外部防护服务都无法提供给你的、最贴身的安全情报。

所以，下次网站再出现“慢但没崩”的诡异情况，别急着加钱升级带宽或高防。先沉住气，打开那看似枯燥的访问日志，用我们上面聊的这些“土办法”过一遍。 很可能，你不仅能找到真凶，还能省下一笔不必要的开销。

行了，方法就聊这么多。你的源站日志，今天看过了吗？