摘要：# 高防CDN日志里，藏着攻击者的“身份证” 前两天，一个做电商的朋友半夜给我打电话，语气都快急哭了：“流量又炸了，后台卡得一笔，高防CDN那边显示是‘已防护’，可我这业务还是半瘫。钱没少花，可攻击到底从哪来的？我总不能一直蒙在鼓里吧？” 这话我听着太…

高防CDN日志里，藏着攻击者的“身份证”

前两天，一个做电商的朋友半夜给我打电话，语气都快急哭了：“流量又炸了，后台卡得一笔，高防CDN那边显示是‘已防护’，可我这业务还是半瘫。钱没少花，可攻击到底从哪来的？我总不能一直蒙在鼓里吧？”

这话我听着太耳熟了。很多老板觉得，上了高防CDN，就像给网站穿了件金钟罩，可以高枕无忧了。但说句大实话，高防CDN很多时候像个“黑盒”——它告诉你“攻击已拦截”，却未必告诉你，是谁、用什么方式、从哪儿来的。真遇到持续攻击，你心里能不慌吗？

今天，咱不聊那些空泛的“防护优势”，就掰开揉碎了讲一件事：怎么从你那看似枯燥的高防CDN日志里，把攻击者的“老底”给挖出来，特别是定位到源IP，甚至看出它是不是某个僵尸网络（Botnet）的“肉鸡”。

一、日志不是“天书”，是你的“战场情报”

首先得破除一个迷信：高防CDN的日志，不是给技术大神专供的天书。它其实就是一份详细的访客登记表，只不过里面混进了不少“不速之客”。

常见的WAF防护日志、CC攻击日志、访问日志里，关键字段就那几个：

• Client IP：这个最重要，但也最“假”。它显示的是高防CDN节点的IP，不是攻击者真实的IP。直接拿这个去封，等于封了CDN自己，那可就真断网了。
• X-Forwarded-For (XFF)：真正的“宝藏”字段。它记录了HTTP请求链路上的原始客户端IP。但注意，这个值可以被伪造，所以需要结合其他逻辑判断。
• User-Agent：攻击者的“自报家门”。批量攻击的UA往往高度一致，或者干脆是乱码、空值。
• Request URL & Method：攻击在打哪个页面？是用GET疯狂刷接口，还是用POST尝试注入？
• Status Code：返回状态。大量404？可能是在扫描目录。大量499/502？可能是CC攻击把源站打挂了。
• QPS/带宽：看趋势。突然的、持续的高峰，是攻击最直观的表现。

说白了，看日志第一步，不是一头扎进数据海，而是先问：攻击大概是什么样？ 是带宽塞满了，还是连接数耗尽了？这决定了你该重点看哪种日志。

二、三步揪出“真身”：从海量日志到具体IP

假设你现在已经确定遭到了CC攻击，后台慢得跟幻灯片似的。怎么从日志里把“真凶”IP找出来？

第一步：锁定时间范围，找到“异常” 去高防CDN控制台，找到流量或QPS监控图，定位到攻击开始陡增的那个时间点。把前后半小时到一小时的日志下载下来。别贪多，先处理这个时间段的。

第二步：别信“Client IP”，盯死“X-Forwarded-For” 用文本工具（像Notepad++）或者简单的脚本（Python几行代码就行）过滤日志。重点分析 X-Forwarded-For 字段。如果这个字段里有多个IP，通常第一个IP就是最原始的客户端IP（当然，要警惕伪造）。

你可以写个命令，快速统计这个时间段内，每个XFF IP的请求频率。比如： cat attack.log | grep -oE '[0-9]{1,3}(\\.[0-9]{1,3}){3}' | sort | uniq -c | sort -nr | head -20

这个命令能帮你列出请求次数最多的前20个IP。排在前面的那些，频率高得离谱的（比如普通用户每秒几次，它每秒几百上千次），嫌疑就非常大。

第三步：交叉验证，排除“误伤” 光频率高不行，还得看行为。把排名前几的嫌疑IP单独拎出来，去日志里搜它们的所有请求记录，看看：

1. 请求的URL是否高度相似或规律？ 比如都在疯狂请求 /api/login、/wp-admin.php 这种特定页面。
2. User-Agent是不是很“怪”？ 全是同一个冷门浏览器版本，或者一堆乱码。
3. 来源是否集中？ 如果这几十个高频IP，都来自同一个AS号（比如某个特定的IDC机房），那……你懂的。

这里插一句私货： 很多中小企业的运维，到这一步就停了，把高频IP往防火墙里一拉黑了事。这能缓解，但治标不治本。攻击者换个IP段，明天还能再来。你得往深了看。

三、进阶：从IP到僵尸网络，看穿“组织特征”

单个IP是“卒”，背后的僵尸网络才是“将”。怎么判断这些IP是不是有组织的“僵尸”？

1. 看IP的“出身”与“行为画像” 把嫌疑IP丢到IP情报数据库（网上有一些免费的，像AbuseIPDB）或者用whois查一下。

• 是不是数据中心IP？ 大量攻击IP来自亚马逊AWS、谷歌云、阿里云等知名云服务商的特定区域。这未必是云商的问题，而是攻击者控制了云上的虚拟机（“黑产云主机”）或通过漏洞劫持了资源。
• 是不是代理或Tor出口节点？ 这类IP本身匿名性高，是攻击者的最爱。
• “年龄”很新？ 刚注册不久就用来攻击，很可能是临时购买的“秒拨IP”或“飞行器IP”。

2. 看攻击的“节奏感”与“协同性” 人工攻击是散兵游勇，僵尸网络是集团军作战。在日志里你可以发现：

• 脉冲式攻击： 每间隔固定时间（如5分钟）就来一波高峰，像心跳一样规律。这是攻击工具在定时任务。
• 低速率、分布式攻击： 每个IP的请求频率都不算特别高（刚好低于你单IP的防护阈值），但成千上万个这样的IP同时来，总量就可怕了。这种最难防，也最具僵尸网络特征。
• 协议与载荷特征： 比如，所有可疑请求都带着相同的畸形HTTP头（如 X-Requested-With: XMLHttpRequest 但明显不是正常Ajax），或者POST数据里都有相同的测试Payload片段。

3. 一个接地气的比喻 这就好比小区门口突然来了一大群人，每人只拿一张小广告，见门就塞。保安（单IP限速）看每个人动作都不快，没理由拦。但人太多了，把大门堵得水泄不通，正常业主（真实用户）反而进不去了。这群人穿着不同衣服（不同UA），但仔细看，走路姿势、发广告的动作都一个模子刻出来的（攻击模式一致）——他们肯定是一个团伙雇来的。

四、拿到情报后，你能做什么？

定位到IP甚至推测出僵尸网络特征，不是为了炫技，是为了更精准地反击。

1. 动态黑名单： 别只封那几个IP。把这次分析出的整个可疑IP段（/24甚至/16），以及相关的恶意User-Agent特征，做成规则，同步到你的高防CDN/WAF的自定义防护策略里。下次它们换个马甲再来，第一时间就能识别。
2. 调整防护策略： 如果发现攻击主要是低频分布式CC，那就别只盯着单个IP的QPS了，启用“全局频率控制”，或者针对被攻击的特定URL（如登录口、搜索接口）设置更严格的、基于会话的验证策略（比如滑块验证）。
3. 源头反制（谨慎操作）： 将高度确认的、来自特定IDC或云商的攻击IP段，整理成报告，提交给对应的网络服务商（ISP）或云安全中心。正规厂商对滥用行为有处理流程，可能从源头端掉这些“肉鸡”。
4. 业务侧加固： 如果攻击总是针对某个API，是不是可以考虑给它加个访问令牌（Token）验证？或者对核心业务实现多活容灾，哪怕一个点被暂时打瘫，流量也能切走。

最后，说点实在的

安全防护从来不是“一劳永逸”的开关。高防CDN提供了强大的“盾”，但日志分析是你手里的“雷达”和“显微镜”。别把防护完全外包出去，自己也得有点“看家本领”。

刚开始看日志肯定头疼，但分析过几次真实的攻击后，你甚至会形成一种“直觉”——扫一眼请求模式，大概就能猜到是哪路“神仙”在搞鬼。

保持对日志的敏感，定期做做分析，哪怕只是简单看看Top IP。这不仅能让你在遭受攻击时心里有底、响应更快，更能让你真正理解自己的业务流量，发现那些潜在的风险点。

行了，方法就是这些，剩下的，就得靠你亲自去日志里“捞鱼”了。遇到怪事，多看看，多想想，准没错。