宝塔面板网站监控报表能够快速定位到恶意攻击IP,包括 CC、恶意访问的 IP,这类问题对于广大站长来说是个挺头疼的事儿。没流量的时候到处发外链,有流量了又掺杂了不少不怀好意的恶意访问。如果你使用了网站监控报表这个插件,就可以借助这个功能快速定位到恶意攻击IP,然后采取屏蔽措施处理掉。
文章目录
隐藏
1、网站监控报表介绍
3、网站访问量知识
4、恶意攻击IP知识
5、网站监控报表概览
6、网站监控报表IP统计
7、网站监控报表网站日志
8、网站监控报表错误日志
9、拉黑恶意IP或 IP段
10、魏艾斯总结
1、网站监控报表介绍
宝塔面板的网站监控报表功能,是实时读取网站日志并加以汇总分析,从多个维度给宝塔用户提供了精确统计的网站流量、ip、uv、pv、请求、蜘蛛等数据,为站长、运维人员提供有价值的高质量数据。以可视化图形呈现出来,对于网站安全、运维、网站SEO都有极高的参考价值。
在宝塔面板推出网站监控报表之前,网络上相关的软件以本地电脑使用的居多,而且都需要你手动下载网站日志,然后在本地电脑上分析,分析项目也没有宝塔的网站监控报表这么多和细致。
2、购买网站监控报表插件
使用宝塔面板但没有安装网站监控报表的站长去安装一个,这是付费插件,宝塔专业版和宝塔企业版均可以免费使用,且没区别。
如果你不是宝塔专业、宝塔企业版用户,只想使用这一款插件,那么也可以单独购买,一个月不到20元。
系统观察屋建议:宝塔面板适合新手、小白建站,支持Linux、Windows系统,点击直达宝塔官网注册账号并免费领取¥3188元专业版大礼包(专业版永久授权仅需1188元),新用户可享受0.99元体验7天专业版。
宝塔面板建议选择阿里云、腾讯云服务器
更多内容请看宝塔面板专题
点击查看网易云课堂《宝塔Linux面板新手入门教程》
3、网站访问量知识
今天系统观察屋侧重讲解如何利用网站监控报表抓恶意IP的操作步骤。
首先我们基于一个概念,你对自己的网站每天访问量是有数的。大家都会使用网站统计,比如百度统计、Cnzz统计、谷歌统计等。
通过上述网站统计,你了解了自己的网站每天大约能有多少访问量,比如每天 5000多PV,上下浮动1000PV,大差不差,不会有太大的波动。节假日期间会有较大浮动也都在正常范围内。
而每天大概什么时间段访问量多一些,什么时间段访问量少一些,经常查看网站统计的站长,心里也是有数的。比如白天上班时间访问数量多,晚上23:00到第二天凌晨 6:00访问量会少很多,这是大部分网站的访问规律。
基于以上前提,我们再来查看网站监控报表。
4、恶意攻击IP知识
恶意IP的访问一般是通过软件、爬虫发出的请求,和我们正常访问不同,不会被计入统计数量中,所以你在百度统计的报表中是看不出来恶意访问PV数量的,但是从网站日志中就能看到,网站监控报表就很好的把这些抽像的数值可视化了。
5、网站监控报表概览
以下图为例,我们从网站监控报表的【概览】看到从早上5点左右开始访问量直线暴涨,在7点~8点之间达到峰值。按理说早上这个时间点不应该有这么大的访问量,说明这里面就有问题了。
6、网站监控报表IP统计
我们要想分析和确定问题出在哪里,就要借助网站监控报表的【IP统计】功能。这样查找速度是最快的。
既然访问量大,必然是某些IP 频繁访问网站导致的,那么我们就看看今日 IP访问量排名。
如下图所示,我们需要通过经验排除掉自己的IP、谷歌蜘蛛、必应蜘蛛等常规允许访问的IP,最后剩下 130.255.162.157 这个瑞典IP,访问量达到了 1667次,远远超过了必应和谷歌蜘蛛,太异常了,并且这个网站也不做国外,根本不需要国外的访问。
系统观察屋和网站监控报表的开发者提了意见,建议增加每小时 IP 请求数和流量排行,这样可以更加细化 IP统计数值,给站长提供更有价值的细致参考。
7、网站监控报表网站日志
要想进一步确定事情,当然是直接查看网站监控报表的【网站日志】了。
我们进入网站日志选项卡,定位到访问量峰值的时间段:早上 6:00~7:00之间达到访问量峰值。那么我们就找到这个时间段中的多个页面,查看是不是上面提到的那个IP频繁访问,也许还有别的 IP也未可知。
以下图为例查看 130.255.162.157 这个IP的访问时间,间隔距离大约在 5~8秒之间,以7秒间隔居多,而且访问了不同 URL,状态都是 200 (成功访问页面)。
为了证实这一点,我们多翻看几页,经过查看前后10多页的结果,说明只有这个 IP 以上述频率不停访问,造成了在本该很少访问量的时间段出现异常访问的情况。
8、网站监控报表错误日志
通过查询今日、昨日、近7天、近30天的错误日志,也能够帮助快速找到并定位恶意 IP,特别是频繁访问的恶意IP。
9、拉黑恶意IP或 IP段
对方限制访问频率在 7秒左右,是经过多次试探性攻击了解到:频率过大会被防火墙拉黑,而频率过低又起不到作用,最后选择了这种间隔时间。
总之这是恶意IP做 CC攻击造成的访问量异常,再次查找没有其他恶意IP了,直接把这个IP加入到宝塔面板付费防火墙的 IP黑名单中,同时加入到服务器安全组的拒绝名单中,就解决了。
这时候在宝塔付费防火墙中显示的这个恶意IP访问就显示设定好的错误反馈了,对你服务器再也造不成威胁。
提示:有的攻击者会变化 IP段来增加攻击效果。比如 130.255.162.157被封了,就换 130.255.162.26 继续攻击,经常性的更换 IP尾数或者 第三位 IP段,来实现更好的攻击效果。这时要屏蔽掉整个IP段,比如拉黑 130.255.162.1~130.255.162. 254。
10、魏艾斯总结
以上就是使用宝塔面板网站监控报表插件,日常抓获、分析、处理恶意IP的全过程分享。
使用的插件及功能:
网站监控报表的【概览】、【IP统计】、【网站日志】宝塔付费防火墙的 IP 拉黑功能,宝塔免费防火墙不行。云服务器安全组的参数模板如果你不使用网站监控报表的话,直接用软件分析网站日志,是很难如此快速分析、判断、决策、操作的。
国产也有安全狗、悬镜等类似的安全软件也可以实现类似效果,但问题如下:
价格不菲,非普通网站能承受宝塔面板集成网站监控报表,集成度高就很方便了(无需在不同软件之间切换)。其他第三方安全软件的使用体验远不如网站监控报表直观另外系统观察屋有个想法:如果确认某个恶意IP了,能否直接在网站监控报表中就给拉黑(前提是已经安装了宝塔付费防火墙)?
大家对这方面使用中有疑问的话,可以来咨询系统观察屋。
暂无评论内容