当网站遭受大量攻击时，通过封禁IP的方式是很难凑效的，此时，我们就需要对访客的信息进行分析，一般而言，此类攻击都是使用软件操作的，通过伪装UA标识来骗过防火墙等安全软件来进行攻击的，UA标识，即User-Agent，每个浏览器及设备都有自己独特的UA标识，但是只要我们细心就一定能找出其独特的地方。

一、找出特殊的User-Agent标识

继续说上次帮客户分析网站日志异常的问题，通过分析网站日志，虽然我们发现IP多半比较杂乱，但是大部分都是同一个User-Agent标识头，如下：

Mozilla/5.0 (Linux; Android 5.0; SM-G900P Build/LRX21T) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Mobile Safari/537.36

正常的火狐浏览器的UA标识为：

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0 ) ) 

正常的谷歌浏览器的UA标识为：

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.0.0 Safari/537.36

乍眼一看，似乎这个攻击的UA标识也没什么大问题，但仔细看就会发现，其包含了一个我们不认识的字段：“SM-G900P Build/LRX21T”，因此，可以使用该特殊地方进行过滤封禁。

二、封禁具有特殊User-Agent标识的访问

客户使用的服务器管理面板为宝塔面板，当然也有很多其他的服务器管理面板，基本都有各自的防火墙功能，这里以宝塔为例进行说明：

进入宝塔面板，找到Nginx防火墙插件（没有的需要安装），点击全局配置，找到UA黑名单：

点击设置，将我们找到的特殊的UA标识填入即可：

通过以上设置，基本可以过滤掉大部分的恶意攻击，通过查看网站日志，我们会发现，相关的恶意访问已经不存在了。这里需要说明的是，这里的日志为我们的网站目录下自己配置生成的日志文件，服务器日志依旧会记录恶意攻击的信息，这属于正常情况。