Skip to content Gå til innhold

How to determine which IP addresses are hitting your web site the most Hvordan finne ut hvilke IP-adresser er å treffe ditt nettsted mest

Sikkerhet

This is a brief one. Dette er en kort en. Thanks to Takk til The How-To Geek The How-To Geek for bringing this command into my troubleshooting repertoire. for å bringe denne kommandoen til min feilsøking repertoar.

A bit of background first. Litt bakgrunn først. This command is helpful to determine who is causing the most hits to your web site. Denne kommandoen er nyttig for å avgjøre hvem som er årsak til mest treff på ditt nettsted. On my music blog, I post a fair number of (totally legal) MP3s. På min musikk blogg, skriver jeg en god del (helt lovlig) MP3. Some less than ethical people often use those MP3s to stream via their site, causing mine to be slower (and a larger bandwidth bill). Noen mindre enn etisk folk ofte bruker de MP3s å streame via deres nettsted, noe mine til å være langsommere (og større båndbredde regning). By figuring out the IP address of the site/person “stealing” my bandwidth I can then block their IP from accessing any of my content. Ved å finne ut IP-adressen til nettstedet / person "stjele" min båndbredde jeg kan da blokkere IP fra å få tilgang noe av innholdet mitt.

Note: you'll need shell access to your web server log files Merk: du må shell tilgang til webserveren loggfiler

  1. SSH (or telnet) to your web host. SSH (eller telnet) til web host. Switch to the directory that stores your web server log files. Bytt til katalogen som lagrer webserveren loggfiler.
  2. Run this command: Kjør denne kommandoen:

    tail -100000 access.log | awk '{print $1}' | sort | uniq -c |sort -n hale -100000 access.log | awk '(print $ 1)' | sort | uniq-c | sort-n

    where 100000 is the number of lines (starting from the end of the log file) you want to search, and access.log is the name of your web server access log. der 100000 er antall linjer (fra slutten av loggfilen) du vil søke, og access.log er navnet på webserveren tilgang logg.

    3. terminal med halen awk uniq sortere resultatene

  3. The result will be a (probably) fairly long list of IPs, sorted by fewest hits to most. Resultatet vil være en (sannsynligvis) ganske lang liste over IP, sortert etter færrest treff på de fleste. The first value in each row is the number of times the IP address (the second number) accessed your site (in the number of lines of the log file you specified). Den første verdien i hver rad er antall ganger IP-adressen (det andre tallet) tilgang til nettstedet ditt (i antall linjer med loggfilen du angitt).

    Use the host command to determine the fully qualified domain name of any IP address that shows up (you'll probably want to know who the ones that hit your site the most are). Bruk host kommandoen til å fastslå det fullstendige domenenavnet til IP-adressene som dukker opp (du vil sannsynligvis ønske å vite hvem de som rammet området de er). In the screenshot example below, two of the IPs that hit simplehelp.net the most were Googlebot and the Yahoo Site Crawler. I skjermbildet eksempelet nedenfor, to av IP som rammet simplehelp.net mest var Googlebot og Yahoo Site Crawler.

    4. terminal med halen awk uniq sortere

  4. If there's an IP/domain that looks suspicious, you can check to see which files they were hitting by using the command: Dersom det er en IP / domene som virker mistenkelig, kan du sjekke hvilke filer de treffer ved hjelp av kommandoen:

    tail -1000 access.log | grep xx.xx.xx.xx hale -1000 access.log | grep xx.xx.xx.xx

    In that command, 1000 is the number of lines to check, access.log is the name of your web server access log, and xx.xx.xx.xx is the IP you want to sort by. I denne kommandoen er 1000 hvor mange linjer for å sjekke, access.log er navnet på webserveren din tilgang til loggen, og xx.xx.xx.xx er IP du vil sortere etter. I'd suggest using a smaller number (1000 vs. 100000 as used in the first command) as you probably don't need/want to see every file they accessed. Jeg foreslår at du bruker et mindre antall (1000 g. 100000 som er brukt i den første kommandoen) som du sannsynligvis ikke trenger / ønsker å se hver eneste fil de åpnes. If you do, increase the 1000 number. Hvis du gjør det, øker antallet 1000. Or, if not very many results show up, that means that they were hitting your site “earlier”, and you'll want to increase 1000 to a higher number. Eller, om ikke veldig mange resultater viser seg, som betyr at de treffer området "tidligere", og du vil øke 1000 til et høyere antall.

Posted in Posted in Security Sikkerhet . .

No comments Ingen kommentarer

By Ved Ross McKillop Ross McKillop October 7, 2008 - 7 oktober 2008

Get Simple Help tutorials just like this one in your email inbox every day - for free! Få Enkelt Hjelp opplæring akkurat som dette i innboksen hver dag - helt gratis! Just enter your email address below: Bare skriv inn din e-postadresse nedenfor:

You can always opt out of this email subscription at any time. Du kan alltid velge bort denne e-abonnementet når som helst.

Related Posts: Relaterte innlegg:

Why you get email that isn't addressed to you Hvorfor du får e-post som ikke er adressert til deg
How to use vMailias to generate unique email addresses for easy sorting and filtering Slik bruker vMailias å generere unike e-postadresser for enkel sortering og filtrering
How to secure your wireless home network Hvordan sikre ditt trådløse hjemmenettverk
Some useful Linux bash tricks Noen nyttige Linux bash triks
How to determine the number of times your site has been bookmarked on del.icou.us Slik finner du mange ganger nettstedet er blitt bokmerke på del.icou.us

3 Responses 3 Svar

Stay in touch with the conversation, subscribe to the Hold kontakten med samtalen, abonnere på RSS feed for comments on this post RSS feed for kommentarer til dette innlegget . .

  1. Tony Tony says sier

    The problem is that if someone hotlinks your mp3s (or images, or any other media), then it's still the IPs of their users that will show up in your logs, not the offending webserver. Problemet er at hvis noen Hotlinks din MP3 (eller bilder eller andre medier), så det er fortsatt IPS av deres brukere som vil dukke opp i loggene dine, ikke fornærmende webserver. That is to say, it will likely be a fairly even distribution of users and indistinguishable from that of your legitimate visitors (unless someone is just continuously refreshing your media content). Det vil si, vil det sannsynligvis bli en relativt jevn fordeling av brukere og skille oss ut fra ditt lovlige besøkende (med mindre noen er bare kontinuerlig oppdaterer ditt medieinnhold).

    What you want to be doing is checking for the referrer information to your media files (naturally excluding your own domain from the list). Hva du vil gjøre er å sjekke for henvisningsinformasjon til dine mediefiler (selvsagt unntatt ditt eget domene fra listen).

    October 7, 2008, 7 oktober 2008, 2:58 pm 2:58
  2. Ross Ross says sier

    Tony - Tony --

    Under normal circumstances yes, you're absolutely right. Under normale omstendigheter ja, har du helt rett. In my specific case, the site was loading the files via a flash player that they hosted, and all the requests came from the sites flash player. I mitt konkrete tilfelle, var stedet lasting av filer via en Flash-spiller at de vert, og alle forespørslene kom fra områder Flash Player. Adding the IP to my .htaccess in turn stopped the flash player from loading the songs for anyone/everyone who tried to play them from the *explatives* site. Legge til IP til min. Htaccess igjen stoppet Flash Player for å laste inn sanger for noen / alle som prøvde å spille dem fra * explatives * nettstedet.

    October 7, 2008, 7 oktober 2008, 3:05 pm 3:05
  3. miiimooo says miiimooo sier

    لم افهم شي لم افهم شي

    November 1, 2008, 1 november 2008, 1:27 pm 1:27



Some HTML is OK Some HTML is OK

or, reply to this post via eller svare på dette innlegget via trackback styrekule . .