本文详细记录了发生在2025年7月11日凌晨的服务器攻击事件。攻击者尝试了多种请求，包括访问特定URL和常见文件，以探测服务器的漏洞。攻击IP地址来自中国、美国和荷兰，表明攻击可能具有一定的组织性。攻击者在尝试多种攻击手段后，最终未能成功，但攻击行为持续存在，且有规律性，引起了对攻击来源和目的的疑问。

⏱️ 攻击时间线：攻击主要发生在凌晨3点左右，攻击者尝试了多种请求。

🌍 攻击IP来源：攻击IP地址来自中国江苏省南京市栖霞区、美国得克萨斯州达拉斯和荷兰北荷兰省阿姆斯特丹。

🔍 攻击手法：攻击者首先测试服务器是否存在SSRF漏洞，然后请求常见文件，以判断服务器是否存活。

❓ 攻击目的：攻击者每天重复攻击，且攻击时间有规律，可能并非个人行为，而是来自某个项目或组织。

⚠️ 响应状态：所有请求均返回404错误，表明请求的URL未找到，服务器可能未受到实质性影响，但持续的攻击行为仍值得警惕。

攻击者在 7 月 11 号凌晨 3 点的攻击过程：2025-07-11 03:51:12 GET http://我服务器地址:5000/ 攻击者 IP：121.237.36.31 （中国江苏省南京市栖霞区） 响应：{"code": "400", "error": "请求错误", "message": "404 Not Found: The requested URL was not found on the server. If you entered the URL manually please check your spelling and try again."}

2025-07-11 03:50:56 GET http://我服务器地址:5000/ 攻击者 IP：121.237.36.27 （中国江苏省南京市栖霞区） 响应内容跟第一条相同

2025-07-11 03:50:56 GET http://我服务器地址:5000/ 攻击者 IP：121.237.36.29 （中国江苏省南京市栖霞区） 响应内容跟第一条相同

2025-07-11 03:50:55 GET http://我服务器地址:5000/favicon.ico 攻击者 IP：121.237.36.30 （中国江苏省南京市栖霞区） 响应内容跟第一条相同

2025-07-11 03:41:41 GET http://我服务器地址:5000/.well-known/security.txt 攻击者 IP：148.153.188.246 （美国 得克萨斯州 达拉斯） 响应内容跟第一条相同

2025-07-11 03:41:40 GET http://我服务器地址:5000/robots.txt/ 攻击者 IP：148.153.188.246 （美国 得克萨斯州 达拉斯） 响应内容跟第一条相同

2025-07-11 03:41:25 GET http://我服务器地址:5000/favicon.ico 攻击者 IP：148.153.188.246 （美国 得克萨斯州 达拉斯） 响应内容跟第一条相同

2025-07-11 03:41:10 GET http://我服务器地址:5000/ 攻击者 IP：148.153.188.246 （美国 得克萨斯州 达拉斯） 响应内容跟第一条相同

2025-07-11 03:41:09 GET http://0.0.0.0:5000/ 攻击者 IP：148.153.188.246 （美国 得克萨斯州 达拉斯） 响应内容跟第一条相同

2025-07-11 03:33:31 CONNECT http://api.ipify.org:443/api.ipify.org:443 攻击者 IP：196.251.89.45 （荷兰 北荷兰省 阿姆斯特丹） 响应内容跟第一条相同

2025-07-11 03:32:49 CONNECT http://api.ipify.org:443/api.ipify.org:443 攻击者 IP：196.251.89.45 （荷兰 北荷兰省 阿姆斯特丹） 响应内容跟第一条相同

攻击手法分析：

03:32:49 首先尝试构造异常地址，测试服务器是否存在 SSRF 漏洞03:41:09 一样是伪造请求头的 URL ，测试服务器是否存在 SSRF 漏洞03:41:10 后面开始请求一些常见的文件，来判断服务器是否存活03:50:56 前面发现都请求不通，以为是国外 ip 被封禁，尝试使用国内的 ip 进行探测最后攻击者扬长而去，并且每天都在重复这样的攻击，而且还是美国上班时间

疑问：

各位 V 友，是否熟悉这种攻击手法，是来源某种工具吗？这样的攻击，是不是美国某 x 的项目？并非个人