爬虫扫描行为区分是防御自动化攻击的基础。合法爬虫（如搜索引擎）通常遵循robots.txt规则，请求频率稳定，User-Agent标识明确且可验证。恶意扫描则常伪装随机UA、高频请求、遍历敏感路径（如/admin、/.env），并跳过robots.txt限制。区分规则可从三方面构建：行为分析（请求间隔、并发数、资源类型比例）、特征识别（常见漏洞路径、异常参数、非标准HTTP头）、以及IP信誉库（已知代理或云节点）。实际防御中，建议采用渐进式挑战：对低频且合规UA的请求放行；对可疑请求添加JS验证或限速；对明显恶意特征（如单IP每秒50次以上请求）直接拦截。日志分析应重点关注404比例、POST到静态文件、以及凌晨时段的突发流量。注意区分“扫描”与“正常访问”——API接口的合理高频调用、CDN预热等需设白名单。规则需定期更新，因为攻击者会模仿合法爬虫行为模式。_黑客正在跟踪你的手机是真的假的怎么办