如何用nginx日志排查DDoS攻击

通过Nginx日志排查DDoS攻击是一个系统性的过程，涉及多个步骤和工具。以下是一个详细的指南，帮助你有效地识别和应对DDoS攻击：

准备工作

• 安装Nginx：确保服务器上已安装Nginx。
• 了解基本网络知识：熟悉TCP/IP协议、防火墙等基础知识。

理解DDoS攻击原理

• 攻击类型：SYN Flood、UDP Flood、ICMP Flood、HTTP Flood。
• 防御策略：限流、过滤、分散负载。

配置Nginx进行限流

• 配置HTTP限流：在Nginx配置文件中添加限流指令。

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    server {
        listen 80;
        server_name example.com;
        location / {
            limit_req zone=one burst=5 nodelay;
            # 其他配置...
        }
    }
}

• 测试限流配置：使用ab（Apache Benchmark）工具模拟并发请求测试限流效果。

设置IP黑名单

• 配置IP黑名单：在Nginx配置文件中添加黑名单指令。

server {
    listen 80;
    server_name example.com;
    location / {
        if ($remote_addr ~* (192\.168\.1\.|10\.0\.0\.) ) {
            return 403;
        }
        # 其他配置...
    }
}

• 动态更新黑名单：结合外部脚本或工具，根据日志分析结果动态更新黑名单。

使用GeoIP模块过滤流量

• 安装GeoIP模块：安装GeoIP数据库并配置GeoIP过滤。

http {
    geoip_country GeoIP.dat;
    server {
        listen 80;
        server_name example.com;
        location / {
            # GeoIP过滤指令...
        }
    }
}

分析Nginx日志

• 监控访问量：检查异常高的访问量和访问频率。
• 分析日志格式：确保日志格式包含必要的字段，如IP地址、请求时间、HTTP状态码、请求方法、URL等。
• 使用日志分析工具：ELK Stack（Elasticsearch, Logstash, Kibana）、Splunk、GoAccess等。
• 查找异常IP地址：使用awk或cut命令提取IP地址，并统计每个IP的请求次数。
• 检查请求模式：分析请求的URL和方法，查找重复的模式或异常的请求类型。
• 监控HTTP状态码：统计不同状态码的数量，特别是4xx和5xx错误码。
• 设置阈值警报：根据历史数据设置合理的请求阈值，触发警报。
• 使用防火墙和安全组：配置防火墙规则，限制单个IP地址的请求速率。

示例脚本

以下是一个简单的Bash脚本示例，用于统计每个IP地址的请求次数并找出异常高的IP：

#!/bin/bash
LOG_FILE="/var/log/nginx/access.log"
THRESHOLD=1000

awk '{print $1}' $LOG_FILE | sort | uniq -c | sort -nr | while read count ip; do
    if [ "$count" -gt "$THRESHOLD" ]; then
        echo "Possible DDoS attack detected from IP: $ip with $count requests"
    fi
done

防护措施

• 限流和过滤：通过Nginx配置限制请求速率和过滤恶意IP地址。
• 使用专业防护服务：考虑使用专业的DDoS防护服务，如Cloudflare、Akamai等。

通过以上步骤，你可以有效地从Nginx日志中发现潜在的DDoS攻击，并采取相应的防护措施，确保网络服务的稳定性和安全性。