Log-Files
分析 nginx 網路伺服器日誌以檢測 DDOS 攻擊
我最近經歷了一次 DDoS 攻擊。如何從該時間視窗分析 nginx 網路伺服器日誌以檢測它是哪種DDoS?我正在使用 Microsoft Azure 基礎架構(以防萬一)。
我了解可以使用Loggly等日誌分析工具。但我無法將日誌文件上傳到其中以分析它們 - 我需要將服務連接到我的實時伺服器,它為我提供了一個分析儀表板以供使用。
好吧,只有其中一種類型會出現在您的 Nginx 日誌中。
首先,如果它是一個真正的 DDoS,那麼您可能對此無能為力。一旦流量到達您的伺服器,即使它被防火牆阻止或在您的網路伺服器中受到限制,流量已經在消耗您的網路頻寬,您對此無能為力。因此,它需要在為您的伺服器服務的路由設備中被阻止“上游”。
要回答您的問題(根據您的評論),您的網路伺服器是一個“應用程序”,在 OSI 第 7 層執行。它記錄 http 級別的內容,但對第 7 層以下的網路層一無所知。在您的 DDoS 類型列表中,所有除了“應用程序級別的攻擊”之外,其他攻擊發生在您的網路堆棧的較低級別,而不是 nginx,因此您需要在其他地方查找有關這些類型攻擊的資訊。
您的伺服器上可能沒有日誌可以為您提供任何有關攻擊性質的指示,除非您之前在攻擊之前配置了此類日誌。現在,您能做的最好的事情就是為下一次發生做好準備,以確保您的工具箱中有正確的工具,並且您的網路提供商已準備好從他們的角度進行緩解。