• 作者简介：一名云计算网络运维人员、每天分享网络与运维的技术与干货。 

• 公众号：网络豆云计算学堂

• 座右铭：低头赶路，敬事如仪

• 技术社区：云计算运维学习社区

• 个人主页： 网络豆的主页​​​​​

写在前面

随着互联网的普及，DDoS攻击成为网络安全的重大威胁。DDoS通过发送大量无效请求，耗尽服务器资源，导致服务中断。Nginx作为常用服务器，其日志记录了所有请求信息，是识别DDoS攻击的关键数据源。通过分析Nginx日志特征，如请求频率激增、特定IP集中访问等，可及时发现DDoS攻击，保障服务稳定。本文将探讨如何利用Nginx日志分析来识别DDoS攻击。

基本方法概述：

为了检查Nginx日志中的异常行为，我们可以采取以下基本步骤来识别潜在的DDoS攻击：

1. 分析日志文件：首先，需要获取并仔细分析Nginx的日志文件。这些日志文件详细记录了服务器接收到的所有HTTP请求，是识别异常行为的重要数据源。

2. 计算请求频率：使用文本处理工具（如Awk）对日志进行解析，统计特定时间段内的请求数量。这一步骤有助于了解服务器的请求负载情况。

3. 设置阈值：基于服务器的正常负载情况和历史数据，设定一个合理的请求频率阈值。当实际请求数超过这个阈值时，系统应触发警报，提示可能发生了DDoS攻击。

通过上述方法，我们可以有效地监控Nginx日志中的异常行为，及时发现并应对潜在的DDoS攻击威胁，从而确保网络服务的稳定性和安全性。

使用脚本实现

#!/bin/bash

# 设置日志文件路径和请求数量阈值
LOG_FILE="/var/log/nginx/access.log"
THRESHOLD=1000  # 根据实际情况调整阈值

# 临时文件用于存储攻击IP地址
ATTACK_IPS_FILE="/tmp/attack_ips.txt"

# 清空临时文件（如果存在）
> $ATTACK_IPS_FILE

# 使用awk统计每个IP地址的请求数量，并过滤出超过阈值的IP地址
awk '{print $1}' $LOG_FILE | sort | uniq -c | sort -nr | awk -v thresh=$THRESHOLD '{if ($1 > thresh) print $2}' > $ATTACK_IPS_FILE

# 检查是否有攻击IP地址被检测到
if [ -s $ATTACK_IPS_FILE ]; then
  echo "检测到以下IP地址存在异常流量，准备封禁："
  cat $ATTACK_IPS_FILE
  
  # 读取临时文件中的每个IP地址，并使用iptables封禁
  while IFS= read -r ip; do
    iptables -I INPUT -s $ip -j DROP
    echo "已封禁IP地址：$ip"
  done < $ATTACK_IPS_FILE
  
  # 可选：将攻击IP地址添加到防火墙的永久规则中（针对iptables-persistent或类似工具）
  # iptables-save | grep -E "^-A INPUT -s "$(cat $ATTACK_IPS_FILE | tr '\n' '|') > /dev/null && echo "已添加到永久规则中" || iptables-save | sudo tee /etc/iptables/rules.v4 >> /dev/null
  
else
  echo "未检测到异常流量。"
fi

# 清理临时文件
rm -f $ATTACK_IPS_FILE

# 注意：
# 1. 封禁IP地址可能会导致合法用户无法访问服务，因此请确保你了解这些IP地址的来源和目的。
# 2. 脚本中的iptables规则是临时的，重启服务器后会丢失。如果你希望规则持久化，请使用iptables-persistent或类似的工具。
# 3. 在生产环境中使用此类脚本之前，请先在测试环境中进行充分测试，并确保你有恢复系统的方法。