我最近遇到了DDoS攻击。 如何从那个时间窗口分析nginx webserver日志来检测它是什么样的DDoS? 我正在使用Microsoft Azure基础结构(以防万一)。
我知道可以使用Loggly等日志分析工具。 但我不能上传日志文件来分析它们 – 我需要将服务连接到我的实时服务器,它给了我一个分析仪表板使用。
那么,只有其中一种types会出现在你的Nginx日志中。
首先,如果这是一个真正的DDoS,那么您可能无能为力。 一旦stream量达到您的服务器,即使它在防火墙被阻止或在您的networking服务器中受到阻塞,stream量已经占用了您的networking带宽,您无能为力。 因此,需要在服务器的路由设备上“阻塞”上游。
要回答你的问题(从你的评论),你的networking服务器是一个“应用程序”,运行在OSI第7层。它logginghttp级别的东西,但对下面的networking层一无所知。在DDoStypes的列表中,所有的除了“应用程序级别的攻击”以外的其他地方,您的networking堆栈层次比nginx要低,所以您需要在其他地方查看有关这些攻击types的信息。
除非您之前在攻击之前configuration了这些日志,否则很可能您的服务器上没有任何日志会告诉您攻击的本质。 现在,您可以做的最好的事情就是准备下一次发生这种情况,确保您在工具箱中拥有正确的工具,并且您的networking提供商已经做好准备,可以减轻这种负担。