基于日志分析的黑客攻击分析与防御

分享二个工具
Iptraf：查看带宽点用、各协议请求统计 Iftop：IP级别的带宽流量统计
自动防御应该注意的问题
需要尽可能完善的测试，避免误杀 Cookie攻击防御需要谨慎。
谢谢
查找攻击源
1、通过shell、awk等语法快速对待分析日志所有请求 IP进行按数量排序，找出TOP10。
2、查找可能IP的攻击记录，确认。 3、总结出攻击源特征
基于Nginx的防御
通过Nginx配置文件，对攻击特征进行重定向、拦截 等操作。
Server区域: location ~* ^.+\.(asp|aspx|jsp|mdb) { return 403; }
http区域： deny 75.73.214.237;
Leabharlann Baidu
防DDOS
防CC：通过日志某段时间的统计得到攻击源IP， iptables进行防护
防SYN Flooad：通过 ss命令得到SYN协议的IP，统计， 将明显过大的IP屏蔽
iptables -I INPUT -s 124.115.0.199 -j DROP

通过日志定位攻击源
通过shell命令，快速从庞大的Nginx日志文件中找到 异常请求，并形成规则。
攻击源有哪些特征
一定时间内频繁请求网站，请求频繁明显高于正常访 问者
含有攻击特征的请求 发送非正常的响应头，如Referer、User-agent 请求完全不可能的URL 发送特定协议的请求连接，如SYN、UDP
知道创宇 西盟 @lszmker
简介
在加速乐免费CDN产品运营过程中，我们遇到了无数 次的各种类型的攻击。

经过总结，个人将一些比较实用的方法移植到了
Nginx中，实现一定程度的黑客攻击防御。
本议题主要分享以下内容：
1. 通过日志分析快速定位攻击源 2. 结合Nginx实现防御爬虫、Sql注入、XSS等攻击 3. 如何确定网站是否正在受到DDOS攻击 4. 快速查找并防御SYN Flood、CC等DDOS攻击 5. 如何找到拖慢网站运行速度的恶意IP