如何通过Debian Apache日志排查DDoS攻击

Debian Apache日志排查DDoS攻击的实用流程

一 快速确认是否异常

• 查看访问量是否突增：统计访问量最大的前20个来源 IP，观察是否存在远超正常的“头部来源”。命令示例：awk ‘{ print $1} ’ /var/log/apache2/access.log | sort | uniq -c | sort -nr | head -20。若短时间内出现单个 IP 或少量 IP 的请求量远超常态，需高度警惕。
• 实时观察新请求：tail -f /var/log/apache2/access.log，配合 grep 过滤特定资源或状态码，快速判断是否有集中刷某页面或某接口的行为。
• 检查错误日志异常：grep “File does not exist” /var/log/apache2/error.log* | sort -k1n | uniq -d -c | awk ‘$2 > 50 { print $1} ’，找出对不存在资源请求次数异常高的 IP（示例阈值为50次，可按业务调整）。
• 网络层交叉验证：用 netstat -an | awk ‘{ print $5} ’ | cut -d: -f1 | sort | uniq -c | sort -nr 查看每个远端 IP 的连接数；用 iftop -n 观察带宽是否突发峰值。网络层与日志层同时异常，基本可判定为攻击在进行中。

二 定位攻击类型与可疑来源

• 按时间窗口聚合请求速率：awk ‘{ print $4} ’ access.log | cut -d: -f2-4 | uniq -c | sort -nr | head，识别每秒请求量是否异常飙升（秒级视图能更快发现“刷流”）。
• 聚焦被高频访问的“目标”：awk ‘{ print $7} ’ /var/log/apache2/access.log | sort | uniq -c | sort -nr | head -20，定位被集中请求的路径（如登录口、接口、静态资源等），判断是否典型的CC攻击或爬虫刷站。
• 识别恶意扫描与探测：在访问日志中检索常见攻击特征字符串，如union select（SQL 注入）、/etc/passwd（LFI）、b374k.php（WebShell）等，快速发现自动化扫描或已上传后门迹象。
• 错误日志中的“密集404”：对不存在资源的密集请求常伴随扫描与撞库，结合前述 error.log 统计可快速筛出可疑来源。
• 辅助工具：使用GoAccess生成可视化报表（HTML/JSON/CSV），或用Scalp配合 PHPIDS 规则对 access.log 进行攻击特征匹配，提升分析效率。

三 日志侧应急处置

• 临时封禁恶意来源：对确认的恶意 IP 使用 iptables 丢弃其访问（示例：iptables -A INPUT -s < attacker_ip> -j DROP）。注意仅封禁攻击源，避免误封 CDN/网关网段。
• 降低单源压力：启用速率限制（如 Apache 的 mod_evasive 或 mod_qos），对单 IP/单资源的并发与速率进行限制，缓解CC攻击与刷流。
• 加固应用层：部署WAF（如 ModSecurity），开启常见攻击规则集，拦截 SQLi、XSS、LFI 等常见向量，减少日志噪声与后端压力。
• 快速止血：若攻击集中在少数 URL，可临时关闭或重命名入口（如后台登录、调试接口），并配合 CDN/反代侧的IP/UA 黑名单与速率策略，先恢复业务可用性。

四 持续监测与加固

• 日志轮转与保留：使用logrotate对 Apache 日志进行按日/按大小轮转与压缩归档，避免日志过大影响分析与取证。
• 指标与告警：持续关注请求数、响应时间、错误率等关键指标，结合 GoAccess 周报或自建脚本对“Top IP/Top URL/错误率突增”设置阈值告警。
• 架构侧防护：引入CDN/反向代理吸收与清洗大流量，隐藏源站；对静态资源充分缓存，减少源站压力。
• 安全运维：保持Apache 与相关模块及时更新，定期审计日志中的可疑活动（暴力破解、敏感路径探测等），形成闭环处置与复盘。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！