如何通过Nginx日志实时封禁风险IP

最新推荐文章于 2024-06-21 14:41:04 发布
最新推荐文章于 2024-06-21 14:41:04 发布
阅读量614 收藏 1
点赞数
分类专栏: 技术文 文章标签: 数据库 大数据 java python mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49051691/article/details/107619836
版权

前言

本文分享了自动化采集、分析Nginx日志并实时封禁风险IP的方案及实践.

阅读这篇文章你能收获到:

  • 日志采集方案.
  • 风险IP评估的简单方案.
  • IP封禁策略及方案.

阅读本文你需要:

  • 熟悉编程.

  • 熟悉常用Linux命令

  • 了解Docker.

背景

分析nginx访问日志时, 看到大量404的无效请求, URL都是随机的一些敏感词. 而且近期这些请求越来越频繁, 手动批量封禁了一些IP后, 很快就有新的IP进来.

因此萌生了通过自动化分析Nginx日志实时封禁IP的想法.
在这里插入图片描述

需求

在这里插入图片描述

分析

在这里插入图片描述

从日志中简单总结几个特征:

备注: 这里分析IP是通过ip2location的免费版数据库, 后面会有详细的描述.

方案

sequenceDiagram
    participant Nginx
    participant Filebeat
    participant Redis
    participant Monitor
    participant Actuator
    Nginx ->> Filebeat: accessLog(File)
    Filebeat ->> Redis: accessLog(JSON)
    loop Always
    Redis ->> Monitor: accessLog(JSON)
    activate Monitor
    Monitor ->> Monitor: Analysis
    Monitor ->> Monitor: Risk assessment
    Monitor ->> Actuator: Banned
    Monitor ->> Monitor: Storing
    end
    deactivate Monitor

日志采集

来源: 笔者的网站通过docker部署, Nginx作为唯一入口, 记录了全部访问日志.

采集: 由于资源有限, 笔者选择了一款轻量的日志采集工具Filebeat, 收集Nginx日志并写入Redis.

风险评估

Monitor服务根据URL、IP、历史评分等进行风险评估, 计算出最终的危险系数.

IP封禁

Monitor发现危险IP后(危险系数超过阈值), 调用Actuator进行IP封禁, 封禁时长根据危险系数计算得出.

实施

日志采集

Filebeat的用法很简单, 笔者通过swarm进行部署, 其部署文件如下(为防止代码过长, 此处略去了其他服务):

version: '3.5'
services
最低0.47元/天 解锁文章
程序员麦冬
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx如何封禁IPIP段的实现
09-29
主要介绍了Nginx如何封禁IPIP段的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
nginx配置自动ip
qq_32394351的博客
11-25 3168
自己写了个脚本,用于服务器自动抵御异常爬虫程序 #!/bin/bash banip_run(){ nginx_home=/usr/sbin/nginx log_path=/var/log/nginx nginx_etc=/etc/nginx/conf.d maxcn=3000 history=50000 cat /dev/null > $log_path/ban_ip_tmp.txt tail -n$history $log_path/access.log \ |awk '{print $1,$
什么是IP封禁,为什么会有IP封禁
最新发布
KookeeyLena3的博客
06-21 917
IP封禁,也称为IP封锁,是一种网络安全措施,旨在防止未经授权的用户或潜在的恶意攻击者通过特定的IP地址访问网络资源或系统。当某个IP地址被封锁后,与该地址相关的所有数据包都将被网络拦截或丢弃,进而阻止该IP地址的用户访问特定的网络资源或服务。:在某些情况下,如果某个IP地址的用户行为被其他用户举报或投诉,且经核实确实存在问题,服务提供商也可能会对该IP地址进行封禁处理。:大规模的自动化请求,如网页抓取、爬虫程序等,如果超出了服务器的负荷能力或违反了网站的使用条款,也可能导致IP地址被封禁
Nginx自动封禁IP
hcc_lucky的博客
01-11 800
个人网站总被攻击?那就写个自动封禁IP的脚本吧。
Nginx自动封锁拉黑可疑IP
良月柒
04-30 904
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 3 分钟。来自:https://blog.csdn.net/lemon_TT一、Nginx封禁ip1、简介在网站维护过程中,有时候我们需要对一些IP地址或是一些IP段进行封锁拉黑,使其不能访问网站。如果你的网站服务器的网站运行环境是由nginx搭建的,那么nginx中禁止ip的方法可以有效的防止网站被黑。2、nignx 禁止IP...
Nginx拦截、自动封禁 攻击方IP
R1chArd_TvT 的 Blog
04-17 428
AWK统计access.log,记录每分钟访问超过60次的ip,然后配合nginx进行封禁 编写shell脚本,自动禁用违规IP crontab定时跑脚本
Nginx+iptables屏蔽访问Web页面过于频繁的IP(防DDOS,恶意访问,采集器)
09-30
通过分析nginx日志来过滤出访问过于频繁的IP地址,然后添加到nginx的blockip.conf,并重启nginx.
App-Waf:A simple waf application .用来实时探测web 非法访问,统计非法访问的ip ,web状态,访问url,来源web url。结合iptablesnginx可以实现实现实时封禁
05-02
A sample Web Application Firwork using Perl and RE ban for suspicous web access用来实时探测web 非法访问,统计非法访问的ip ,web状态,访问url,来源web url。结合iptables可以实现实现实时封禁。实例说明 见...
Nginx防攻击的调研
01-13
1. **封禁IP地址**:对连接数异常的IP进行封锁,可以通过在`blockip.conf`中添加IP,或使用iptables直接屏蔽。 2. **特征码屏蔽**:根据请求头中的USER-AGENT等特征,拒绝特定的请求。 **问题三:防止DDoS攻击** ...
279个开箱即用的shell脚本(new)2024年新版
05-27
- **日志读取:** 读取指定目录下的Nginx日志文件。 - **数据筛选:** 使用正则表达式提取关键信息(如HTTP状态码、访问频率等)。 - **数据分析:** 统计特定状态码的出现次数,识别异常请求模式。 - **结果输出:** 将...
tengine介绍.pptx
09-18
9. **分布式防攻击系统**:通过TMD模块抵挡应用层DDoS攻击,并进行IP和Cookie封禁。 10. **CDN系统的七层负载均衡**:利用一致性哈希提高缓存命中率,增强QoS。 Tengine的开发与定制方面,支持动态加载模块,使得...
我是如何通过Nginx日志实时封禁风险IP
GitChat
11-17 509
本文分享了自动化采集、分析Nginx日志实时封禁风险IP的方案及实践. 阅读这篇文章你能收获到: 日志采集方案. 风险IP评估的简单方案. IP封禁策略及方案. 阅读本文你需要: 熟悉编程. 熟悉常用Linux命令. 了解Docker. ...
协程大批量爬取是要被封IP的,最优秀的方法就是在被封IP时候立马切换IP
qq_36312112的博客
07-06 1695
一. 多协程爬虫遇到的难点    之前本着一封IP就切换IP的原则做了个协程爬虫。但是操作并发运行的爬虫和单线程的爬虫的难度真的是云泥之别。因为是并发运行的爬虫,用的IP是同一个,被封的时候当然是全部IP一起封了。    而执行操作的时候,又会每个协程换一次,这就会导致IP的浪费和爬虫运行的缓慢。二. 解决方案    并发问题,自然要用到协程间通讯,Event。具体思想就是,当一个协程被封IP了,...
IP被封锁怎么办?常见原因与解决方法全解
Snowing194的博客
01-25 3008
相信很多人遇到过IP禁令:比如你在访问社交媒体、搜索引擎或电子商务网站时会被限制访问,又或者你的的账号莫名被封,这些由于网络上的种种限制我们经常会遭遇IP被封的情况,导致无法使用继续进行网络行动。但实际上有许多网站平台为防止滥用账号会进行限制,不允许同一IP地址下注册多个账号,且在IP关联情况下,如果一个账号出现问题,大概率其他被关联IP的账号也难逃一劫。有了优质的独享代理IP,就可以保证你在任何任务下是纯净的不同的IP,大大减少被追踪禁止的可能。在这种情况下,建议搭配动态住宅轮换代理,更加高效安全。
封禁ip、 解封ip实现源码分享
py编程|爱分享
11-12 1315
服务端: # 解封ip接口 @csrf_exempt def unblock(request): uname=request.session.get("username","") user_exist=bkuser.objects.filter(bkuser_name=uname) admin_exist=bkadmin.objects.filter(bkadmin_name=uname) if user_exist: return redirect("/t...
Nginx配置微服务避免actuator暴露
zy08403的专栏
10-18 1311
微服务一般在扫漏洞的情况下,需要屏蔽actuator健康检查。# 避免actuator暴露。
运维之道 | Nginx配置访问控制
VillianTsang 、运维之道
02-22 643
一、基于IP的访问控制 1、只允许单个IP,其它全部拒绝 location /status { stub_status on; access_log off; allow 127.0.0.1/32; deny all; } 2、只允许单个网段,其它全部拒绝 location /status { stub_status on; access_l...
Ngnix IP封禁以及实现自动封禁IP
qq_38925100的博客
03-25 5108
1.在ngnix的conf目录下创建一个blockip.conf文件 2.里面放需要封禁IP,格式如下 deny 1.2.3.4; 3.在ngnix的HTTP的配置中添加如下内容 include blockips.conf; 4.重启 ngnix /usr/local/nginx/sbin/nginx -s reload 然后你就会看到IP封禁了,你会喜提403; 7.小思考:如何实现使用ngnix自动封禁ip的功能 1.AWK统计access.log,记录每分钟访问超过60次的ip,然后
java 获取客户端的ip地址通过nginx代理
06-08
当客户端通过Nginx代理访问应用服务器时,获取客户端IP地址的方式可能会有所不同。以下是一些可能的解决方法: 1. 在Nginx配置文件中添加proxy_set_header X-Real-IP $remote_addr;和proxy_set_header X-Forwarded-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值