我是如何通过Nginx日志实时封禁风险IP的

最新推荐文章于 2024-05-26 17:20:51 发布
置顶 最新推荐文章于 2024-05-26 17:20:51 发布
阅读量1.3w 收藏 16
点赞数 5
分类专栏: 方案 后端 文章标签: Nginx 日志采集 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piaoruiqing/article/details/103115286
版权
本文介绍了如何通过实时采集和分析Nginx日志,使用Filebeat、Redis、Java服务来评估风险并自动封禁IP。涉及到日志采集、风险评估(包括IP归属地、AS、ASN查询)以及IP封禁策略的实现。
摘要由CSDN通过智能技术生成

实时采集并分析Nginx日志, 自动化封禁风险IP方案

文章地址: https://blog.piaoruiqing.com/2019/11/17/block-ip-by-analyzing-nginx-logs/

前言

本文分享了自动化采集、分析Nginx日志并实时封禁风险IP的方案及实践.

阅读这篇文章你能收获到:

  • 日志采集方案.
  • 风险IP评估的简单方案.
  • IP封禁策略及方案.

阅读本文你需要:

  • 熟悉编程.
  • 熟悉常用Linux命令.
  • 了解Docker.

背景

分析nginx访问日志时, 看到大量404的无效请求, URL都是随机的一些敏感词. 而且近期这些请求越来越频繁, 手动批量封禁了一些IP后, 很快就有新的IP进来.

因此萌生了通过自动化分析Nginx日志实时封禁IP的想法.

nginx-404-accesslog

需求

序号 需求 备注
1 Nginx日志收集 方案有很多, 笔者选择了最适合个人服务器的方案: filebeat+redis
2 日志实时分析 实时消费redis的日志, 解析出需要的数据进行分析
3 IP风险评估 对IP进行风险评估, 多个维度: 访问次数、IP归属、用途等
4 实时封禁 针对风险IP进行不同时长的封禁

分析

从日志中简单总结几个特征:

序号 特征 描述 备注
1 访问频繁 每秒数次甚至数十次 正常的流量行为也存在突发流量, 但不会持续很久
2 持续请求 持续时间久 同上
3 多数404 请求的URL可能大多数都不存在, 且存在敏感词汇如admin、login、phpMyAdmin、backup等 正常流量行为很少存在这种情况
4 IP不正常 通过ASN能看出一些端倪, 一般这类请求的IP都不是普通的个人用户. 查询其用途一般是COM(商业)、DCH(数据中心/网络托管/传输)、SES(搜索引擎蜘蛛)等

备注: 这里分析IP是通过ip2location的免费版数据库, 后面会有详细的描述.

方案

Nginx Filebeat Redis Monitor Actuator accessLog(File) accessLog(JSON) accessLog(JSON) Analysis
最低0.47元/天 解锁文章
草堂笺
关注
  • 5
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Nginx封禁恶意IP
gghgrqw的博客
09-24 1253
网络攻击时有发生, TCP洪水攻击、注入攻击、DOS等 比较难防的有DDOS等 数据安全,防止对手爬虫恶意爬取,封禁IP 一般就是封禁ip linux server的层面封IPiptables nginx的层面封IP ,方式多种 (但 req还是会打进来, 让nginx 返回 403, 占用资源) Nginx作为网关,可以有效的封禁ip 单独网站屏蔽IP的方法,把include xxx; 放到网址对应的在server{}语句块,虚拟主机 所有网站屏蔽IP的方法,把include xxx; 放到http {
Nginx+iptables屏蔽访问Web页面过于频繁的IP(防DDOS,恶意访问,采集器)
09-30
通过分析nginx日志来过滤出访问过于频繁的IP地址,然后添加到nginx的blockip.conf,并重启nginx.
linux awk nginx日志分析,Linux Awk使用案例总结 nginx日志统计
weixin_31440829的博客
05-05 260
知识点:数组数组是用来存储一系列值的变量,可通过索引来访问数组的值。Awk中数组称为关联数组,因为它的下标(索引)可以是数字也可以是字符串。下标通常称为键,数组元素的键和值存储在Awk程序内部的一个表中,该表采用散列算法,因此数组元素是随机排序。数组格式:array[index]=value一、Nginx日志分析日志格式'$remote_addr - $remote_user [$time_loc...
Nginx <末>】Nginx 基于 IP 地址的访问限制
没有简介、全是狠活
05-26 931
Nginx 中限制部分 ip 可以访问服务器
Nginx服务器上屏蔽IP的一些基本配置方法分享
weixin_33974433的博客
12-01 352
这篇文章主要介绍了在Nginx服务器上屏蔽IP的一些基本配置方法分享,包括对过多访问的IP配置脚本屏蔽等一些小技巧,的朋友可以参考下.采集和防止采集是一个经久不息的话题,一方面都想搞别人的东西,另一方面不想自己的东西被别人搞走。本文介绍如何利用nginx屏蔽ip来实现防止采集,当然也可以通过iptable来实现。1.查找要屏蔽的ipawk '{print $1}' ngin...
nginxip
weixin_30549657的博客
04-23 235
ip段 例如ip为:xx.xx.xx.xx 全封:0.0.0.0/0 封后三段:xx.0.0.0/8 封后两段:xx.xx.0.0/16 封最后一段:xx.xx.xx.0/24 转载于:https://www.cnblogs.com/jnhs/p/10755250.html
Nginx自动封禁IP
hcc_lucky的博客
01-11 806
个人网站总被攻击?那就写个自动封禁IP的脚本吧。
nginx配置自动封ip
qq_32394351的博客
11-25 3175
自己写了个脚本,用于服务器自动抵御异常爬虫程序 #!/bin/bash banip_run(){ nginx_home=/usr/sbin/nginx log_path=/var/log/nginx nginx_etc=/etc/nginx/conf.d maxcn=3000 history=50000 cat /dev/null > $log_path/ban_ip_tmp.txt tail -n$history $log_path/access.log \ |awk '{print $1,$
App-Waf:A simple waf application .用来实时探测web 非法访问,统计非法访问的ip ,web状态,访问url,来源web url。结合iptables和nginx可以实现实现实时封禁
05-02
A sample Web Application Firwork using Perl and RE ban for suspicous web access用来实时探测web 非法访问,统计非法访问的ip ,web状态,访问url,来源web url。结合iptables可以实现实现实时封禁。实例说明 见...
Nginx防攻击的调研
01-13
1. **封禁IP地址**:对连接数异常的IP进行封锁,可以通过在`blockip.conf`中添加IP,或使用iptables直接屏蔽。 2. **特征码屏蔽**:根据请求头中的USER-AGENT等特征,拒绝特定的请求。 **问题三:防止DDoS攻击** ...
279个开箱即用的shell脚本(new)2024年新版
最新发布
05-27
- **日志读取:** 读取指定目录下的Nginx日志文件。 - **数据筛选:** 使用正则表达式提取关键信息(如HTTP状态码、访问频率等)。 - **数据分析:** 统计特定状态码的出现次数,识别异常请求模式。 - **结果输出:** 将...
linux下shell处理nginx日志自动生成ip黑名单
01-20
#shell脚本处理nginx日志自动生成ip黑名单 ##统计访问量前10名的ip并写入文件 #!/bin/bash data=`date +%Y-%m-%d` #统计访问量最高的前10ip awk '{print $1}' '/PATH/'$data'.log' | sort -n |uniq -c | sort -rn | head -n 10 >>/PATH/ip10-$data.txt ##blackip.sh 判断ip访问次数是否超过限定值,是就加入黑名单中 #!/bin/bash #获取当前日期 data=`date +%Y-%m-%d` #blacklist目录要自己生成,
分析nginx日志并屏蔽采集ipnginx屏蔽ip配置实例)
09-30
主要介绍了分析nginx日志并屏蔽采集ipnginx屏蔽ip配置实例),本文先是讲解了分析需要屏蔽日志的方法,然后讲解了Nginx中屏蔽IP的配置方法,需要的朋友可以参考下
nginx ip黑名单动态封禁的例子
01-11
网站被恶意请求,拉黑IP是重要的手段,如果每次拉黑都要到nginx上配置,未免太low了;我们需要更方便的控制nginx IP黑名单。 1.方案 黑名单持久化到mysql (常见的方案是redis,但不利于控制,如:不同的IP设置不同的有效期、IP的CRUD、统计等等); 通过lua-nginx-module,在nginx中开辟一块内存(lua_shared_dict),lua将黑名单定期从mysql全量刷新至lua_shared_dict; 所有请求,都要到与lua_shared_dict中的IP check一下。 2.安装 2.1 安装luajit cd LuaJIT-2.0.5 mak
tengine介绍.pptx
09-18
9. **分布式防攻击系统**:通过TMD模块抵挡应用层DDoS攻击,并进行IP和Cookie封禁。 10. **CDN系统的七层负载均衡**:利用一致性哈希提高缓存命中率,增强QoS。 Tengine的开发与定制方面,支持动态加载模块,使得...
Nginx自动封禁可疑Ip
Shawn的个人博客
02-18 2458
在网站维护过程中,有时候我们需要对一些IP地址或是一些IP段进行封锁拉黑,使其不能访问网站。如果你的网站服务器的网站运行环境是由nginx搭建的,那么nginx中禁止ip的方法可以有效的防止网站被黑。AWK统计access.log(/var/log/nginx/),记录每分钟访问超过60次的ip,然后配合nginx进行封禁编写shell脚本crontab定时跑脚本。
网站被攻击?Nginx 实现自动封禁IP
灵熙云工作室
01-05 536
网站总被攻击?写个自动封禁IP的脚本吧
Nginx禁止/屏蔽攻击服务器的IP地址
weixin_43268590的博客
05-23 1464
Nginx禁止/屏蔽攻击服务器的IP地址
Nginx禁封IP地址
qq_35771266的博客
01-18 491
1.在 blocksip.conf 文件中加入要屏蔽的ip或者ip端 vi/usr/local/nginx/conf/conf.d/feifa.conf denyIP1; deny127.0.0.1.0/24; 2. 在nginx.conf中包含这个文件 vi/usr/local/nginx/nginx.conf http{ ....... ....... in...
Nginx日志配置详解
"Nginx日志配置及其相关指令详解" Nginx是一个高性能的HTTP和反向代理服务器,它的日志功能对系统监控、故障排查和性能分析至关重要。本篇将详细阐述Nginx日志配置,主要包括access_log指令、log_format指令以及...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值