如何在Nginx日志中识别攻击（NGINX日志可以看到数据包的状态）

此命令的功能是读取access.log文件，从每行中提取第一个字段（即客户端IP地址），对这些字段进行排序，计算每个字段的出现数量，然后删除连续的复制品。从高到低的分类，具体取决于出现的输出，最多出现的IP地址最多。

通过上面的命令找到经常发生的IP地址后，分析对IP的高频访问的行为。例如，您可以进一步分析这些IP的特定行为。在特定时期内访问IP记录，并发现可能的进攻行为。

检测常见攻击类型 SQL注入攻击：可以通过分析访问日志中的请求参数来识别SQL注入攻击。 例如，搜索包含SQL关键字的请求（Union，Select，Insert等）。 XSS攻击：搜索JavaScript代码，尤其是包含通过URL参数注入的脚本的请求。
使用脚本自动化分析您可以编写shell脚本以自动上述分析过程。 例如，以下脚本用于搜索SQL注入和XSS攻击的关键字：NEXT GREP -E（200302301500）Access.log | grep -i -e (and %20and \ and and@and \(OR or %20or \ or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-or-cast \(sleep \（Benchmarkeneres_seriesunionorder）（200302301500）Access.log | grep -i -e（JavascriptData：vbscriptexpressed2KonErroronMouserOveronLoadonLoadonLoadonLolodonBlorodonBloronFocuseVal \（来自CharCode％3E％3C％3C％25％25％27％0A）。

这几篇文章你可能也喜欢：

• 如何通过日志监视网络攻击（日志监视系统）
• 请记住，没有风险的数据包丢失调试经验（占数据包丢失的90％）
• 如何调整分区数（Kafka增加分区）
• 如何优化Kafka的磁盘I/O性能（Kafka慢慢写入）
• 如何更新CentOS系统安全补丁（如何升级CentOS）

本文由主机参考刊发，转载请注明：如何在Nginx日志中识别攻击（NGINX日志可以看到数据包的状态） https://zhujicankao.com/148475.html