DDoS攻击日志分析与攻击源定位实战

在前文的DDoS防御方案与ModSecurity开源WAF部署基础上，精准分析攻击日志、定位攻击源是后续优化防护规则、阻断恶意流量的核心环节。本文专为中小企业与个人站长打造零成本日志分析体系，从日志采集、攻击特征识别到攻击源定位，手把手教你通过工具与脚本实现攻击溯源，让防护从"被动拦截"升级为"主动防御"。

一、DDoS日志分析核心价值

1. 精准识别攻击类型：区分CC攻击、SYN洪水、UDP反射攻击等不同攻击模式，避免盲目防护；

​

2. 定位攻击源IP/网段：抓取恶意访问IP、ASN号与地理分布，为封禁提供依据；

​

3. 优化防护规则：根据攻击特征调整Nginx限流阈值、ModSecurity规则敏感度，减少误拦；

​

4. 预判攻击趋势：通过日志分析攻击时间、频率规律，提前做好防护预案。

二、零成本日志采集与分析工具

1. 原生日志工具（零成本，必用）

Web服务与服务器原生日志是攻击分析的核心数据源，无需额外安装工具，直接解析即可获取关键信息。

• Nginx/Apache访问日志：默认存储路径 /var/log/nginx/access.log （Nginx）、 /var/log/apache2/access.log （Apache），记录所有请求的IP、请求时间、请求URL、状态码等信息。

​

• Linux系统日志： /var/log/messages （CentOS）、 /var/log/syslog （Ubuntu），记录TCP连接、内核异常（如SYN Cookie触发）等系统级攻击行为。

​

• ModSecurity攻击日志： /var/log/nginx/modsec_audit.log ，专门记录WAF拦截的SQL注入、XSS等Web攻击，可关联分析CC攻击的恶意请求特征。

2. 轻量分析工具（零成本，高效上手）

针对无专业运维团队的场景，推荐使用零成本轻量工具，无需复杂配置即可快速分析日志。

表格

工具类型 工具名称 核心功能 适用场景

命令行工具 grep/awk/sed 快速筛选IP、统计请求次数、提取攻击URL 临时分析、批量检索日志

可视化工具 GoAccess 实时生成Web访问报表，可视化攻击流量、IP访问频率 快速查看攻击趋势、定位高频恶意IP

日志聚合 ELK Stack（轻量版） 集中收集Nginx、系统、ModSecurity日志，支持检索与告警 长期日志分析、多服务器日志汇总

三、实战：DDoS攻击日志分析全流程

步骤1：快速筛选恶意IP（CC攻击/SYN洪水）

通过命令行工具从Nginx访问日志中筛选高频访问的恶意IP，CC攻击通常表现为单IP短时间内发起大量请求。

统计access.log中访问次数前20的IP（CC攻击重点排查）

grep -oE '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -20

筛选返回499/502/503状态码的IP（异常请求，可能为攻击流量）

grep -E '499|502|503' /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr

步骤2：分析攻击请求特征（精准区分正常与恶意）

从请求URL、请求方法、User-Agent等维度，识别攻击流量的特征标识，为后续配置防护规则提供依据。

筛选包含恶意参数（如SQL注入特征、XSS标签）的请求URL

grep -E 'union|select|--|alert|script' /var/log/nginx/access.log

统计异常User-Agent的访问次数（攻击流量常使用伪造UA）

grep -E 'Mozilla/5.0 \(Windows NT 10.0; Win64; x64; rv:' /var/log/nginx/access.log | awk '{print 1,12}' | sort | uniq -c

步骤3：攻击源IP定位与网段封禁

获取恶意IP的地理信息与ASN号，批量封禁攻击网段，从源头阻断流量。

1. IP定位：使用免费IP库（如IPIP.net免费版、纯真IP库），通过命令行查询IP归属地：

示例：查询恶意IP 192.168.1.100的归属地（需下载本地IP库）

ipip -d 192.168.1.100

​

2. 批量封禁：通过云服务器安全组或iptables封禁恶意IP/网段，零成本实现阻断：

封禁单个恶意IP（iptables，永久生效需保存规则）

iptables -A INPUT -s 192.168.1.100 -j DROP

封禁整个网段（如192.168.1.0/24）

iptables -A INPUT -s 192.168.1.0/24 -j DROP

步骤4：GoAccess可视化分析（一键查看攻击全貌）

1. 安装GoAccess：

​# CentOS

yum install goaccess -y

Ubuntu

apt install goaccess -y

2. 生成Nginx访问报表：

​goaccess /var/log/nginx/access.log -o /var/www/html/access-report.html --real-time-html

3. 访问 http://服务器IP/access-report.html ，可实时查看：攻击IP排行、请求方法分布、状态码占比、恶意URL统计等，直观掌握攻击态势。

四、自动化日志分析脚本（解放双手，零成本）

编写简单Shell脚本，实现每日自动分析攻击日志、生成报告、批量封禁恶意IP，无需人工干预。

#!/bin/bash

DDoS日志分析与封禁脚本（零成本）

LOG_PATH="/var/log/nginx/access.log"

REPORT_PATH="/var/log/nginx/attack-report-$(date +%Y%m%d).log"

定义恶意IP阈值（单IP1分钟内请求超100次判定为恶意）

THRESHOLD=100

1. 生成当日攻击报告

echo "===== DDoS攻击分析报告 (date +%Y-%m-%d) =====" \> REPORT_PATH

echo "高频恶意IP（请求数>THRESHOLD）：" \>\> REPORT_PATH

grep -oE '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' LOG_PATH \| sort \| uniq -c \| sort -nr \| awk -v th=THRESHOLD '1\>th' \>\> REPORT_PATH

2. 批量封禁恶意IP

for IP in (grep -oE '\[0-9\]{1,3}\\.\[0-9\]{1,3}\\.\[0-9\]{1,3}\\.\[0-9\]{1,3}' LOG_PATH | sort | uniq -c | sort -nr | awk -v th=THRESHOLD '1>th' | awk '{print $2}'); do

iptables -C INPUT -s IP -j DROP 2\>/dev/null \|\| iptables -A INPUT -s IP -j DROP

echo "封禁恶意IP：IP" \>\> REPORT_PATH

done

3. 清理超过7天的攻击报告

find /var/log/nginx/ -name "attack-report-*.log" -mtime +7 -delete

• 赋予脚本执行权限： chmod +x ddos-log-analyze.sh

​

• 添加定时任务（每日凌晨执行）： crontab -e ，添加 0 0 * * * /root/ddos-log-analyze.sh

五、总结与后续

通过日志分析与攻击源定位，可实现DDoS防护的"精准打击"，避免盲目封禁导致正常用户被拦截。本文全程零成本，适配主流Linux服务器与Nginx/Apache环境，结合前文的限流、WAF、CDN方案，可构建"拦截-分析-封禁"的完整防御闭环。

下一篇将分享ModSecurity高级规则定制，针对电商、论坛、API等不同业务场景，编写专属规则精准拦截行业攻击，敬请关注！