Недавно я испытал DDoS-атаку. Как мне проанализировать журналы веб-сервера nginx из этого временного окна, чтобы обнаружить какой DDoS было? Я использую инфраструктуру Microsoft Azure (на всякий случай).
Я понимаю, что инструменты анализа журналов, такие как Loggly может быть использован. Но я не могу загружать туда файлы журналов, чтобы анализировать их - вместо этого мне нужно подключить службу к моему живому серверу, и это дает мне панель анализа для использования.
Что ж, только один из этих типов может отображаться в ваших журналах Nginx.
Во-первых, если это настоящий DDoS, у вас, скорее всего, нет возможности что-либо с этим поделать. Как только трафик попадает на ваш сервер, даже если он заблокирован брандмауэром или ограничен на вашем веб-сервере, трафик уже потребляет пропускную способность вашей сети, и вы ничего не можете с этим поделать. Таким образом, он должен быть заблокирован «в восходящем направлении» в системе маршрутизации, обслуживающей ваш сервер.
Чтобы ответить на ваш вопрос (из вашего комментария), ваш веб-сервер - это «приложение», работающее на уровне 7 OSI. Оно регистрирует вещи уровня http, но ничего не знает о сетевых уровнях ниже 7. В вашем списке типов DDoS все Остальные, кроме «атак на уровне приложений», происходят на более низких уровнях вашего сетевого стека, чем nginx, поэтому вам нужно искать в другом месте информацию об этих типах атак.
Вероятно, что на вашем сервере нет журналов, которые дадут вам какое-либо представление о характере атаки, если вы предварительно не настроили такие журналы до атаки. Прямо сейчас лучшее, что вы можете сделать, - это подготовиться к следующему случаю, чтобы убедиться, что у вас есть нужные инструменты в вашем наборе инструментов, и что ваш сетевой провайдер готов смягчить их последствия.