如何从Nginx日志中挖掘系统潜在的慢速渗透和低频扫描行为?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1076个文字,预计阅读时间需要5分钟。
直接观察日志中那些不明显但反复出现的请求模式,比盲目大量攻击更有效。缓慢渗透和低频扫描,往往刻意压低频率、拉长时间、伪装成正常行为,常规监控易被忽视,但+Nginx+日志留下清晰轨迹——关键在于聚焦时间维度、请求路径特征和客户端行为的一致性。
盯住 request_time 和 upstream_response_time 的异常组合
慢速渗透(如 Slowloris、R.U.D.Y.)或低频探测(如逐个试探 admin/backup/.git/ 等敏感路径),常表现为:
– request_time 显著高于 upstream_response_time(例如 request_time=8.2s,upstream_response_time=0.012s):说明请求在 Nginx 层卡住,可能是客户端缓慢发包或故意拖延;
– upstream_response_time 高但 request_time 并不高(例如 upstream_response_time=4.5s,request_time=4.6s):上游服务被拖慢,可能因恶意构造的查询触发数据库深度遍历或正则回溯;
– 同一 IP 在数分钟内多次出现 request_time > 3s 的请求,但状态码均为 200 或 404,无明显错误日志。
本文共计1076个文字,预计阅读时间需要5分钟。
直接观察日志中那些不明显但反复出现的请求模式,比盲目大量攻击更有效。缓慢渗透和低频扫描,往往刻意压低频率、拉长时间、伪装成正常行为,常规监控易被忽视,但+Nginx+日志留下清晰轨迹——关键在于聚焦时间维度、请求路径特征和客户端行为的一致性。
盯住 request_time 和 upstream_response_time 的异常组合
慢速渗透(如 Slowloris、R.U.D.Y.)或低频探测(如逐个试探 admin/backup/.git/ 等敏感路径),常表现为:
– request_time 显著高于 upstream_response_time(例如 request_time=8.2s,upstream_response_time=0.012s):说明请求在 Nginx 层卡住,可能是客户端缓慢发包或故意拖延;
– upstream_response_time 高但 request_time 并不高(例如 upstream_response_time=4.5s,request_time=4.6s):上游服务被拖慢,可能因恶意构造的查询触发数据库深度遍历或正则回溯;
– 同一 IP 在数分钟内多次出现 request_time > 3s 的请求,但状态码均为 200 或 404,无明显错误日志。