Node.js日志中识别DDoS攻击的方法

DDoS(分布式拒绝服务)攻击会严重影响Node.js应用的可用性。以下是识别DDoS攻击的关键日志特征和检测方法：

主要识别指标

1. 异常请求量激增

   • 短时间内来自多个IP的请求数量异常增加
   • 请求速率远高于正常业务水平

2. 请求模式异常

   • 大量重复请求(相同URL、参数)
   • 非业务时间的请求高峰
   • 非常规User-Agent或缺失User-Agent

3. 资源消耗异常

   • CPU/内存使用率突然飙升
   • 网络带宽占用异常增加
   • 连接数超出正常范围

具体日志分析方法

1. 分析访问日志

# 统计IP访问频率(前20名)
cat access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -20

# 统计URL访问频率
cat access.log | awk '{print $7}' | sort | uniq -c | sort -nr | head -20

2. 监控异常响应码

# 统计5xx错误数量
grep " 50[0-9] " access.log | wc -l

# 统计429(太多请求)错误
grep " 429 " access.log | wc -l

3. Node.js特定日志监控

检查以下异常： - ECONNRESET错误突然增加 - socket hang up错误增多 - ETIMEDOUT错误增加 - 进程崩溃重启频率增加

自动化检测方案

1. 使用日志分析工具

   • ELK Stack(Elasticsearch, Logstash, Kibana)
   • Splunk
   • Grafana + Prometheus

2. 实现实时监控

   // 使用express-rate-limit中间件示例
   const rateLimit = require('express-rate-limit');
   
   const limiter = rateLimit({
    windowMs: 15 * 60 * 1000, // 15分钟
    max: 100, // 每个IP限制100个请求
    message: "请求过于频繁，请稍后再试"
   });
   
   app.use(limiter);
   

3. 设置告警阈值

   • 每分钟请求数超过X次触发告警
   • 单个IP短时间内请求数超过Y次触发告警
   • 错误率超过Z%触发告警

防御建议

1. 启用Web应用防火墙(WAF)
2. 使用CDN服务分散流量
3. 实施IP黑名单机制
4. 配置负载均衡和自动扩展
5. 使用专业的DDoS防护服务

通过持续监控这些指标并设置适当的告警阈值，可以及时发现并应对针对Node.js应用的DDoS攻击。