一�����、明確Tomcat日志文件位置
CentOS系統中����,Tomcat日志默認存儲在$CATALINA_HOME/logs目錄下�����,主要包括以下幾類關鍵日志:
- catalina.out:主日志文件�,記錄服務器啟動����、停止及運行時的詳細信息(如錯誤���、警告)���;
- localhost_access_log.*.txt:訪問日志(默認路徑為
logs/localhost_access_log.<日期>.txt)���,記錄所有HTTP請求的詳細信息(客戶端IP�����、請求時間��、方法��、URL�、響應狀態碼等)��;
- manager.log/host-manager.log:應用管理界面的訪問日志���,需重點關注異常訪問���。
二����、訪問日志中的異常流量識別要點
訪問日志是識別異常流量的核心來源���,需重點監控以下指標:
-
高頻錯誤狀態碼:
- 大量404錯誤:短時間內同一IP或路徑出現大量404(未找到)狀態碼�����,可能是掃描工具(如Nmap)探測服務器路徑或文件���;
- 大量403錯誤:頻繁的403(禁止訪問)狀態碼����,可能是攻擊者嘗試訪問受保護資源(如
/admin目錄)����;
- 大量5xx錯誤(如500內部服務器錯誤���、503服務不可用):可能是惡意請求導致服務器崩潰或資源耗盡(如SQL注入��、命令執行)�。
-
異常請求頻率:
- 單位時間內同一IP地址的請求數激增(如1分鐘內同一IP發起100+次請求)�,遠超正常用戶訪問頻率���,可能是DDoS攻擊或爬蟲濫用�����;
- 短時間內大量并發請求(如線程池滿負荷)��,可通過
netstat -antp | grep java查看Tomcat連接數是否異常�����。
-
可疑IP與請求來源:
- 來自高風險地區的IP(如境外IP���、已知惡意IP段)�����,可通過
whois命令查詢IP歸屬地����;
- 同一IP短時間內訪問多個不存在的路徑(如
/wp-admin.php�����、/phpmyadmin)�����,可能是自動化攻擊工具的行為����。
-
異常請求參數與方法:
- 請求參數包含特殊字符(如
<script>���、union select����、1=1)�����、編碼內容(如%3Cscript%3E解碼為<script>���、PHNjcmlwdD4=解碼為<script>)或超長字符串(如超過1000字符的參數)����,可能是SQL注入�、XSS攻擊或命令執行�����;
- 使用不常見的HTTP方法(如PUT����、DELETE���、TRACE��、MOVE)��,這些方法默認情況下Tomcat可能未啟用���,異常使用可能是攻擊試探��。
三����、錯誤日志中的異常流量識別要點
catalina.out(或logs/catalina.<日期>.log)中的錯誤信息能直接反映系統異常�,需重點關注:
-
內存問題:
出現OutOfMemoryError: Java heap space(堆內存溢出)����、OutOfMemoryError: Metaspace(元空間溢出)等錯誤���,可能是惡意請求導致內存耗盡(如大量上傳文件�、循環遞歸調用)����。
-
線程問題:
出現java.lang.OutOfMemoryError: unable to create new native thread(無法創建新線程)或Deadlock detected(死鎖)��,可能是線程池被大量請求占滿(如DDoS攻擊)����。
-
安全異常:
出現Access denied for user(數據庫訪問被拒絕)����、ServletException: Attempt to access unauthorized resource(試圖訪問未授權資源)����、Invalid session ID(無效會話ID)等錯誤�����,可能是攻擊者嘗試破解密碼�、越權訪問或偽造會話���。
四����、使用工具輔助識別異常流量
-
命令行工具:
grep:過濾關鍵信息(如grep "404" access_log.*.txt查看所有404錯誤�����;grep "OutOfMemoryError" catalina.out查看內存溢出日志)�;awk:統計請求頻率(如awk '{print $1}' access_log.*.txt | sort | uniq -c | sort -nr統計每個IP的請求數����,排序后查看高頻IP)����;sed:提取關鍵字段(如sed -n 's/.*\[\(.*\)\].*\(\/.*\).*/\1 \2/p' access_log.*.txt提取時間與URL)���。
-
日志分析工具:
- ELK Stack(Elasticsearch+Logstash+Kibana):實現日志的集中存儲��、實時分析與可視化����,可通過Kibana dashboard展示異常流量趨勢(如404錯誤占比����、高頻IP分布)����;
- Splunk:支持日志搜索��、告警與報表生成��,可設置規則(如“1分鐘內同一IP請求超過100次”)自動觸發報警�����;
- GoAccess:輕量級日志分析工具��,可快速生成訪問日志報告(如請求方法分布���、狀態碼占比)����。
五����、結合系統層面驗證異常流量
-
監控系統資源:
使用top��、htop查看CPU使用率(如Tomcat進程占用CPU超過80%)�����、free -m查看內存使用情況(如剩余內存不足100MB)�����、iftop查看網絡帶寬(如流入流量突然激增)�����,確認是否因異常流量導致資源瓶頸����。
-
檢查網絡連接:
使用netstat -antp | grep java查看Tomcat的連接數(如ESTABLISHED連接數超過1000)���、ss -s查看socket統計信息(如總連接數異常)����,判斷是否遭受DDoS攻擊����。
