我想隔离一些可能的攻击者 IP。因此,我想知道如何在禁用 Web 服务器的访问日志的情况下追踪每个 IP 的活动?
答案1
日志到底为什么被禁用?如果你在服务器和“攻击者”之间没有其他设备(例如反向代理),那么你就没那么幸运了。你需要某物捕获并记录请求。
答案2
您可以在服务器连接的交换机上运行 SPAN(假设使用的是 Cisco 交换机)。如果是其他供应商的交换机,请查阅其文档以了解相关选项。
SPAN 会将流量镜像到交换机上的另一个端口。然后,您可以使用 Wireshark 等工具(或其他工具)捕获流量,然后再进行分析。
答案3
是否启用了 Web 服务器的错误日志?您可以使用错误日志跟踪您的服务器被扫描到不同类型漏洞的 IP 地址。此类扫描经常会失败,因此会被写入错误日志以及安全、身份验证日志等。