我们在 access.log 中看到大量如下行:
“\xf7\x13v\x01!\b\x02\”\x1d” 400 226
它们来自大量合法使用 HTTP 服务器的来源,因此我们认为这是一个配置问题。
我看不到 rfc5246 中的任何十六进制值,并且网络分析证明他们正在为 Apache 使用正确配置的 TLS 端口,但是我没有看到任何 TLS 握手。
答案1
这样的字符串通常可以是漏洞测试,但如果它们来自合法来源(我假设它们是您知道的地址),它们可能是某种端口检查或来自应用程序的保持活动过程 - 在这种情况下这有意义吗?