我的服务器上的站点正在遭受 SQL 注入攻击。我使用以下命令封锁了受到攻击的 IP:
# iptables -A INPUT -s ATTACK-IP-ADDRESS -j DROP
我可以查看ATTACK-IP-ADDRESS现在的活动吗?我的意思是,这个 IP 何时发出了什么 HTTP 请求。
答案1
当您在 IPTables 中阻止 IP 地址时,您无法监控他们发出了什么样的 HTTP 请求。
他们的 TCP 握手数据包被丢弃,这意味着没有请求发送到您的服务器。
如果你想查看有什么样的流量进来,你需要将来自特定 IP 的流量转发到捕获流量的特殊软件。
或者,您可以在 Web 应用程序中进行配置,以便以特殊方式处理来自该 IP 地址的所有请求。
不过,我认为这样的监控没什么价值。
答案2
您可以-j LOG在想要记录的条目上使用该选项。
所以iptables -A INPUT -s ATTACK-IP-ADDRESS -j LOG在你的例子中
在 Ubutntu 上,日志将存储在/var/log/kern.log
iptables 中的日志记录有很多选项,例如在日志文件中添加前缀或更改发送日志的文件。
请记住,如果您阻止该 IP,则不会从该 IP 发出任何 HTTP 请求,因此您的 Web/DB 服务器日志中不会显示任何活动。