我发现我的 nginx 错误日志充满了如下消息:
(*date*) [info] 69487#0: *1064573 peer closed connection in SSL handshake while SSL handshaking, client: 95.64.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064574 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 95.162.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064572 peer closed connection in SSL handshake while SSL handshaking, client: 5.112.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064576 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 188.211.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064578 peer closed connection in SSL handshake while SSL handshaking, client: 185.120.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064577 peer closed connection in SSL handshake while SSL handshaking, client: 5.126.*.*, server: 0.0.0.0:443
注意:我有匿名日期和 IP
服务器日志包含很多类似的日志行。我创建了一个 fail2ban 规则来过滤它们,一天后它就将超过 6000 个 ip 列入了黑名单。快速查看一下其中一些列入黑名单的 ip,发现几乎所有 ip 都来自伊朗,但它似乎没有列入https://www.abuseipdb.com。
这是攻击吗?还是我错误配置了 nginx 服务器?如果是攻击,那是什么类型的攻击?我需要知道这些信息,以便报告恶意 IP 地址。
答案1
ssh 握手错误
您的意思是 SSL(而不是 SSH)。
这是一次袭击吗?
直接看并非如此。这意味着它确实在进行 SSL 握手的阶段关闭了连接。这可能有几个原因:例如,有人注意到您的 nginx 正在使用另一方不支持的方法,甚至不尝试完成握手。或者是某种不稳定或缓慢的连接(在握手阶段中断或未在超时内应答),等等。
有时,一些旧的浏览器 API(也可能被一些机器人使用)根本无法使用最新的 SSL 设施进行安全通信。
但有时这确实是僵尸网络故意为之,目的是用“寄生”日志条目或数据消息淹没您的日志(例如,减慢 IDS/IPS/fail2ban/whatever 等监控服务的速度)或通过大量流量(日志或数据)隐藏真正的“攻击”尝试。