Logging

記錄在 Apache 中命中埠 80 和 443 的非 HTTP 請求/流量?

  • September 10, 2018

我正在嘗試記錄命中特定埠(在我的情況下為 80 和 443)的所有流量(IP 地址和數據,無論接收到何種形式的數據),如果它對該埠無效。

因此,例如,如果某人只是發送一個ping,使用 telnet 客戶端,正在掃描埠,發送格式錯誤的 HTTP 請求,或者向埠 80 發送有效 HTTP 請求以外的任何內容,它會將其寫入日誌。除了尋找有效的有效 HTTPS 請求外,對於 443 也是如此。

我發現似乎是一個可能的解決方案,但是閱讀該頁面時mod_log_config我無法判斷它是僅記錄有效的 HTTP 請求還是能夠記錄發送到埠的所有數據。

我也發現了這個,但它是用於的nginx,雖然似乎如果 Apache 存在類似的東西,那麼當檢測到重定向時,你可以記錄它。

抱歉,如果這是一個簡單的問題,雖然我確信有一個現有的解決方案,但它從來都不是我以前研究過的領域,因為出於安全和故障排除的原因,這似乎會引起很多人的興趣。

謝謝!

不幸的是,apache httpd 不會給你你想要的東西。通常,apache 僅在請求被接收和處理後才會記錄。apache 中有一個可選的取證日誌,它使您可以選擇在處理請求之前進行日誌記錄,但僅收到請求標頭之後。如果實際上沒有發送請求,那麼 apache 將沒有任何記錄。

您可能需要查看psad等工具來幫助檢測掃描活動。

依靠 Apache Web 伺服器做正確的事情並拒絕無效流量。

用於處理無效流量的配置和 CPU 時間越多,可用於合法流量的 CPU 就越少。

因此,您越是忽略意外流量,您就會感到越安全(和快樂)。如果您不覺得可以忽略它,請嘗試將 Apache 配置為不記錄它。

專注於盡可能最好地提供合法流量。

引用自:https://serverfault.com/questions/930307