Nginx 日誌顯示 ssl 握手錯誤

我已經看到我的 nginx 錯誤日誌充滿了這樣的消息：

(*date*) [info] 69487#0: *1064573 peer closed connection in SSL handshake while SSL handshaking, client: 95.64.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064574 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 95.162.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064572 peer closed connection in SSL handshake while SSL handshaking, client: 5.112.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064576 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 188.211.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064578 peer closed connection in SSL handshake while SSL handshaking, client: 185.120.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064577 peer closed connection in SSL handshake while SSL handshaking, client: 5.126.*.*, server: 0.0.0.0:443

注意：我有匿名日期和 ip

伺服器日誌包含很多類似的日誌行。我創建了一個 fail2ban 規則來過濾它們，一天后它已將超過 6000 個 ips 列入黑名單。快速瀏覽其中一些列入黑名單的內容表明，幾乎所有內容都來自伊朗，但並未出現在https://www.abuseipdb.com中。

這是攻擊嗎？或者可能是我錯誤配置了 nginx 伺服器？如果是攻擊，它是什麼類型的攻擊？如果 IP 地址是惡意的，我需要知道這一點以報告 IP 地址。

ssh 握手錯誤

您的意思肯定是 SSL（不是 SSH）。

這是攻擊嗎？

直接看到不是。這正是它所說的（連接在通常發生 SSL 握手的階段關閉）。這可能有幾個原因：例如，有人注意到您的 nginx 正在使用對方不支持的方法，甚至沒有嘗試完成握手。或者它是一些不穩定或緩慢的連接（在握手階段中斷或在超時內沒有回答）等。

有時是一些舊的瀏覽器 API（也可能被某些機器人使用）根本無法使用最新的 SSL 設施進行安全通信。

但有時它確實是故意的，它是由殭屍網路組織的，目的是用“寄生”日誌條目或數據消息淹沒您的日誌（例如，減慢 IDS/IPS/fail2ban/whatever 等監控服務的速度）或隱藏大流量（在日誌或數據上）的真正“攻擊”嘗試。

引用自：https://serverfault.com/questions/1057119