Nginx

Nginx 日誌顯示 ssl 握手錯誤

  • March 16, 2021

我已經看到我的 nginx 錯誤日誌充滿了這樣的消息:

(*date*) [info] 69487#0: *1064573 peer closed connection in SSL handshake while SSL handshaking, client: 95.64.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064574 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 95.162.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064572 peer closed connection in SSL handshake while SSL handshaking, client: 5.112.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064576 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 188.211.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064578 peer closed connection in SSL handshake while SSL handshaking, client: 185.120.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064577 peer closed connection in SSL handshake while SSL handshaking, client: 5.126.*.*, server: 0.0.0.0:443

注意:我有匿名日期和 ip

伺服器日誌包含很多類似的日誌行。我創建了一個 fail2ban 規則來過濾它們,一天后它已將超過 6000 個 ips 列入黑名單。快速瀏覽其中一些列入黑名單的內容表明,幾乎所有內容都來自伊朗,但並未出現在https://www.abuseipdb.com中。

這是攻擊嗎?或者可能是我錯誤配置了 nginx 伺服器?如果是攻擊,它是什麼類型的攻擊?如果 IP 地址是惡意的,我需要知道這一點以報告 IP 地址。

ssh 握手錯誤

您的意思肯定是 SSL(不是 SSH)。

這是攻擊嗎?

直接看到不是。這正是它所說的(連接在通常發生 SSL 握手的階段關閉)。這可能有幾個原因:例如,有人注意到您的 nginx 正在使用對方不支持的方法,甚至沒有嘗試完成握手。或者它是一些不穩定或緩慢的連接(在握手階段中斷或在超時內沒有回答)等。

有時是一些舊的瀏覽器 API(也可能被某些機器人使用)根本無法使用最新的 SSL 設施進行安全通信。

但有時它確實是故意的,它是由殭屍網路組織的,目的是用“寄生”日誌條目或數據消息淹沒您的日誌(例如,減慢 IDS/IPS/fail2ban/whatever 等監控服務的速度)或隱藏大流量(在日誌或數據上)的真正“攻擊”嘗試。

引用自:https://serverfault.com/questions/1057119