主页 / server / 问题 / 1057119
Accepted
fernandezr
Asked: 2021-03-16 02:17:40 +0800 CST

Nginx 日志显示 ssl 握手错误

  • 772

我已经看到我的 nginx 错误日志充满了这样的消息:

(*date*) [info] 69487#0: *1064573 peer closed connection in SSL handshake while SSL handshaking, client: 95.64.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064574 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 95.162.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064572 peer closed connection in SSL handshake while SSL handshaking, client: 5.112.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064576 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 188.211.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064578 peer closed connection in SSL handshake while SSL handshaking, client: 185.120.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064577 peer closed connection in SSL handshake while SSL handshaking, client: 5.126.*.*, server: 0.0.0.0:443

注意:我有匿名日期和 ip

服务器日志包含很多类似的日志行。我创建了一个 fail2ban 规则来过滤它们,一天后它已将超过 6000 个 ips 列入黑名单。快速浏览其中一些列入黑名单的内容表明,几乎所有内容都来自伊朗,但并未出现在https://www.abuseipdb.com中。

这是攻击吗?或者可能是我错误配置了 nginx 服务器?如果是攻击,它是什么类型的攻击?如果 IP 地址是恶意的,我需要知道这一点以报告 IP 地址。

attacks nginx

1 个回答

  1. Best Answer

    ssh 握手错误

    您的意思肯定是 SSL(不是 SSH)。

    这是攻击吗?

    直接看到不是。这正是它所说的(连接在通常发生 SSL 握手的阶段关闭)。这可能有几个原因:例如,有人注意到您的 nginx 正在使用对方不支持的方法,甚至没有尝试完成握手。或者它是一些不稳定或缓慢的连接(在握手阶段中断或在超时内没有回答)等。

    有时是一些旧的浏览器 API(也可能被某些机器人使用)根本无法使用最新的 SSL 设施进行安全通信。

    但有时它确实是故意的,它是由僵尸网络组织的,目的是用“寄生”日志条目或数据消息淹没您的日志(例如,减慢 IDS/IPS/fail2ban/whatever 等监控服务的速度)或隐藏大流量(在日志或数据上)的真正“攻击”尝试。

    • 1

相关问题