Журнал Nginx показывает ошибки подтверждения ssl
Я видел, что мой журнал ошибок nginx полон таких сообщений:
(*date*) [info] 69487#0: *1064573 peer closed connection in SSL handshake while SSL handshaking, client: 95.64.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064574 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 95.162.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064572 peer closed connection in SSL handshake while SSL handshaking, client: 5.112.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064576 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 188.211.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064578 peer closed connection in SSL handshake while SSL handshaking, client: 185.120.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064577 peer closed connection in SSL handshake while SSL handshaking, client: 5.126.*.*, server: 0.0.0.0:443
Примечание. У меня есть анонимные даты и ip
. Журнал сервера содержит множество похожих строк журнала. Я создал правило fail2ban, чтобы отфильтровать их все, и через день оно внесло в черный список более 6000 ips. Быстрый просмотр некоторых из них. их внесение в черный список показывает, что почти все они поступают из Ирана, но они не указаны в https://www.abuseipdb.com .
Это атака? Или я неправильно сконфигурировал сервер nginx «Если это атака, какой это тип?» Мне нужно знать это, чтобы сообщить об IP-адресах, если они являются вредоносными.
Ошибки рукопожатия ssh
Вы имели в виду, конечно, SSL (не SSH).
Является ли это атакой?
Прямо видно, что нет. Это означает именно то, что написано (соединение закрыто на этапе, где обычно происходит SSL рукопожатие). Это может иметь несколько причин: например, что-то заметило, что ваш nginx использует метод, который другая сторона не поддерживает, и даже не пытается выполнить рукопожатие. Или это какое-то нестабильное или медленное соединение (обрывается на фазе рукопожатия или не отвечает в течение таймаута) и т.д.
Иногда это какой-то старый API браузера (также может использоваться некоторыми ботами), который просто не в состоянии обеспечить безопасную связь с использованием новейших средств SSL.
Но иногда это действительно что-то преднамеренное, организованное ботнетом с целью наводнить ваш журнал "паразитными" записями журнала или сообщениями данных (например, чтобы замедлить работу служб мониторинга, таких как IDS/IPS/fail2ban/whatever) или скрыть реальные попытки "атаки" большим трафиком (в журнале или данных).