No momento, estamos sob o DDoS com o seguinte vetor: O atacante está estabelecendo a conexão TLS e, em seguida, a entrega. (Nenhuma linha de solicitação está sendo enviada)
Isso está causando uma carga de CPU séria no cluser nginx. Nós temos ngnix como proxy reverso. Não consegui descobrir como fazer o nginx registrar um fato de que essa conexão foi estabelecida para automatizar as proibições baseadas em IP.
Todas as coisas de registro que eu encontrei exigem que o pedido seja analisado, mas neste caso não há carga útil, então nada aparece nos registros de acesso e de erro ...
error_log /var/log/nginx/error.log info;
Você verá o seguinte no log de erros:
2018/09/22 11:42:38 [info] 25066#25066: *343588460 client closed connection while waiting for request, client: ::1, server: [::]:443
E esse comportamento pode ser simulado via:
echo -n | openssl s_client -connect localhost:443