Nginx - como registrar uma conexão SSL vazia sem linha de solicitação

2

No momento, estamos sob o DDoS com o seguinte vetor: O atacante está estabelecendo a conexão TLS e, em seguida, a entrega. (Nenhuma linha de solicitação está sendo enviada)

Isso está causando uma carga de CPU séria no cluser nginx. Nós temos ngnix como proxy reverso. Não consegui descobrir como fazer o nginx registrar um fato de que essa conexão foi estabelecida para automatizar as proibições baseadas em IP.

Todas as coisas de registro que eu encontrei exigem que o pedido seja analisado, mas neste caso não há carga útil, então nada aparece nos registros de acesso e de erro ...

    
por Andrey Ivanov 15.01.2018 / 16:38

1 resposta

1

error_log /var/log/nginx/error.log info;

Você verá o seguinte no log de erros:

2018/09/22 11:42:38 [info] 25066#25066: *343588460 client closed connection while waiting for request, client: ::1, server: [::]:443

E esse comportamento pode ser simulado via:

echo -n | openssl s_client -connect localhost:443
    
por 22.09.2018 / 11:43