Ich versuche, den gesamten Datenverkehr (IP-Adresse und Daten jeglicher Art, die empfangen werden) zu protokollieren, der einen bestimmten Port erreicht (in meinem Fall 80 und 443), wenn er für diesen Port nicht gültig ist.
Wenn also beispielsweise jemand einfach eine sendet ping, einen Telnet-Client verwendet, Ports scannt, eine schlecht formatierte HTTP-Anforderung oder irgendetwas anderes als eine gültige HTTP-Anforderung an Port 80 sendet, wird dies in das Protokoll geschrieben. Und dasselbe gilt für 443, außer dass nach einer gültigen HTTPS-Anforderung gesucht wird.
Ich habe gefundenDasdas scheint eine mögliche Lösung zu sein, aber beim Lesen der Seite mod_log_configkann ich nicht erkennen, ob nur gültige HTTP-Anfragen protokolliert werden oder ob alle an den Port gesendeten Daten protokolliert werden können.
Ich fand auchDas, aber es ist für nginx, obwohl es so aussieht, als ob, wenn so etwas für Apache existiert, Sie es protokollieren könnten, wenn eine Umleitung erkannt wird.
Entschuldigen Sie, wenn das eine einfache Frage ist, ich habe mich bisher nur selten mit diesem Bereich befasst. Ich bin mir jedoch sicher, dass es bereits eine Lösung gibt, da dies aus Sicherheitsgründen und zur Fehlerbehebung für viele Leute von Interesse zu sein scheint.
Danke!
Antwort1
Leider liefert Ihnen Apache httpd nicht das, wonach Sie suchen. Normalerweise loggt Apache nur, nachdem die Anfrage empfangen und verarbeitet wurde. Es gibt ein optionales forensisches Log in Apache, das Ihnen die Möglichkeit gibt, zu loggenVorDie Anfrage wird bearbeitet, aber nurnachAnforderungsheader werden empfangen. Wenn tatsächlich keine Anforderung gesendet wird, hat Apache nichts zu protokollieren.
Möglicherweise benötigen Sie ein Tool wiepsadum die Erkennung von Scan-Aktivitäten zu erleichtern.
Antwort2
Verlassen Sie sich darauf, dass der Apache-Webserver das Richtige tut und ungültigen Datenverkehr ablehnt.
Je mehr Konfigurations- und CPU-Zeit für die Verarbeitung ungültigen Datenverkehrs aufgewendet werden muss, desto weniger CPU-Zeit steht für den legitimen Datenverkehr zur Verfügung.
Je mehr Sie unerwarteten Datenverkehr ignorieren, desto sicherer (und zufriedener) werden Sie sich fühlen. Wenn Sie das Gefühl haben, dass Sie ihn nicht ignorieren können, versuchen Sie, Apache so zu konfigurieren, dass er nicht protokolliert wird.
Konzentrieren Sie sich darauf, den legitimen Datenverkehr so gut wie möglich zu übermitteln.