Я пытаюсь регистрировать весь трафик (IP-адреса и данные, независимо от формы полученных данных), который попадает на определенный порт (в моем случае 80 и 443), если он недопустим для этого порта.
Так, например, если кто-то просто отправляет ping, использует клиент telnet, сканирует порты, отправляет плохо отформатированный HTTP-запрос или что-то иное, кроме допустимого HTTP-запроса на порт 80, он запишет это в журнал. И то же самое для 443, за исключением поиска допустимого HTTPS-запроса.
Я нашелэтотчто кажется возможным решением, но, прочитав страницу, mod_log_configя не могу сказать, регистрирует ли она только допустимые HTTP-запросы или способна регистрировать все данные, отправленные на порт.
Я также нашелэтот, но это для nginx, хотя, кажется, если что-то подобное существует для Apache, то при обнаружении перенаправления вы могли бы это зарегистрировать.
Извините, если это простой вопрос, просто я никогда раньше не углублялся в эту область, хотя уверен, что решение уже существует, поскольку это кажется интересным для многих людей по соображениям безопасности и устранения неполадок.
Спасибо!
решение1
К сожалению, apache httpd не даст вам того, что вы ищете. Обычно apache регистрирует только после получения и обработки запроса. В apache есть необязательный криминалистический журнал, который дает вам возможность регистрироватьдозапрос обрабатывается, но толькопослезаголовки запроса получены. Если запрос фактически не отправлен, то apache нечего будет логировать.
Возможно, вам придется рассмотреть такой инструмент, какпсаддля обнаружения сканирующей активности.
решение2
Положитесь на то, что веб-сервер Apache будет действовать правильно и отклонять недействительный трафик.
Чем больше настроек и процессорного времени выделяется на обработку недопустимого трафика, тем меньше процессорного времени остается для легитимного трафика.
Из этого следует, что чем больше вы игнорируете неожиданный трафик, тем безопаснее (и счастливее) вы себя чувствуете. Если вы не чувствуете, что можете его игнорировать, попробуйте настроить Apache так, чтобы он не регистрировался.
Сосредоточьтесь на доставке легитимного трафика как можно лучше.