我正在嘗試記錄到達特定連接埠(在我的例子中為 80 和 443)的所有流量(IP 位址和數據,無論收到何種形式的數據),如果它對連接埠無效。
因此,例如,如果某人只是發送ping、使用 telnet 用戶端、掃描連接埠、發送格式錯誤的 HTTP 請求或向連接埠 80 發送除有效 HTTP 請求之外的任何內容,它都會將其寫入日誌。與 443 相同,除了尋找有效的 HTTPS 請求。
我發現了這這似乎是一個可能的解決方案,但在閱讀該頁面後,mod_log_config我無法判斷它是否只記錄有效的 HTTP 請求,或者是否能夠記錄發送到連接埠的所有資料。
我還發現這,但它是針對 的nginx,儘管看起來如果 Apache 存在這樣的東西,那麼當檢測到它重定向時,您可以記錄它。
如果這是一個簡單的問題,我很抱歉,儘管我確信有一個現有的解決方案,但它從來不是我以前深入研究過的領域,因為這似乎會引起很多人出於安全和故障排除原因的興趣。
謝謝!
答案1
不幸的是,apache httpd 不會給你你正在尋找的東西。通常,apache 僅在接收並處理請求後才記錄日誌。 apache 中有一個可選的取證日誌,您可以選擇登入前請求已處理,但僅後收到請求標頭。如果實際上沒有發送請求,那麼 apache 將不會記錄任何內容。
您可能需要檢視一個工具,例如普薩德幫助偵測掃描活動。
答案2
依靠 Apache Web 伺服器做正確的事情並拒絕無效流量。
用於處理無效流量的配置和 CPU 時間越多,可用於合法流量的 CPU 就越少。
由此看來,您越忽視意外的交通,您就會感到越安全(也越快樂)。如果您覺得無法忽略它,請嘗試將 Apache 設定為不記錄它。
專注於盡可能最好地提供合法流量。