Nginx日志显示ssl握手错误。

Question

我看到我的nginx错误日志充满了这样的消息：

(*date*) [info] 69487#0: *1064573 peer closed connection in SSL handshake while SSL handshaking, client: 95.64.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064574 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 95.162.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064572 peer closed connection in SSL handshake while SSL handshaking, client: 5.112.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064576 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking, client: 188.211.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064578 peer closed connection in SSL handshake while SSL handshaking, client: 185.120.*.*, server: 0.0.0.0:443
(*date*) [info] 69487#0: *1064577 peer closed connection in SSL handshake while SSL handshaking, client: 5.126.*.*, server: 0.0.0.0:443

注:我有匿名的日期和ip

服务器日志包含许多类似的日志行。我已经创建了一个fail2ban规则来过滤它们，一天后，它已经使6000多个ips被黑了。快速查看其中一些黑名单显示，几乎所有来自伊朗，但它没有出现在https://www.abuseipdb.com。

这是攻击吗？或者可能是我配置错了nginx服务器？如果是攻击，那是什么类型的攻击？如果IP地址是恶意的，我需要知道这一点。

Answer 1

ssh握手错误

您的意思是SSL (不是SSH)。

这是攻击吗？

直接看不是。这就意味着它所说的(连接在通常会发生SSL握手的舞台上关闭)。这可能有几个原因:例如，注意到您的nginx正在使用另一方不支持的方法，甚至不尝试完成握手。或者是一些不稳定或缓慢的连接(在握手阶段中断，或者在超时期间没有应答)等等。

有时是一些旧的浏览器API (也可能被某些机器人使用)，它根本无法使用最新的SSL设备进行安全通信。

但有时它确实是故意的，它是由僵尸网络组织的，目的是用“寄生”日志条目或数据消息(例如，减缓IDS/IPS/Fail2ban/任何其他监视服务)或隐藏大流量(在日志或数据上)真正的“攻击”尝试。