@wtfowned

Как увидеть запросы которые блокирует Nginx, список IP?

Добрый день!

Уже несколько дней как на сервер по 100-300 ГБ суточных входящих запросов, которые я никак не могу увидеть откуда и куда идут.
Сервер на Hetzner, наружу только порты 80 и 443 (хардварный фаервол). Основную часть запросов обрабатывает Nginx.
ojHBbqIaStOLIF7dXNpmdA.png

Получается такой порядок фаерволов:
1. Cloudflare (заблокированы некоторые страны)
2. Hetzner Hardware - - только 80, 443 наружу
3. Серверный Software Firewall - только 80, 443 наружу
4. Nginx который блокирует все подозрительное.

1. Смотрю в режиме онлайн через Logtop / анализирую логи сайтов - не вижу ничего аномального, каких-либо запросов или соединений большого количества с опрделенных IP адресов.
Онлайн режим :
tail -f /var/log/apache2/domains/*.log | cut -d ' ' -f 1 | logtop -c 100000

Логи сайтов - вывод топ IP адресов с которых были запросы из всех логов сайтов, с последующей пробивкой DNS записей и ASN на случай бана:
awk '{print $1}' /var/log/apache2/domains/*.log | grep -Ev ':|66.249' | sort | uniq -c | sort -nr | head  -n 50

2. Через Netstat вижу только IP адреса Cloudflare т.к. все сайты работают только через него, а реальный IP клиента смогу увидеть только когда он попадет в лог сайта..
3. Стоит блокировщик ботов, который был уже с течением времени дополнен множеством диапазонов серверных IP адресов крупных провайдеров которые были замечены в атаках на сайты или парсинге https://github.com/mitchellkrogza/nginx-ultimate-b... , более 100 подсетей ASN были внесены в список, в том числе все подсети Hetzner / OVH и других.

4. Регулярно баню всех кто долбил POST запросы, но это капля в море.

Вопросы
1. Куда еще посмотреть?
2. Как увидеть запросы которые блокирует Nginx и их IP ? Есть возможность забанить на Cloudflare/Hetzner Firewall (всего несколько правил осталось) запросы, не пуская их к моему серверу, но для этого их надо увидеть.
3. Вообще возможна ли ситуация которую я предполагаю что nginx банит эти запросы, но тем не менее входящий бандвич идет? Я так понимаю это DDOS?

За помощь отблагодарю, желательно контакты иметь в профиле.
  • Вопрос задан
  • 819 просмотров
Пригласить эксперта
Ответы на вопрос 2
VladimirAndreev
@VladimirAndreev
php web dev
если у вас nginx - зачем вы смотрите логи апача?
p.s. 403 nginx пишет в error-лог, если я не путаю ничего
Ответ написан
@wtfowned Автор вопроса
В общем решил я на 1ом уровне защиты - Cloudflare - добавить в правила бан всех основных подсетей серверных что знаю и что забанены Nginxoм + назойлевых ботов. По умолчанию у них также стоит блок SYN пакетов и прочего мусора. Но проблема в том что не все домены через Cloud идут, возможно флудили просто на IP адрес, как его защитить в будущем еще не придумал.

Сам дос до 40мбит подавали , сегодня перестали также резко как и начали. 0NwISJSITTOnyYbpEuVHBg.png
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы