Добрый день!
Уже несколько дней как на сервер по 100-300 ГБ суточных входящих запросов, которые я никак не могу увидеть откуда и куда идут.
Сервер на Hetzner, наружу только порты 80 и 443 (хардварный фаервол). Основную часть запросов обрабатывает Nginx.
Получается такой порядок фаерволов:
1. Cloudflare (заблокированы некоторые страны)
2. Hetzner Hardware - - только 80, 443 наружу
3. Серверный Software Firewall - только 80, 443 наружу
4. Nginx который блокирует все подозрительное.
1. Смотрю в режиме онлайн через Logtop / анализирую логи сайтов - не вижу ничего аномального, каких-либо запросов или соединений большого количества с опрделенных IP адресов.
Онлайн режим :
tail -f /var/log/apache2/domains/*.log | cut -d ' ' -f 1 | logtop -c 100000
Логи сайтов - вывод топ IP адресов с которых были запросы из всех логов сайтов, с последующей пробивкой DNS записей и ASN на случай бана:
awk '{print $1}' /var/log/apache2/domains/*.log | grep -Ev ':|66.249' | sort | uniq -c | sort -nr | head -n 50
2. Через Netstat вижу только IP адреса Cloudflare т.к. все сайты работают только через него, а реальный IP клиента смогу увидеть только когда он попадет в лог сайта..
3. Стоит блокировщик ботов, который был уже с течением времени дополнен множеством диапазонов серверных IP адресов крупных провайдеров которые были замечены в атаках на сайты или парсинге
https://github.com/mitchellkrogza/nginx-ultimate-b... , более 100 подсетей ASN были внесены в список, в том числе все подсети Hetzner / OVH и других.
4. Регулярно баню всех кто долбил POST запросы, но это капля в море.
Вопросы
1. Куда еще посмотреть?
2. Как увидеть запросы которые блокирует Nginx и их IP ? Есть возможность забанить на Cloudflare/Hetzner Firewall (всего несколько правил осталось) запросы, не пуская их к моему серверу, но для этого их надо увидеть.
3. Вообще возможна ли ситуация которую я предполагаю что nginx банит эти запросы, но тем не менее входящий бандвич идет? Я так понимаю это DDOS?
За помощь отблагодарю, желательно контакты иметь в профиле.