Назад | Перейти на главную страницу

Подсчет запросов с заблокированных IP-адресов

Сайт на моем сервере атакован с помощью SQL-инъекций. Я блокирую IP, с которого был атакован командой:

# iptables -A INPUT -s ATTACK-IP-ADDRESS -j DROP

Могу ли я просмотреть активность ATTACK-IP-ADDRESS сейчас? Я имею в виду, когда и какой HTTP-запрос был с этого IP.

Вы можете использовать -j LOG вариант для записей, которые вы хотите зарегистрировать.

Так iptables -A INPUT -s ATTACK-IP-ADDRESS -j LOG в вашем примере

В Ubutntu журналы будут храниться в /var/log/kern.log

Есть много возможностей для входа в iptables, например, добавление префиксов в файл журнала или изменение файла, в который отправляются журналы.

Имейте в виду, что с этого IP-адреса не будет выполняться HTTP-запрос, если вы его заблокируете, и поэтому никакие действия не будут отображаться в журналах вашего веб-сервера / сервера базы данных.

Когда вы блокируете IP-адрес в IPTables, вы не можете отслеживать, какие HTTP-запросы они отправляют.

Их пакеты подтверждения TCP отбрасываются, что означает, что на ваш сервер не отправляется никаких запросов.

Если вы хотите увидеть, какой трафик входит, вам необходимо перенаправить трафик с определенного IP-адреса на специальное программное обеспечение, которое захватывает этот трафик.

Или вы можете настроить в своем веб-приложении так, чтобы все запросы, поступающие с этого IP-адреса, обрабатывались особым образом.

Однако я не вижу особой ценности в таком мониторинге.