В настоящее время мы находимся под DDoS со следующим вектором: Злоумышленник устанавливает соединение TLS, а затем разрывается. (Строка запроса не отправляется)
Это вызывает серьезную загрузку процессора на nginx cluser. У нас есть ngnix в качестве обратного прокси. Я не мог понять, как заставить nginx регистрировать факт установления такого соединения для автоматизации банов по IP.
Все найденные мной данные для ведения журнала требуют, чтобы запрос был проанализирован, но в этом случае нет никакой полезной нагрузки, поэтому ничего не отображается как в журналах доступа, так и в журналах ошибок ...
error_log /var/log/nginx/error.log info;
Затем вы увидите в журнале ошибок следующее:
2018/09/22 11:42:38 [info] 25066#25066: *343588460 client closed connection while waiting for request, client: ::1, server: [::]:443
И это поведение можно смоделировать с помощью:
echo -n | openssl s_client -connect localhost:443