nginx: Hata ayıklama için HTTP isteklerini döküm

• Ubuntu 10.04.2
• nginx 0.7.65

Nginx sunucuma bazı garip HTTP istekleri geliyor.

Neler olup bittiğini daha iyi anlamak için, bu tür sorgular için tüm HTTP istek verilerini dökümü istiyorum. (Ben tüm istek üstbilgileri ve vücut onları okuyabilir bir yere dökümü.)

Bunu nginx ile yapabilir miyim? Alternatif olarak, bu istekleri nginx aracılığıyla proxy yapabileceğim kutudan çıkarmama izin veren bazı HTTP sunucusu var mı?

Güncelleme: Bu kutunun bir sürü normal trafiği olduğunu ve bunların tümünü düşük düzeyde (örneğin, ile tcpdump) yakalayıp daha sonra filtrelemekten kaçınmak istiyorum .

Bence bir yeniden yazma kuralında iyi trafiği filtrelemek çok daha kolay olurdu (neyse ki bu durumda oldukça kolay bir tane yazabilirim) ve sonra sadece sahte trafik ile başa çıkmak.

Ve sadece orada yakalamak için sahte trafik başka bir kutuya kanalize etmek istemiyorum tcpdump.

Güncelleme 2: Biraz daha fazla ayrıntı vermek için, sahte istek fooGET sorgularında (parametrenin değeri değişebilir) adında (say) parametresine sahiptir. İyi taleplerin bu parametreye sahip olmaması garanti edilir.

Buna göre filtreleyebilirsem tcpdumpveya bir ngrepşekilde - sorun olmazsa, bunları kullanacağım.

Ön / son satır sayısını (-B ve -A bağımsız değişkenleri) gerektiği gibi ayarlayın:

tcpdump -n -S -s 0 -A 'tcp dst port 80' | grep -B3 -A10 "GET /url"

Bu, başka bir yere boşaltmanız gereken büyük bir PCAP dosyası oluşturmadan, istediğiniz HTTP isteklerini kutuda almanızı sağlar.

BPF filtresinin hiçbir zaman kesin olmadığını, herhangi bir kutudan akan çok sayıda paket varsa, BPF'nin paketleri bırakabileceğini ve bırakacağını unutmayın.

İsteği dökümü ile ne demek istediğini tam olarak bilmiyorum ama verileri analiz etmek için tcpdump ve / veya wireshark kullanabilirsiniz:

# tcpdump port 80 -s 0 -w capture.cap

Ve dosyayı açmak ve sunucular arasındaki sohbeti görmek için wireshark kullanabilirsiniz.

Mod_php yüklü Apache isteklerini proxy yaparsanız, istekleri dökmek için aşağıdaki PHP komut dosyasını kullanabilirsiniz:

<?php
$pid = getmypid();
$now = date('M d H:i:s');
$fp = fopen('/tmp/intrusion.log', 'a');

if (!function_exists('getallheaders')) 
{ 
    function getallheaders() 
    { 
           $headers = ''; 
       foreach ($_SERVER as $name => $value) 
       { 
           if (substr($name, 0, 5) == 'HTTP_') 
           { 
               $headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value; 
           } 
       } 
       return $headers; 
    } 
} 

function ulog ($str) {
    global $pid, $now, $fp;
    fwrite($fp, "$now $pid {$_SERVER['REMOTE_ADDR']} $str\n");
}

foreach (getallheaders() as $h => $v) {
    ulog("H $h: $v");
}
foreach ($_GET as $h => $v) {
    ulog("G $h: $v");
}
foreach ($_POST as $h => $v) {
    ulog("P $h: $v");
}
fclose($fp);

Nginx kullandığınız için $_SERVER['REMOTE_ADDR']bunun anlamsız olabileceğini unutmayın. Gerçek IP'yi Apache'ye üzerinden geçirmeniz gerekir proxy_set_header X-Real-IP $remote_addr;ve bunun yerine bunu kullanabilirsiniz (veya sadece oturum açtığınıza güvenebilirsiniz getallheaders()).