乱码日志

日志内容

205.210.31.133 - - [06/Jun/2025:08:21:44 +0800] ＂\x16\x03\x01\x00\xEE\x01\x00\x00\xEA\x03\x03\x91\xF0\x12\xDB\xFA\xDEr\x97\x95FH＂ 400 150 ＂-＂ ＂-＂

日志分析

这是一条异常的 HTTP 请求记录，可能是 ​TLS/SSL 握手请求​ 被 Web 服务器（如 Nginx）拒绝，并返回了 400 Bad Request 错误。

关键信息解析​

1. ​IP 地址​：205.210.31.133
   • 需检查该 IP 是否属于合法服务（如 CDN）或可疑来源（如恶意扫描器）。
2. ​时间戳​：[06/Jun/2025:08:21:44 +0800]
3. ​请求内容​：
   • 包含 \x16\x03\x01（TLS 1.0-1.2 握手头）和乱码字符，实际是 ​二进制格式的 TLS 握手报文，但被记录为文本导致乱码。
   • 第二条包含 ​加密套件列表​（如 C0/\xC0+\xC00 对应 ECDHE-RSA-AES256-SHA 等）。
4. ​响应状态​：400 150
   • 400：服务器无法解析请求（因二进制数据被误当作 HTTP 文本）。
   • 150：可能是返回的字节数或自定义日志字段。

可能的原因​

1. ​HTTPS 请求发送到 HTTP 端口​
   • 客户端尝试 TLS 握手，但服务器配置的端口（如 80）仅支持 HTTP，导致协议不匹配。
2. ​恶意扫描或攻击试探​
   • 自动化工具在探测服务器的 TLS/SSL 支持情况（如心脏出血漏洞扫描）。
3. ​配置错误​
   • 客户端错误配置（如误用非加密端口），或服务器未正确监听 HTTPS（443 端口）。

解决方案​

1. ​检查服务器配置​
   • 确保 HTTPS 服务监听 ​443 端口，并禁用 HTTP 端口的 TLS 请求（或重定向到 HTTPS）。
2. ​过滤异常请求​
   • 在防火墙/WAF 中屏蔽 205.210.31.133（若确认为恶意 IP）。
   • 使用工具（如 fail2ban）自动封禁频繁发送二进制数据的 IP。
3. ​更新日志格式​
   • 如果需记录 TLS 握手，配置 Web 服务器以二进制或十六进制格式记录（避免乱码）。
4. ​升级 TLS 配置​
   • 禁用老旧协议（如 TLS 1.0/1.1），仅支持 TLS 1.2+，并限制加密套件。