nginx をプロキシ サーバー apache2 として使用していますが、netstat 出力に問題があります。
$ netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
5 109.195.36.169
6 109.195.33.205
8 194.190.59.4
14 83.246.143.75
19 109.195.33.201
725 127.0.0.1
出力の一部:netstat -nt
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
これらの localhost 接続を削除するにはどうすればよいですか? それともこれは通常の動作ですか? 私のサイトが DDOS 攻撃を受けていると思われます。
答え1
いいえ、実際には。少なくとも、部分的な出力はnetstat -nt正常です
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
この接続は、リバース プロキシを実行しているときに nginx から apache に作成された可能性があります。
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
ポート11211はmemcache デーモンの通常のポートしたがって、この接続は、Web アプリケーションによって memcache サーバーに対して行われたものと考えられます。
また、単純な事実として、攻撃者は外部からループバックアドレス(127.0.0.1)にアクセスできないことが挙げられる。実際には攻撃者は偽装できるが、返答は得られない。- であれば、サーバーが「正常」だったと考えて間違いないでしょう。
上記のような接続が多数ある場合 (ポート 8080 および 11211)、nginx サーバーに多くのリクエストがあることを示す可能性があります。これは次のような影響があります。
- nginx は apache に接続します。
- Apache は Web コードを実行し、必要に応じて memcache サーバーに接続します。