弊社の顧客サイトの 1 つで、1 分間に異なる IP アドレスから 1000 を超える HTTP 接続が個別に作成されると、Tripwire がイベントにフラグを立てるという問題が発生しています。弊社の Web サーバー (Linux 上の Apache) でキープアライブ (10 秒) をオンにしました。ネットワーク キャプチャをいくつか実行したところ、キープアライブ タイムアウトは順守されているものの、リクエストに対して複数の接続が作成されている可能性があることに気付きました。
これらすべての HTTP 接続が作成される理由を知っている人はいますか? ご協力いただければ幸いです。
編集: 混乱を避けるため
答え1
リクエストの発信者に尋ねなければ、リクエストが作成された理由を「推測」することは困難です。意図的な攻撃である可能性もあれば、システムがリクエストを行っていることにユーザーが気付いていない可能性もあります。
Linux を使用している場合は、次のように iptables 経由で IP にブロックを追加するだけです。
iptables -A INPUT -s x.x.x.x -j DROP
ここで、xxxxはリクエストを行ったユーザーのIPアドレスです。