Ich verwende Nginx als Proxy-Server Apache2 und habe ein Problem mit der Netstat-Ausgabe:
$ netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
5 109.195.36.169
6 109.195.33.205
8 194.190.59.4
14 83.246.143.75
19 109.195.33.201
725 127.0.0.1
Teil der Ausgabe:netstat -nt
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
Wie entferne ich diese Localhost-Verbindungen? Oder ist das normales Verhalten? Ich vermute, dass meine Site einem DDOS-Angriff ausgesetzt ist.
Antwort1
Nein, eigentlich nicht. Zumindest netstat -ntist die Teilausgabe von dir normal
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
Diese Verbindung wurde wahrscheinlich von Nginx zu Apache hergestellt, da Sie darauf einen Reverse-Proxy ausführen.
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
Port 11211 istregulärer Port des Memcache-Daemons. Diese Verbindung wurde also wahrscheinlich von Ihrer Webanwendung zum Memcache-Server hergestellt.
Auch angesichts der einfachen Tatsache: Angreifer können die Loopback-Adresse (127.0.0.1) von außen nicht erreichen -eigentlich kann der Angreifer es fälschen, aber er wird die Antwort nicht bekommen-, dann können Sie davon ausgehen, dass mit Ihrem Server alles in Ordnung war.
Wenn es viele Verbindungen wie oben (Port 8080 und 11211) gibt, kann dies ein Hinweis auf viele Anfragen an Ihren Nginx-Server sein. Dies hat folgende Auswirkungen:
- nginx stellt eine Verbindung zu Apache her.
- Apache führt Ihren Webcode aus und stellt bei Bedarf eine Verbindung zum Memcache-Server her.