Wir haben ein Problem auf einer unserer Kundenseiten, bei dem Tripwire Ereignisse kennzeichnet, wenn innerhalb einer Minute mehr als 1000 HTTP-Verbindungen einzeln von verschiedenen IP-Adressen hergestellt werden. Wir haben auf unserem Webserver (Apache unter Linux) Keep-Alive (10 Sek.) aktiviert. Wir haben einige Netzwerkaufzeichnungen durchgeführt und festgestellt, dass, obwohl das Keep-Alive-Timeout eingehalten wird, möglicherweise trotzdem mehrere Verbindungen für die Anfragen hergestellt werden.
Weiß jemand, warum all diese HTTP-Verbindungen erstellt werden? Jede Hilfe ist willkommen.
BEARBEITET: Um Verwirrung zu vermeiden
Antwort1
Ohne den Urheber der Anfragen zu fragen, ist es schwer zu „erraten“, warum sie erstellt werden. Es könnte sich um einen vorsätzlichen Angriff handeln oder die Person ist sich möglicherweise nicht bewusst, dass ihr System die Anfragen stellt.
Da Sie Linux verwenden, fügen Sie der IP einfach über iptables einen Block hinzu, und zwar wie folgt:
iptables -A INPUT -s x.x.x.x -j DROP
Dabei ist xxxx die IP-Adresse des Benutzers, der die Anfragen stellt