Utilizo nginx como servidor proxy apache2 y tengo un problema con la salida de netstat:
$ netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
5 109.195.36.169
6 109.195.33.205
8 194.190.59.4
14 83.246.143.75
19 109.195.33.201
725 127.0.0.1
Parte de la salida:netstat -nt
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
¿Cómo eliminar estas conexiones de localhost? ¿O este es un comportamiento normal? Sospecho que mi sitio tiene un ataque DDOS.
Respuesta1
No actualmente. Al menos, la salida parcial de tu netstat -ntes normal.
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
Esta conexión probablemente fue realizada por nginx a apache mientras ejecutaba el proxy inverso en él.
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
El puerto 11211 espuerto regular del demonio Memcache. Entonces, esta conexión probablemente la realizó su aplicación web al servidor Memcache.
También dado el simple hecho: el atacante no puede alcanzar la dirección de bucle invertido (127.0.0.1) desde el exterior.En realidad, el atacante puede falsificarlo pero no obtendrá la respuesta.-, entonces es seguro apostar que su servidor estaba "bien".
Si hay muchas conexiones como las anteriores (puertos 8080 y 11211), entonces puede ser un indicador de muchas solicitudes en su servidor nginx. Esto tendrá efecto:
- nginx se conectará a Apache.
- Apache ejecutará su código web y, por lo tanto, se conectará al servidor Memcache si es necesario.