Estamos teniendo un problema en uno de los sitios de nuestros clientes donde Tripwire marca eventos cuando se crean individualmente más de 1000 conexiones HTTP desde diferentes direcciones IP en un lapso de un minuto. Hemos activado keep-alive (10 segundos) en nuestro servidor web (Apache en Linux). Realizamos algunas capturas de red y notamos que, si bien se respeta el tiempo de espera de mantenimiento de actividad, es posible que aún se estén creando múltiples conexiones para las solicitudes.
¿Alguien sabe por qué se crean todas estas conexiones HTTP? Cualquier ayuda será apreciada.
EDITADO: Para evitar confusiones
Respuesta1
sin preguntarle al autor de las solicitudes, es difícil "adivinar" por qué se crean, podría ser un ataque deliberado o la persona podría no ser consciente de que su sistema está realizando las solicitudes.
Como estás en Linux, simplemente agrega un bloque en la IP a través de iptables usando lo siguiente:
iptables -A INPUT -s x.x.x.x -j DROP
Donde xxxx es la dirección IP del usuario que realiza las solicitudes.