nginx를 프록시 서버 apache2로 사용하는데 netstat 출력에 문제가 있습니다.
$ netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
5 109.195.36.169
6 109.195.33.205
8 194.190.59.4
14 83.246.143.75
19 109.195.33.201
725 127.0.0.1
출력 부분:netstat -nt
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
이러한 로컬 호스트 연결을 제거하는 방법은 무엇입니까? 아니면 이것이 정상적인 행동입니까? 내 사이트에 DDOS 공격이 있는 것 같습니다.
답변1
실제로는 아닙니다. 적어도 부분 출력은 netstat -nt정상입니다 .
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
이 연결은 역방향 프록시를 실행할 때 nginx에 의해 Apache에 연결되었을 수 있습니다.
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
포트 11211은Memcache 데몬의 일반 포트. 따라서 이 연결은 아마도 웹 애플리케이션에서 Memcache 서버에 의해 이루어졌을 것입니다.
또한 간단한 사실을 고려하면: 공격자는 외부에서 루프백 주소(127.0.0.1)에 접근할 수 없습니다.실제로 공격자는 이를 스푸핑할 수 있지만 응답을 받지 못합니다.- 그렇다면 귀하의 서버가 '괜찮다'고 확신하는 것이 안전합니다.
위와 같이 연결이 많으면(포트 8080 및 11211) nginx 서버에 요청이 많다는 의미일 수 있습니다. 다음과 같은 효과가 있습니다.
- nginx는 Apache에 연결됩니다.
- Apache는 웹 코드를 실행하여 필요한 경우 Memcache 서버에 연결합니다.