Estamos tendo um problema em um dos sites de nossos clientes, onde o Tripwire está sinalizando eventos quando mais de 1.000 conexões HTTP estão sendo criadas individualmente a partir de diferentes endereços IP em um intervalo de um minuto. Ativamos o keep-alive (10 segundos) em nosso servidor web (Apache no Linux). Fizemos algumas capturas de rede e notamos que, embora o tempo limite de keep-alive esteja sendo respeitado, ele ainda pode estar criando diversas conexões para as solicitações.
Alguém sabe por que todas essas conexões HTTP estão sendo criadas? Qualquer ajuda será apreciada.
EDITADO: Para evitar confusão
Responder1
sem perguntar ao originador das solicitações, é difícil 'adivinhar' por que elas estão sendo criadas, pode ser um ataque deliberado ou a pessoa pode não estar ciente de que seu sistema está fazendo as solicitações.
Como você está no Linux basta adicionar um bloco no IP via iptables usando o seguinte:
iptables -A INPUT -s x.x.x.x -j DROP
Onde xxxx é o endereço IP do usuário que faz as solicitações