Я использую nginx в качестве прокси-сервера apache2 и у меня возникла проблема с выводом netstat:
$ netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
5 109.195.36.169
6 109.195.33.205
8 194.190.59.4
14 83.246.143.75
19 109.195.33.201
725 127.0.0.1
Часть вывода:netstat -nt
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
Как убрать эти localhost соединения? Или это нормальное поведение? Подозреваю, что на мой сайт DDOS-атака.
решение1
Нет, на самом деле. По крайней мере, частичный выход вашего netstat -ntнормальный
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
Вероятно, это соединение было установлено nginx для Apache, поскольку вы используете на нем обратный прокси-сервер.
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
Порт 11211 - этообычный порт демона memcache. Таким образом, это соединение, вероятно, было установлено вашим веб-приложением с сервером Memcache.
Также учитывая простой факт: злоумышленник не может получить доступ к адресу обратной связи (127.0.0.1) извне -на самом деле злоумышленник может подделать его, но он не получит ответа-, то можно с уверенностью сказать, что ваш сервер «в порядке».
Если есть много соединений, как указано выше (порт 8080 и 11211), то это может быть индикатором большого количества запросов на вашем сервере nginx. Это будет иметь эффект:
- nginx установит соединение с apache.
- Apache выполнит ваш веб-код, поэтому при необходимости установит соединение с сервером Memcache.