На этот вопрос уже есть ответ здесь:
Я использую nginx в качестве прокси-сервера apache2 и у меня проблема с выводом netstat:
$ netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
5 109.195.36.169
6 109.195.33.205
8 194.190.59.4
14 83.246.143.75
19 109.195.33.201
725 127.0.0.1
Часть вывода: netstat -nt
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
Как удалить эти соединения localhost? Или это нормальное поведение? Я подозреваю, что мой сайт подвергся DDOS-атаке.
На самом деле нет. По крайней мере, частичный вывод вашего netstat -nt
является нормальным
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
Это соединение, вероятно, было сделано nginx для apache при запуске на нём обратного прокси.
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
Порт 11211 является обычным портом демона memcache. Таким образом, это соединение, вероятно, было сделано вашим веб-приложением к memcache-серверу.
Также учитывая простой факт: злоумышленник не может связаться с адресом обратного цикла (127.0.0.1) извне - на самом деле злоумышленник может подделать его, но не получит ответа - тогда можно с уверенностью сказать, что ваш сервер "в порядке".
Если существует много соединений, как указано выше (порт 8080 и 11211), то это может быть индикатором множества запросов на вашем nginx-сервере. Это будет иметь эффект: