ataque HTTP - muitas conexões e TIME_WAIT

2

Estou rodando o CentOS 6 com http -2.2.15

Indo para o ataque HTTP, posso ver muitos processos http em execução.

> netstat -nat | awk '{print $6}' | sort | uniq -c | sort -n
>       1 established)
>       1 Foreign
>       2 LAST_ACK
>      11 LISTEN
>      15 FIN_WAIT2
>      19 CLOSING
>      27 FIN_WAIT1
>      91 SYN_RECV
>     116 ESTABLISHED
>   10399 TIME_WAIT

Contagem de todas as conexões:

netstat -an | grep :80 | wc -l
10533

Conte todos os endereços IP exclusivos:

netstat -nat | awk '{ print $5}' | cut -d: -f1 | sed -e '/^$/d' | uniq | wc -l
231

Por favor, avise o que poderíamos fazer para descobrir quem está fazendo mais conexões?

PS: a carga do servidor não foi afetada por esse ataque.

Obrigado por qualquer ajuda.

    
por Evan Hamlet 11.07.2013 / 15:17

2 respostas

1

Estas são linhas em branco sendo contadas, adicionando grep -v '^$' antes que o uniq no pipeline possa resolvê-lo. É muito possível que isso não seja um ataque, mas talvez um problema de software. Quais são os seus números normais? Eu vi artigos sobre o MySQL 4/5 causando um alto número de conexões de estado TIME WAIT. Você já teve novas instalações ou atualizações, alterações de configuração que correspondem ao problema?

    
por 11.07.2013 / 16:18
1

Não vejo qualquer evidência de um ataque nos dados que você publicou aqui.

A única coisa que eu consideraria incomum sobre esses números é quão lentamente as conexões TCP estão abrindo e fechando. Eu não esperaria ver dois dígitos para SYN_RECV , FIN_WAIT1 e FIN_WAIT2 . Isso significa que, se houver um ataque, ele provavelmente não será baseado em TCP / porta 80 ou saturará algum canal de rede que atrasa suas comunicações, possivelmente a montante de seus dispositivos.

Veja seus gráficos de largura de banda e peça ao seu provedor de hospedagem para ver o deles. Se isso não aparecer, comece a procurar equipamentos de rede com defeito. Se você puder ver um grande aumento na largura de banda, extraia estatísticas de qualquer dispositivo de rede de borda que você puder sobre o tipo de tráfego que você está vendo.

TIME_WAIT conexões não são um problema para você. Eles só se tornam um problema quando você tem tantos deles que você não pode abrir novas conexões. Esse limite é de cerca de 30.000 por padrão.

    
por 11.07.2013 / 16:23