奇怪的内部连接

奇怪的内部连接

我最近注意到来自我们的 Apache 服务器 79.134.108.134 的一些奇怪的内部连接。

服务器没有公共 tcp6 地址。

为什么 Apache 服务器使用 tcp6 从端口 80 连接到随机高数量本地/内部端口?

tcp6 0 0 79.134.108.134:80 79.134.108.134:42189 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42094 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42131 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42202 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42127 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42096 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42225 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42192 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42213 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42110 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42111 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42150 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42061 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 62.78.173.45:52132 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42132 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42179 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 78.27.124.85:50972 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42079 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 78.27.124.85:53132 FIN_WAIT2 -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42196 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42072 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42209 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42193 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42187 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42221 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42190 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42118 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42066 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 46.229.168.73:50922 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42210 TIME_WAIT -

答案1

现在Linuxtcp6几乎默认使用;内核从 IPv6 和 IPv4 堆栈开始,除非您采取措施/配置服务仅绑定到 IPv4,否则通常会保留端口两个都对于 IPv6 或 IPv4。

因此,您没有配置 IPv6 公共地址并不是因为没有看到那里的结果tcp6。在这种情况下,使用 netstat 时,IPv4 和 IPv6 连接都将被表征为 tcp6。

至于连接列表,您将看到它们都使用 IPv4 地址,因此它们不可能是 IPv6 连接。

此外,从随机非特权高地址(称为临时端口)到服务端口(在本例中为 80/TCP - HTTP)的连接几乎就是 TCP 协议的工作方式以及客户端使用您的站点的方式,所以其实这也不奇怪。

不过,我更担心来自 IP 地址 79.134.108.134 的连接数量。然而,在不了解您的站点、服务和实现的情况下,我无法明确地说这是否应该是正常的、进程失控、应用程序实现或某些配置错误。

还可能值得查看您的 Apache access.log 日志文件,以了解正在访问哪些页面/服务以及是否有任何页面/服务。这可能会给您有关连接性质的线索。

尽管如此,我还是建议,对于未来,值得研究如何限制 Apache 中的客户端,并提出有关该主题的疑问。

参见相关使用负载均衡器而不是 Apache 来限制来自特定 IP 的事务

如何通过 iptables 阻止所有请求为 ServerIP:Port

如何使用 Fail2Ban 保护 ProxyPass(ed) 应用程序

跑题了,也推荐一下学习TCP/IP的最佳参考书https://www.amazon.com/TCP-Illustration-Protocols-Addison-Wesley-Professional/dp/0321336313

PS:我会考虑聘请一位经验丰富的顾问/系统管理员。

相关内容