我们在一个客户站点遇到了一个问题,当一分钟内从不同 IP 地址单独创建超过 1000 个 HTTP 连接时,Tripwire 会标记事件。我们已在 Web 服务器(Linux 上的 Apache)上启用了保持活动(10 秒)。我们进行了一些网络捕获并注意到,虽然保持活动超时得到遵守,但它仍可能为请求创建多个连接。
有人知道为什么要创建所有这些 HTTP 连接吗?任何帮助都将不胜感激。
编辑:为避免混淆
答案1
如果不询问请求的发起者,就很难“猜测”请求的原因,这可能是故意的攻击,或者该人可能没有意识到他们的系统正在发出请求。
当你在 Linux 上时,只需使用以下命令通过 iptables 在 IP 上添加一个块:
iptables -A INPUT -s x.x.x.x -j DROP
其中 xxxx 是发出请求的用户的 IP 地址