奇妙な内部接続

奇妙な内部接続

最近、Apacheサーバー79.134.108.134で奇妙な内部接続が出ていることがわかりました。

サーバーにパブリックtcp6アドレスがありません。

Apacheサーバーがtcp6を使用してポート80から任意の多数のローカル/内部ポートに接続するのはなぜですか?

tcp6 0 0 79.134.108.134:80 79.134.108.134:42189 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42094 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42131 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42202 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42127 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42096 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42225 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42192 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42213 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42110 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42111 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42150 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42061 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 62.78.173.45:52132 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42132 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42179 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 78.27.124.85:50972 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42079 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 78.27.124.85:53132 FIN_WAIT2 -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42196 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42072 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42209 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42193 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42187 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42221 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42190 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42118 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42066 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 46.229.168.73:50922 TIME_WAIT -
tcp6 0 0 79.134.108.134:80 79.134.108.134:42210 TIME_WAIT -

答え1

Linuxは現在ほぼデフォルトに設定されていますtcp6。カーネルは IPv6 スタックと IPv4 スタックで始まり、IPv4 のみにバインドするようにサービスを設定したり、手順を実行しない限り、ポートは通常予約されます。両方IPv6 または IPv4 の場合。

したがって、IPv6パブリックアドレスを設定しない理由は、結果が表示されないためではありませんtcp6。この場合、netstat を使用すると、IPv4 接続と IPv6 接続の両方が tcp6 として特徴付けられます。

接続リストを見ると、すべてIPv4アドレスを使用するため、IPv6接続にはできないことがわかります。

また、無許可のランダム上位アドレス(一時ポートと呼ばれる)からサービスポート(80/TCP - この場合はHTTP)への接続は、TCPプロトコルがどのように機能するのか、クライアントがサイトを使用する方法とほぼ似ているため、実際には驚くべきことです。ではありません。

ただし、IP アドレス 79.134.108.134 からの着信接続の数がより心配です。しかし、あなたのサイト、サービス、実装を知らないと、これが正常であるのか、暴走するプロセス、アプリケーションの実装、またはいくつかの誤った設定であるかどうかは確かに言うことはできません。

どのページ/サービスがアクセスされているか、存在するかどうかを確認するには、Apache access.logログファイルを調べることもお勧めします。これにより、接続の性質に関する手がかりを得ることができます。

それでも、今後はApacheでクライアントを制限する方法を調査し、そのトピックについて質問する価値があると提案したいと思います。

関連ビューApacheの代わりにロードバランサーを使用して特定のIPのトランザクションを制限します。

iptablesを介してServerIP:Portへのすべての要求をブロックする方法

Fail2Banを使用してProxyPass(ed)アプリケーションを保護する方法

私は外れましたが、TCP / IP学習のための最高の参考書もお勧めします。https://www.amazon.com/TCP-Illustration-Protocols-Addison-Wesley-Professional/dp/0321336313

PS:経験豊富なコンサルタント/システム管理者を雇うことを考えてみましょう。

関連情報