한 아이피에서 아파치로 너무 많은 접근이 있는데..원인을 알고 싶습니다.

피곤해의 이미지

netstat -na|grep :80 으로 확인해 보면..
아래와 같이 동일 아이피에서 80번 포트로 동시에 접근하는 경우가 많습니다..
iframe이나 팝업으로 인해 첨에는 그런가 했는데..
해당 사이트에 iframe은 거의 쓰지 않고, 팝업도 없는데.. 너무 접근이 많네요..
이 사용자로 인해 아파치 데몬의 최대 수치로 근접해 외부접근이 힘든 경우도 있고..
이 사용자만 그런것도 아니고..

왜 이런 현상이 일어나는지 정확히 알고 싶습니다..
원인을 알아야 대책 강구가 가능할것 같아서요..
대충봐서 50개 이상 접근해 있는것 같습니다..
(살펴보니.. 이 사용자는 해당 사이트를 이용중인 고객이엿습니다. 악의성 없는..)

tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2726 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2729 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2728 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2731 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2730 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2733 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2732 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2735 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2734 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2705 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2704 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2707 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2706 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2709 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2708 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2711 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2710 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2713 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2712 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2715 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2714 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2717 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2716 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2719 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2718 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2689 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2688 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2691 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2690 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2693 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2692 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2695 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2694 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2697 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2696 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2699 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2698 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2701 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2700 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2703 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2702 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2673 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2672 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2675 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2674 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2677 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2676 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2679 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2678 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2681 FIN_WAIT2
tcp 0 0 211.xx.xx.xx:80 12.34.56.78:2680 FIN_WAIT2

sh.의 이미지

access_log 는 어떤가요?

피곤해의 이미지

답변 주셔서 감사합니다..
확인해 보니 일반적인 접근 기록만 있습니다..
원인은 알수 없는건가요??

저번에도 한번 질문을 올렸는데.. 답변이 없더군요.. ㅠ.ㅠ;

익명 사용자의 이미지

몇몇 사용자에 대해서만 그런가요 아니면 모든 사용자에 대해 그런가요?

피곤해의 이미지

전부는 아니고..
사용자중.. 30%정도 되는것 같습니다..

일반적인 현상이 아닌가요??
그런줄 알았는데.. ㅡ.ㅡ;
아파치 2.x대를 사용하고 있고요..

sh.의 이미지

access_log가 정상이면.... 그냥 제가 보기엔 별 이상이 없는상태 아닌가 싶은데요?
이미지 좀 있고 그런 웹페이지라면 1명이 접속하더라도 tcp는 여러개 열립니다. 몇십개 정도는 한 아이피에 대해서 열리고요..제가볼때 별로 이상한 상황은 아닌것같으네요

apache2로 돌리는 이미지 서버인데...

tcp4 0 0 203.***.***.***.80 221.***.***.***.4098 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4099 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4106 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4111 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4118 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4119 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4122 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4127 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4132 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4135 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4138 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4141 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4143 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4148 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4149 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4153 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4154 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4158 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4162 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4165 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4167 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4170 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4173 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4177 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4178 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4179 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4180 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4181 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4182 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4183 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4184 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4185 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4186 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4187 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4188 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4191 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4192 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4194 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4195 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4201 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4202 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4203 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4206 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4207 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4209 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4210 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4211 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4212 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4213 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4214 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4215 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4216 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4217 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4218 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4219 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4220 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4221 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4222 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4223 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4224 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4225 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4226 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4227 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4228 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4229 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4230 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4231 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4232 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4233 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4234 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4235 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4236 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4237 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4238 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4239 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4240 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4241 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4242 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4243 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4244 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4245 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4246 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4247 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4248 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4249 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4250 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4251 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4252 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4253 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4254 TIME_WAIT
tcp4 0 0 203.***.***.***.80 221.***.***.***.4255 TIME_WAIT

한 아이피에 대해서 이정도는 나옵니다.
아파치 프로세스가 많아지는 문제랑은 좀 다르게 보셔야 할것 같고요 평소 아파치 프로세스가 몇개라거나.. httpd.conf를 어떻게 설정하셨는지요?

익명 사용자의 이미지

혹시 KeepAlive 옵션을 꺼놓지 않으셨나요?

피곤해의 이미지

답변 주셔서 감사합니다..

우선 keepalive 는 on 상태입니다..
현재
MaxClients 250
ServerLimit 250
를 250으로 준 상태입니다. 150이 기본으로 되어 있어.. 넉넉히 준다고 주었는데..
아파치 데몬이 대략 250개 정도(pstree로 출력시)가 되면 외부 접근이 힘들어지는데..
이때 netstat -na|grep :80으로 확인해 보면 한 아이피에서 80으로 접근하는 경우가 많았습니다.

pstree에서 출력하는 아파치 프로세스 수랑 netstat -na:80 으로 출력되어 나오는 80번 포트 접근 사용자랑 동일한것 아닌가요?
(지금껏 동일시 해 왔는데..)

외부에서 80번 포트 접근하면 포트 열리고.. 프로세스 하나가 실행되어 처리하고.. 이런식이 아니가요?

현재 저와 같은 경우에 만땅(프로세스가 250일때)일때 어찌 처리를 해야 할까요?
무작정 해당 수치만 올려준다고 해결될 문제도 아니고..
그냥 두면 순간적으로 느리다는 생각이 들때고 많은데.. 막상 netstat -na|grep :80으로 확인해 보면 붙어있는 사용자는 몇명 안됩니다..
위처럼 동일 아이피에서 80번 요청이 많기만 하지..

두서가 없었네요..
제가 잘못 알고 있는것도 있는것 같은데..
저의 궁금증을 한방에 해결해 주실분 없나요?? ㅜ.ㅜ;

dgkim의 이미지

FIN_WAIT
TIME_WAIT...

lck7141의 이미지

뭐, 확실한 얘기는 아니지만, access_log 를 확인해 보시구요.
그중에서 Browser 부분에 크롤러 등이 있는지 확인해 보시기 바랍니다.

요즘 툴들이 넘 많이 나와서, 웹페이지 통채로 가져가는 사람들이 많긴 하더라구요.

언제 한번은 여x도 에 있는 쌍둥이 건물에서 가져가려고 시도한 적도 있었었고.......

사이버 수사대에 얘기 했더니, 뭐, 가져가서 자기네가 운영하기 위해 오픈하지만 않으면 수사할수 없다. 라는 대답만 하더라구요.

어쨌든..
access_log 확인해 보시구요
webzip, teleport, getfight, webcopier 등이 있으면 접속 막아 보시기 바랍니다.

피곤해의 이미지

외부에서 가져가는 것은 아닙니다.. ^^

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.