Re: Пустые tcp-сессии и nginx
2012/1/11 Boris Bobrov <breton.linux@gmail.com>:
> В сообщении от Среда 11 января 2012 00:09:51 Bogdan написал:
>> Добрый день.
>>
>> Внезапно в логе nginx обнаружилась масса HTTP-запросов с кодом "400"
>>
>> Wireshark показал, что с сервером постоянно устанавливаются "пустые"
>> tcp-соединения (корректные на первый взгляд), которые сразу же и
>> закрываются без передачи данных.
>>
>> Количество таких соединений - порядка 2M в сутки, что составляет
>> несколько процентов от общего количество логируемых запросов (статика
>> в основном не логируется), количество уникальных IP порождающих такие
>> запросы - порядка 0.5K за сутки.
>>
>> Вопрос - это какой-то такой наивный DDoS или в сети появилась какая-то
>> новая, печальная технология?
>>
>> По моим наблюдениями, с этих IP заходят клиенты идентифицирующие себя
>> как AppleWebKit, но это очень предварительно, логи еще перевариваются
>> скриптом.
>> Включение либо выключение синкук ни на что не влияет.
>>
>> Спасибо.
>
> Не совпадает ли случайно географическое расположение IP-адресов, с которых
> приходят эти запросы, с географическим расположением основной массы
> посетителей сайта?
> Вижу то же самое у себя, но в меньших количествах. И у меня они себя не
> идентифицируют, а отображаются просто как
> <ip> - - [11/Jan/2012:17:24:56 +0400] "-" 400 0 "-" "-"
Я обычно еще вижу потом несколько валидных запросов с этого адреса.
> --
> WBR,
> Boris.
--
WBR, Bogdan B. Rudas
Reply to: