Re: Пустые tcp-сессии и nginx
В Tue, 10 Jan 2012 21:09:51 +0200
Bogdan <bogdar@gmail.com> пишет:
> Добрый день.
>
> Внезапно в логе nginx обнаружилась масса HTTP-запросов с кодом "400"
>
> Wireshark показал, что с сервером постоянно устанавливаются "пустые"
> tcp-соединения (корректные на первый взгляд), которые сразу же и
> закрываются без передачи данных.
>
> Количество таких соединений - порядка 2M в сутки, что составляет
> несколько процентов от общего количество логируемых запросов (статика
> в основном не логируется), количество уникальных IP порождающих такие
> запросы - порядка 0.5K за сутки.
>
> Вопрос - это какой-то такой наивный DDoS или в сети появилась какая-то
> новая, печальная технология?
>
> По моим наблюдениями, с этих IP заходят клиенты идентифицирующие себя
> как AppleWebKit, но это очень предварительно, логи еще перевариваются
> скриптом.
> Включение либо выключение синкук ни на что не влияет.
>
> Спасибо.
>
Ну допустим это DDoS. Допустим, его засунули в какую-нибудь популярную
программу для айфона. И вот он ддосит сайт-жертву. Но WebKit - это
броузер. Если это посторонний (вредоносный) код в программе - зачем ему
вобще слать user agent? А если гореписателю хватило мозгов прикинуться
сафари - почему у него не хватило мозгов на то чтобы написать нечто
большее чем пустой запрос? Вряд ли nginx можно положить пустыми
запросами заДДоСить, уж очень много машин надо, хотя не исключено.
А вобще похоже на сканирование каким-нибудь nmap'ом. Но зачем тогда так
часто?
Вот такие вот 2 направления мыслей возникли, которые, как видно, меня
толком никуда не привели. Может, Вас приведут...
Кстати, ещё вариант: может это какой-нибудь скайп ломится или ещё
чё-то с непонятным стрёмным протоколом (зависит от назначения машины,
где она стоит, только nginx на ней или ещё что-то, не является ли она по
совместительству маршрутизатором)?
Reply to: