В сообщении от Среда 11 января 2012 00:09:51 Bogdan написал: > Добрый день. > > Внезапно в логе nginx обнаружилась масса HTTP-запросов с кодом "400" > > Wireshark показал, что с сервером постоянно устанавливаются "пустые" > tcp-соединения (корректные на первый взгляд), которые сразу же и > закрываются без передачи данных. > > Количество таких соединений - порядка 2M в сутки, что составляет > несколько процентов от общего количество логируемых запросов (статика > в основном не логируется), количество уникальных IP порождающих такие > запросы - порядка 0.5K за сутки. > > Вопрос - это какой-то такой наивный DDoS или в сети появилась какая-то > новая, печальная технология? > > По моим наблюдениями, с этих IP заходят клиенты идентифицирующие себя > как AppleWebKit, но это очень предварительно, логи еще перевариваются > скриптом. > Включение либо выключение синкук ни на что не влияет. > > Спасибо. Не совпадает ли случайно географическое расположение IP-адресов, с которых приходят эти запросы, с географическим расположением основной массы посетителей сайта? Вижу то же самое у себя, но в меньших количествах. И у меня они себя не идентифицируют, а отображаются просто как <ip> - - [11/Jan/2012:17:24:56 +0400] "-" 400 0 "-" "-" -- WBR, Boris.
Attachment:
signature.asc
Description: This is a digitally signed message part.