В Tue, 10 Jan 2012 21:09:51 +0200 Bogdan <[email protected]> пишет:
> Добрый день. > > Внезапно в логе nginx обнаружилась масса HTTP-запросов с кодом "400" > > Wireshark показал, что с сервером постоянно устанавливаются "пустые" > tcp-соединения (корректные на первый взгляд), которые сразу же и > закрываются без передачи данных. > > Количество таких соединений - порядка 2M в сутки, что составляет > несколько процентов от общего количество логируемых запросов (статика > в основном не логируется), количество уникальных IP порождающих такие > запросы - порядка 0.5K за сутки. > > Вопрос - это какой-то такой наивный DDoS или в сети появилась какая-то > новая, печальная технология? > > По моим наблюдениями, с этих IP заходят клиенты идентифицирующие себя > как AppleWebKit, но это очень предварительно, логи еще перевариваются > скриптом. > Включение либо выключение синкук ни на что не влияет. > > Спасибо. > Ну допустим это DDoS. Допустим, его засунули в какую-нибудь популярную программу для айфона. И вот он ддосит сайт-жертву. Но WebKit - это броузер. Если это посторонний (вредоносный) код в программе - зачем ему вобще слать user agent? А если гореписателю хватило мозгов прикинуться сафари - почему у него не хватило мозгов на то чтобы написать нечто большее чем пустой запрос? Вряд ли nginx можно положить пустыми запросами заДДоСить, уж очень много машин надо, хотя не исключено. А вобще похоже на сканирование каким-нибудь nmap'ом. Но зачем тогда так часто? Вот такие вот 2 направления мыслей возникли, которые, как видно, меня толком никуда не привели. Может, Вас приведут... Кстати, ещё вариант: может это какой-нибудь скайп ломится или ещё чё-то с непонятным стрёмным протоколом (зависит от назначения машины, где она стоит, только nginx на ней или ещё что-то, не является ли она по совместительству маршрутизатором)? -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/20120110223955.35de1c05@jager
