2012/1/11 Boris Bobrov <[email protected]>: > В сообщении от Среда 11 января 2012 00:09:51 Bogdan написал: >> Добрый день. >> >> Внезапно в логе nginx обнаружилась масса HTTP-запросов с кодом "400" >> >> Wireshark показал, что с сервером постоянно устанавливаются "пустые" >> tcp-соединения (корректные на первый взгляд), которые сразу же и >> закрываются без передачи данных. >> >> Количество таких соединений - порядка 2M в сутки, что составляет >> несколько процентов от общего количество логируемых запросов (статика >> в основном не логируется), количество уникальных IP порождающих такие >> запросы - порядка 0.5K за сутки. >> >> Вопрос - это какой-то такой наивный DDoS или в сети появилась какая-то >> новая, печальная технология? >> >> По моим наблюдениями, с этих IP заходят клиенты идентифицирующие себя >> как AppleWebKit, но это очень предварительно, логи еще перевариваются >> скриптом. >> Включение либо выключение синкук ни на что не влияет. >> >> Спасибо. > > Не совпадает ли случайно географическое расположение IP-адресов, с которых > приходят эти запросы, с географическим расположением основной массы > посетителей сайта? > Вижу то же самое у себя, но в меньших количествах. И у меня они себя не > идентифицируют, а отображаются просто как > <ip> - - [11/Jan/2012:17:24:56 +0400] "-" 400 0 "-" "-"
Я обычно еще вижу потом несколько валидных запросов с этого адреса. > -- > WBR, > Boris. -- WBR, Bogdan B. Rudas
