Re: Пустые tcp-сессии и nginx
В сообщении от Среда 11 января 2012 00:09:51 Bogdan написал: Добрый день. Внезапно в логе nginx обнаружилась масса HTTP-запросов с кодом 400 Wireshark показал, что с сервером постоянно устанавливаются пустые tcp-соединения (корректные на первый взгляд), которые сразу же и закрываются без передачи данных. Количество таких соединений - порядка 2M в сутки, что составляет несколько процентов от общего количество логируемых запросов (статика в основном не логируется), количество уникальных IP порождающих такие запросы - порядка 0.5K за сутки. Вопрос - это какой-то такой наивный DDoS или в сети появилась какая-то новая, печальная технология? По моим наблюдениями, с этих IP заходят клиенты идентифицирующие себя как AppleWebKit, но это очень предварительно, логи еще перевариваются скриптом. Включение либо выключение синкук ни на что не влияет. Спасибо. Не совпадает ли случайно географическое расположение IP-адресов, с которых приходят эти запросы, с географическим расположением основной массы посетителей сайта? Вижу то же самое у себя, но в меньших количествах. И у меня они себя не идентифицируют, а отображаются просто как ip - - [11/Jan/2012:17:24:56 +0400] - 400 0 - - -- WBR, Boris. signature.asc Description: This is a digitally signed message part.
Re: Пустые tcp-сессии и nginx
2012/1/11 Boris Bobrov breton.li...@gmail.com: В сообщении от Среда 11 января 2012 00:09:51 Bogdan написал: Добрый день. Внезапно в логе nginx обнаружилась масса HTTP-запросов с кодом 400 Wireshark показал, что с сервером постоянно устанавливаются пустые tcp-соединения (корректные на первый взгляд), которые сразу же и закрываются без передачи данных. Количество таких соединений - порядка 2M в сутки, что составляет несколько процентов от общего количество логируемых запросов (статика в основном не логируется), количество уникальных IP порождающих такие запросы - порядка 0.5K за сутки. Вопрос - это какой-то такой наивный DDoS или в сети появилась какая-то новая, печальная технология? По моим наблюдениями, с этих IP заходят клиенты идентифицирующие себя как AppleWebKit, но это очень предварительно, логи еще перевариваются скриптом. Включение либо выключение синкук ни на что не влияет. Спасибо. Не совпадает ли случайно географическое расположение IP-адресов, с которых приходят эти запросы, с географическим расположением основной массы посетителей сайта? Вижу то же самое у себя, но в меньших количествах. И у меня они себя не идентифицируют, а отображаются просто как ip - - [11/Jan/2012:17:24:56 +0400] - 400 0 - - Я обычно еще вижу потом несколько валидных запросов с этого адреса. -- WBR, Boris. -- WBR, Bogdan B. Rudas
Re: Пустые tcp-сессии и nginx
В Tue, 10 Jan 2012 21:09:51 +0200 Bogdan bog...@gmail.com пишет: Добрый день. Внезапно в логе nginx обнаружилась масса HTTP-запросов с кодом 400 Wireshark показал, что с сервером постоянно устанавливаются пустые tcp-соединения (корректные на первый взгляд), которые сразу же и закрываются без передачи данных. Количество таких соединений - порядка 2M в сутки, что составляет несколько процентов от общего количество логируемых запросов (статика в основном не логируется), количество уникальных IP порождающих такие запросы - порядка 0.5K за сутки. Вопрос - это какой-то такой наивный DDoS или в сети появилась какая-то новая, печальная технология? По моим наблюдениями, с этих IP заходят клиенты идентифицирующие себя как AppleWebKit, но это очень предварительно, логи еще перевариваются скриптом. Включение либо выключение синкук ни на что не влияет. Спасибо. Ну допустим это DDoS. Допустим, его засунули в какую-нибудь популярную программу для айфона. И вот он ддосит сайт-жертву. Но WebKit - это броузер. Если это посторонний (вредоносный) код в программе - зачем ему вобще слать user agent? А если гореписателю хватило мозгов прикинуться сафари - почему у него не хватило мозгов на то чтобы написать нечто большее чем пустой запрос? Вряд ли nginx можно положить пустыми запросами заДДоСить, уж очень много машин надо, хотя не исключено. А вобще похоже на сканирование каким-нибудь nmap'ом. Но зачем тогда так часто? Вот такие вот 2 направления мыслей возникли, которые, как видно, меня толком никуда не привели. Может, Вас приведут... Кстати, ещё вариант: может это какой-нибудь скайп ломится или ещё чё-то с непонятным стрёмным протоколом (зависит от назначения машины, где она стоит, только nginx на ней или ещё что-то, не является ли она по совместительству маршрутизатором)? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110223955.35de1c05@jager