Dlaczego nagle w moim dzienniku dostępu pojawiło się tak wiele 400 żądań?


10

Poniżej znajduje się niewielka część mojego dziennika access_log

118.186.8.50 - - [19/Dec/2011:22:42:57 +0800] "-" 400 0 "-" "-"
05
118.186.8.50 - - [19/Dec/2011:22:42:57 +0800] "-" 400 0 "-" "-"
06
118.186.8.50 - - [19/Dec/2011:22:42:57 +0800] "-" 400 0 "-" "-"
07
118.186.8.50 - - [19/Dec/2011:22:42:57 +0800] "-" 400 0 "-" "-"
08
118.186.8.50 - - [19/Dec/2011:22:42:57 +0800] "-" 400 0 "-" "-"
09
220.173.136.39 - - [19/Dec/2011:22:43:22 +0800] "-" 400 0 "-" "-"
10
220.173.136.39 - - [19/Dec/2011:22:43:22 +0800] "-" 400 0 "-" "-"
11
220.173.136.39 - - [19/Dec/2011:22:43:22 +0800] "-" 400 0 "-" "-"
12
220.173.136.39 - - [19/Dec/2011:22:43:22 +0800] "-" 400 0 "-" "-"
13
220.173.136.39 - - [19/Dec/2011:22:43:22 +0800] "-" 400 0 "-" "-"
14
220.173.136.39 - - [19/Dec/2011:22:43:22 +0800] "-" 400 0 "-" "-"

A wolumen był bardzo ogromny, niektóre ze stu tysięcy z tych 400 żądań na sekundę. I jestem prawie pewien, że w tym czasie nie ma błędów w mojej witrynie (brak raportu o błędach i nie zmieniłem kodu źródłowego)

Odpowiedzi:


5

Ktoś sfałszował twój serwer. Zobacz także Wikipedię .

Zasadniczo polega na wysyłaniu szybkich bloków nieprawidłowych danych, aby sprawdzić, czy coś się psuje.

Nginx jest ustawiony na zwracanie błędu błędu 400, gdy nie są wysyłane żadne dane żądania.

Nie martw się o to. Nginx może po prostu ciągle je podskakiwać, nie tracąc potu.


Jedyne, o co będzie musiał się martwić, to pliki dziennika pochłaniające miejsce na dysku. W tym przypadku pomocny jest właściwy obrót kłód.
Justin Pearce,

Mam ten sam problem. Liczba różnych adresów IP nie czyni moim zdaniem ataku (fuzzingiem) bardzo prawdopodobnym. Wciąż szukam lepszego wyjaśnienia.
Oliver

2

Sprawdź i sprawdź, czy adres IP powodujący 400 używa Google Chrome. Chrome korzysta z połączenia wstępnego, aby ustanowić kilka połączeń z serwerem i zamknąć je, jeśli nie są używane.

Ponieważ w połączeniu nie zgłoszono żadnego żądania, nginx zarejestruje ten błąd.


Widzę tutaj ten sam problem i mam dokładnie ten sam format pliku dziennika, więc zakładam, że OP nie zmienił domyślnego. Co oznacza, że ​​ciąg agenta użytkownika jest rejestrowany - tak się składa, że ​​nie zawiera żadnej wartości. Nie jestem więc pewien, jak sprawdzić, czy ci klienci używają Chrome. Sam nie mogłem teraz odtworzyć tego błędu w dzienniku za pomocą Chrome 26. Wszelkie inne wskazówki?
Oliver

Agent użytkownika jest wysyłany jako nagłówek żądania, chyba że / do momentu wysłania żądania, nginx nie ma możliwości poznania i zarejestrowania ciągu agenta użytkownika. Możesz jednak sprawdzić inne rekordy dziennika pochodzące z tego adresu IP i, jeśli klient faktycznie złożył jakiekolwiek żądanie, dowiedzieć się, czy był to Chrome, czy nie.
Ivan Anishchuk
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.