许多408请求从相同的IP超时

Web服务器:Nginx。

检查我们的日志文件,有许多连接日志条目:

  • 需要59-61秒
  • 发送一个空的请求(或至less没有被logging)
  • 导致408响应(请求超时)
  • 不包含任何http_user_agent
  • 起源于数量有限的IP

我们正在监测平均服务时间,这显然使我们的统计数据膨胀。 除此之外,这是一个问题吗? 任何想法为什么发生? 这是否暗示有人故意搞乱我们? 我们应该做什么?

这可能是一个slowloris攻击:

请参阅: https : //en.wikipedia.org/wiki/Slowloris_(computer_security)和http://ha.ckers.org/slowloris/

在火车上使用我的手机时,我有时会造成这种情况。 在恰当的时间(在TCP握手和发送请求之间),我经历了一个低信号区域或隧道,这就是发生了什么事情。

电话运营商经常把所有的客户放在NAT之后,所以很多用户可能来自less量的IP地址。

做更多的分析:

  • 你看到了多less?
  • 他们是否遵循上午7点 – 上午9点的模式?
  • IP地址是否属于电话运营商?
  • 你是否从相同的IP地址获得任何其他stream量?
  • 它是什么样子的?

根据这些问题的答案,这可能是良性的,也可能是故意的恶意。 无论哪种方式,降低超时可能是一个好主意。 即使在电话上,没有人再等待60秒,再次提出请求。