Задать вопрос

Почему куча запросов со статусом 400?

Наблюдаю подозрительную активность в логе веб-сервера (nginx): на один из вхостов сыплются с достаточно высокой частотой (несколько запросов в секунду) непонятные запросы, на которые сервер ругается ошибкой 400 (bad request). Подозрительное в запросах то, что они приходят с огромного числа IP-шников в очень большом количестве (впрочем, недостаточном, чтобы считать это DDoS). IP-шники из совершенно рандомных стран мира. Есть даже IPv6-трафик. Судя по whois, IP-шники в основном провайдерские, в общей сложности их почти 7 тысяч.

79.90.117.95 - - [05/Nov/2012:22:28:35 +0100] jsmart.web.id "-" 400 0 "-" "-" "-" 71.173.86.173 - - [05/Nov/2012:22:28:36 +0100] jsmart.web.id "-" 400 0 "-" "-" "-" 71.173.86.173 - - [05/Nov/2012:22:28:36 +0100] jsmart.web.id "-" 400 0 "-" "-" "-" 89.14.108.68 - - [05/Nov/2012:22:28:36 +0100] jsmart.web.id "-" 400 0 "-" "-" "-" 89.14.108.68 - - [05/Nov/2012:22:28:36 +0100] jsmart.web.id "-" 400 0 "-" "-" "-" 89.14.108.68 - - [05/Nov/2012:22:28:36 +0100] jsmart.web.id "-" 400 0 "-" "-" "-"
  • Вопрос задан
  • 5351 просмотр
Подписаться 3 Оценить Комментировать
Решения вопроса 1
vsespb
@vsespb
Пригласить эксперта
Ответы на вопрос 3
librarian
@librarian
На хайлоаде Бартенев рассказал, что куча 400 это нормально. Просто гуглохром «на всякий случай» открывает несколько коннектов к серверу
Ответ написан
WST
@WST Автор вопроса
Дефолтным он действительно является.
С общим трафиком на сервере данный примерно одного порядка.
И да, спасибо за дельный совет, все IP-шники, «попавшиеся» за несколько секунд просмотра лога, действительно совершали и нормальные запросы. Эти запросы шли на поддомен рассматриваемого. Возможно ли так, что браузер порождает какие-то запросы на домен верхнего (по отношению к данному) уровня?

Чисто ради интереса пытаюсь воспроизвести ситуацию, просматривая сайт, к которому идут нормальные запросы, пока что не удаётся.
Ответ написан
golotyuk
@golotyuk
400 ответы говорят о том, что клиент шлет слишком большой заголовок.

Это помогает
large_client_header_buffers 4 16k;
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы