Lotes de 408 pedidos expirados com os mesmos IPs

Navegue suas respostas
3

Servidor da Web: Nginx.

Verificando nossos arquivos de log, existem muitas entradas de log de conexões que:

  • leve de 59 a 61 segundos
  • envia uma solicitação vazia (ou pelo menos nenhuma está registrada)
  • resulta em uma resposta 408 (tempo limite da solicitação)
  • não contém nenhum http_user_agent
  • originam-se de um número limitado de IPs

Estamos monitorando os tempos médios para atender às respostas, o que obviamente infla nossas estatísticas. Além disso, isso é um problema? Alguma ideia do porquê isso está ocorrendo? Isso sugere que alguém está intencionalmente mexendo com a gente? O que devemos fazer?

    
por Martin 20.06.2012 / 03:42

2 respostas

3

Pode ser um ataque lento:

Veja: link e link

    
por 20.06.2012 / 14:58
2

Eu faço isso algumas vezes quando uso meu telefone no trem. Eu atravesso uma área de sinal fraco ou um túnel na hora certa (entre o handshake do TCP e a solicitação sendo enviada) e é isso que acontece.

As operadoras de telefonia geralmente colocam todos os seus clientes por trás do NAT, portanto, muitos usuários podem vir de um pequeno número de endereços IP.

Faça mais algumas análises:

  • Quantos você está vendo?
  • Eles seguem padrões como 7:00 - 9:00?
  • O endereço IP pertence às operadoras de telefonia?
  • Você recebe algum outro tráfego dos mesmos endereços IP?
  • Como se parece?

Dependendo das respostas a essas perguntas, pode ser benigno ou deliberadamente malicioso. De qualquer forma, reduzir o tempo limite pode ser uma boa ideia. Mesmo em um telefone, ninguém espera por 60 segundos antes de fazer a solicitação novamente.

    
por 20.06.2012 / 09:12

Tags

Como medir o consumo de memória de um driver no Windows? du exibindo resultados antigos