Causa para um grande número de pedidos da web duplicados

1

Estou vendo um tráfego estranho no meu site. Ocasionalmente, provavelmente algumas vezes por dia, receberei uma enxurrada de pedidos para o mesmo URI do mesmo endereço IP por vários minutos, a taxas de talvez um por segundo até centenas por segundo. Além do timestamp, os pedidos parecem completamente idênticos. Não parece haver nenhum padrão para os URIs ou os IPs ou quaisquer outros aspectos dos pedidos além de serem idênticos dentro de cada enxurrada individual. Notavelmente, parece abranger todos os navegadores.

À primeira vista, parece ser um DOS, mas, na maioria das vezes, não há tráfego suficiente para isso, e há algumas outras características das solicitações que me levam a acreditar que não é um ataque mal-intencionado, incluindo o fato de que muitos deles são de usuários autenticados e todos os que eu investiguei parecem acontecer dentro do que de outra forma se parece com uma sessão normal no site.

Eu praticamente cheguei à conclusão de que não é intencional. Mas isso me leva a acreditar que ou há algo em nosso site que confunde os navegadores em fazer uma infinidade de pedidos, ou há algum comportamento do usuário que está criando as rajadas.

Isso levanta estas questões:

  • Se for apenas um comportamento do usuário, parece que esse mesmo padrão existiria em sites diferentes do meu. Eu não ouvi nada disso, mas vale a pena perguntar se alguém viu esse tipo de tráfego. Então tem alguém?
  • Se houver algo em nosso conteúdo da web que possa causar isso, parece que alguém já o encontrou antes. Alguém tem alguma ideia aqui?

Eu coloquei alguns estrangulamentos no lugar, e não é provável que afete o desempenho do site, mas eu realmente gostaria de encontrar algum tipo de causa raiz. Se não conseguir encontrar nada aqui, vou começar perguntando diretamente aos usuários que posso identificar, mas prefiro lidar com isso internamente, se possível.

Os servidores da web dos quais estou reunindo esses logs estão atrás de balanceadores de carga da F5. Os logs são do Apache e os logs mostram diferentes timestamps, portanto, não é um erro de log. Além disso, podemos ver alguns efeitos colaterais das várias solicitações nos logs do servidor de banco de dados e assim por diante.

É possível que os usuários estejam raspando dados, mas parece improvável. Espero encontrar uma explicação técnica primeiro. Se eu não conseguir encontrar uma, vou procurar uma explicação social.

    
por wfaulk 30.01.2013 / 20:49

0 respostas