HTTP 400
Igor Sysoev
is at rambler-co.ru
Tue Nov 18 16:35:00 MSK 2008
On Tue, Nov 18, 2008 at 04:23:57PM +0300, Nickolay Krylov wrote:
> на nginx-0.6.32 проявляется некоторое (очень небольшое) число запросов
> в ответ на которые пользователь получает ответ 400.
> напрягает то, что среди них ТОЧНО есть живые люди с браузерами, а не
> боты
>
> выглядит это так:
>
> c фронтенда
> 62.68.76.13 - - [30/Oct/2008:13:51:56 +0300] "GET /utils/RPC.php?action=fmsg&dst=inside&ut=1225403410671 HTTP/1.0" 400 0 "http:
> //domain.ru/my/contact.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MRSPUTNIK 2, 0, 1, 29 HW; MRA 5.2 (
> build 02405))"
> 85.172.39.149 - - [30/Oct/2008:14:25:24 +0300] "GET /my/contact.php?group_id=1 HTTP/1.1" 400 0 "http://my.domain.ru/my/con
> tact.php?group_id=1" "Opera/9.52 (Windows NT 5.1; U; ru)"
> ...
> 91.103.27.172 - - [04/Nov/2008:20:12:47 +0300] "GET /static/1251/rle.html?v=1225706842 HTTP/1.1" 400 0
> "http://domain.ru/user/110577/?sid=413286a8cff90f196b77cf6bf0434d8d&touch=1225735286480&me=92838" "Mozilla/4.0 (compatible; MSIE 5.01; Windows
> 98)"
> 83.217.254.129 - - [04/Nov/2008:19:49:17 +0300] "GET /static/photo/113/113298/s_1225642898.846.jpg HTTP/1.1" 400 0 "http://www.
> domain.ru/search.php" "SAMSUNG-SGH-D880/D880XEGK5 Profile/MIDP-2.0 Configuration/CLDC-1.1 UP.Browser/6.2.3.3.c.1.101 (G
> UI) MMP/2.0"
> 87.241.183.191 - - [17/Nov/2008:20:04:27 +0300] "GET
> /static/js/ru/rpc_001.js?upd=20071023 HTTP/1.1" 400 526 "http://www.domain.ru/message.php?act=get&uid=108140&sid=bf7d9ad755f41f844b4af325d30aed6f&touch=1226940557218&photo=1"
> "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 5.1 (build 02214))"
>
> Как-нибудь можно сохранить полностью http траффик для
> последующего анализа для таких запросов?
> полный tcpdump с интерфейса невозможен изза объемов
Такого сделать нельзя, но для 400 ответов на уровне info в error_log
пишется причина ответа.
> и даже с бекенда
>
> location / {
> proxy_pass http://10.0.0.1/;
> proxy_set_header Host $http_host;
> proxy_set_header X-Real-IP $remote_addr;
> }
>
> 10.0.0.1 - - [18/Nov/2008:15:01:37 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:07:00 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:22:27 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:24:19 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:30:44 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:54:00 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:54:14 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:54:24 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:16:03:53 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:16:14:20 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:16:16:24 +0300] "-" 400 0 "-" "-"
>
> что особо странно. на бекенд неверные запросы по идее вообще проходить
> не должны, т.к. их отлупит первый nginx
Это похоже на то, что nginx закрыл соединение, ничего не передав.
--
Игорь Сысоев
http://sysoev.ru
More information about the nginx-ru
mailing list