HTTP 400

Igor Sysoev is at rambler-co.ru
Tue Nov 18 16:35:00 MSK 2008


On Tue, Nov 18, 2008 at 04:23:57PM +0300, Nickolay Krylov wrote:

> на nginx-0.6.32 проявляется некоторое (очень небольшое) число запросов
> в ответ на которые пользователь получает ответ 400.
> напрягает то, что среди них ТОЧНО есть живые люди с браузерами, а не
> боты
> 
> выглядит это так:
> 
> c фронтенда
> 62.68.76.13 - - [30/Oct/2008:13:51:56 +0300] "GET /utils/RPC.php?action=fmsg&dst=inside&ut=1225403410671 HTTP/1.0" 400 0 "http:
> //domain.ru/my/contact.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MRSPUTNIK 2, 0, 1, 29 HW; MRA 5.2 (
> build 02405))"
> 85.172.39.149 - - [30/Oct/2008:14:25:24 +0300] "GET /my/contact.php?group_id=1 HTTP/1.1" 400 0 "http://my.domain.ru/my/con
> tact.php?group_id=1" "Opera/9.52 (Windows NT 5.1; U; ru)"
> ...
> 91.103.27.172 - - [04/Nov/2008:20:12:47 +0300] "GET /static/1251/rle.html?v=1225706842 HTTP/1.1" 400 0
> "http://domain.ru/user/110577/?sid=413286a8cff90f196b77cf6bf0434d8d&touch=1225735286480&me=92838" "Mozilla/4.0 (compatible; MSIE 5.01; Windows
> 98)"
> 83.217.254.129 - - [04/Nov/2008:19:49:17 +0300] "GET /static/photo/113/113298/s_1225642898.846.jpg HTTP/1.1" 400 0 "http://www.
> domain.ru/search.php" "SAMSUNG-SGH-D880/D880XEGK5 Profile/MIDP-2.0 Configuration/CLDC-1.1 UP.Browser/6.2.3.3.c.1.101 (G
> UI) MMP/2.0"
> 87.241.183.191 - - [17/Nov/2008:20:04:27 +0300] "GET
> /static/js/ru/rpc_001.js?upd=20071023 HTTP/1.1" 400 526 "http://www.domain.ru/message.php?act=get&uid=108140&sid=bf7d9ad755f41f844b4af325d30aed6f&touch=1226940557218&photo=1"
> "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 5.1 (build 02214))"
> 
> Как-нибудь можно сохранить полностью http траффик для
> последующего анализа для таких запросов?
> полный tcpdump  с интерфейса невозможен изза объемов

Такого сделать нельзя, но для 400 ответов на уровне info в error_log
пишется причина ответа.

> и даже с бекенда
> 
>         location / {
>             proxy_pass  http://10.0.0.1/;
>             proxy_set_header  Host        $http_host;
>             proxy_set_header   X-Real-IP  $remote_addr;
>         }
> 
> 10.0.0.1 - - [18/Nov/2008:15:01:37 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:07:00 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:22:27 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:24:19 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:30:44 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:54:00 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:54:14 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:15:54:24 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:16:03:53 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:16:14:20 +0300] "-" 400 0 "-" "-"
> 10.0.0.1 - - [18/Nov/2008:16:16:24 +0300] "-" 400 0 "-" "-"
> 
> что особо странно. на бекенд неверные запросы по идее вообще проходить
> не должны, т.к. их отлупит первый nginx

Это похоже на то, что nginx закрыл соединение, ничего не передав.


-- 
Игорь Сысоев
http://sysoev.ru





More information about the nginx-ru mailing list