Странный $upstream response time в логах

Violator43 nginx-forum at nginx.us
Tue Sep 16 05:28:05 UTC 2014


Сегодня поимел DDoS. 
Конфигурация access_log у меня такая:
"$request_time","$upstream_response_time","$http_host","$remote_addr","$remote_user","$time_local","$request",$status,$body_bytes_sent,"$http_referer","$http_user_agent","$cookie_PHPSESSID","$geoip_country_code"

При дедосе в логе сначала было:

"60.001","0.000 : 0.000 : 0.000 : 0.000 : 0.000 : 0.000 : 0.000 : 0.000 :
0.000",мой_IP,IP_клиента,"-","16/Sep/2014:07:55:45 +0400","POST /
HTTP/1.1",500,0,"-","-","-","DE"
потом стало 
"412.457","172.118 : 0.006 : 180.328 : 0.000 : 0.001 : 0.001 : 0.001 : 0.000
: 0.001",мой_IP,IP_клиента,"-","16/Sep/2014:08:24:32 +0400","POST /
HTTP/1.1",500,0,"-","-","-","DE"

Содержимое POST запроса залогировать не успел (после первого бана DDoS
прекратился). Глянул в старые логи: в течение полугода было аналогичное при
некорректных запросах (к несуществующим сайтам, без UserAgent и т.д.). 

Вопрос, почему в $upstream_response_time при некорректных запросах иногда
пишется 9 значений через двоеточие?  
Версия nginx была 1.6.0 (сразу обновил до 1.6.1), FreeBSD 9.1, бекэндом
апач+php.

Posted at Nginx Forum: http://forum.nginx.org/read.php?21,253267,253267#msg-253267



Подробная информация о списке рассылки nginx-ru