用户通过https连接到我们的网络服务器,并在使用我们的服务时保持安全连接。典型的用户会话将建立与服务器的少量连接(一个或两个)。
我们试图追踪的例外情况非常少。特定用户将间歇性地建立数百个连接。当我们碰巧在行为中发现问题时,我们可以看到SSL握手的交换,并且从服务器的角度来看,所有看起来都是有序的。然而,我们从未观察到有效负载 - 客户端改为连接新端口并启动新的握手。
我们无法访问客户端,也无法观察连接那一侧的行为。我们也没有可以重现问题的本地场景。
我们相信(虽然未确认)用户代理直接连接到我们的服务器,而不是通过代理连接。
有人认出这些症状吗?任何人都可以建议进一步确定问题的步骤吗?
答案 0 :(得分:1)
除了多次重复请求之外,您是否可以看到此流量的模式?
例如,请求是否来自相同的IP范围?可能是搜索引擎或其他蜘蛛,或者可能来自你通常不会从中获取用户的国家,可能表示某种奇怪的僵尸网络,或者至少可以阻止它们?
这些恶意请求是否总是协商使用特定的密码套件,可能指示客户端软件?
如果您更改可用于协商的可用密码套件会有什么不同吗?
您使用的服务器软件是什么,网络中是否有可能会丢失某些响应的防火墙?
答案 1 :(得分:0)
我看到botnet flooding https sites正在被指导。
答案 2 :(得分:0)
这可能不是你的情况,但我想我提到了它。
我看到chrome(12.0.742.60测试版)充斥着我的服务器与https连接,大约六个或更多连接为一个静态图片提供服务...好像它有一个优化建立连接准备https握手等待发送请求,然后在提供页面(文件)之后将其全部关闭。
在普通的http上我只看到两个连接(一个额外的用于favicon.ico)。