环境:Apache 2.4,Tomcat 7.0.54,Java 7,Ubuntu 14.04.5
我们一直注意到针对我们网站的大量请求。 Flood包含来自应用程序所有部分的URL。 某些URL是通过AngularJS 1.x / XHR调用的。
当用户浏览我们的应用程序时,会在访问日志中突然看到一个URL,最长可达2到3分钟。
GET和POST网址都在洪水报告中看到。 当用户点击页面中的另一个URL时,洪水很可能会停止。
所有响应代码均为200,浏览器在处理完前一个响应之后似乎没有调用下一个URL。 所有请求似乎都几乎同时发生。
我们有Akamai,AWS ELB,Apache和tomcat日志,所有访问日志都会出现这种泛滥,所以它必须来自用户的浏览器。
我们怀疑响应可能包含元刷新标记,但在这种情况下,浏览器会按顺序调用URL。 当站点运行Apache 2.2.2时启用了mod_security,但是响应中没有看到这种类型的元刷新标记。
Flood似乎主要来自用户代理“Mozilla / 5.0(Windows NT 6.1; rv:54.0)Gecko / 20100101 Firefox / 54.0”,它似乎是Windows 7上的Firefox,但我们也看到了Windows 10上的浏览器(即NT 10.0)
如果其他人在他们的申请/网站上看到过这种洪水,请帮忙吗?
谢谢, 萨米尔
答案 0 :(得分:0)
最可能的罪魁祸首似乎是这个。 https://blogs.oracle.com/ravello/beware-http-requests-automatic-retries
如果HTTP / 1.1客户端发送包含请求正文的请求, 但其中不包含带有 预期为“ 100-继续”,并且客户不是直接 连接到HTTP / 1.1原始服务器,并且如果客户端看到 在从服务器接收任何状态之前,连接已关闭, 客户应该重试该请求。 W3超文本传输协议- HTTP / 1.1