DDOS导致Nginx 499状态码成因分析

内容简介：DDOS导致Nginx 499状态码成因分析

工作时遇到一个疑似被DDOS的情况，查看网站日志发现Nginx有大量的499状态码，但是正常用浏览器访问网站却能访问，没有任何问题。所以搜索了一些资料，找到了原因并复现了该现象。

猜想

499 状态码是 Nginx 自己定义的特殊返回码，查看资料，Nginx源码中是如下规定的：

ngx_string(ngx_http_error_495_page), /* 495, https certificate error */
ngx_string(ngx_http_error_496_page), /* 496, https no certificate */
ngx_string(ngx_http_error_497_page), /* 497, http to https */
ngx_string(ngx_http_error_404_page), /* 498, canceled */
ngx_null_string,                    /* 499, client has closed connection */

字面上的意思是客户端关闭了连接导致的。我的理解是客户端在发送HTTP请求后，不接收返回包，也不等服务器响应，立即关闭HTTP通道，或者强行关闭tcp连接。这样就会导致服务器在想发送response包给客户端时，找不到客户端的连接，所以提示499的状态码。

测试

针对以上的猜想，我对我自己的博客网站做了测试。用sock和httplib分别写了两段代码如下：

sock:

#encoding:utf-8
#created by noble
import sys
import socket
from multiprocessing import Process as pro
from multiprocessing.dummy import Process as thr

def sendsock(target, url, i):
	obj = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
	obj.settimeout(0.8)
	obj.connect((target, 80))
	print i
	obj.send("GET %s HTTP/1.0\r\nHost: %s\r\nUser-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36\r\nAccept: */*\r\n\r\n" %(url, target))
	obj.close()
	print i

if __name__ == '__main__':
	target = sys.argv[1]
	url = "/goods.php?id=51"
	for i in range(1000):      
		t=pro(target=sendsock, args=(target, url, i))
		t.start()

httplib:

#encoding:utf-8
#created by noble
import sys
import socket
import gevent
import httplib
from multiprocessing import Process as pro
from multiprocessing.dummy import Process as thr

def sendhttp(target, url, i, obj):
	print i
	obj.request('GET', url)
	obj.getresponse()

def run(target, url, i, obj):
	jobs=[gevent.spawn(sendhttp,target, url, i, obj) for i in range(10)]
	gevent.joinall(jobs)
	for i in jobs:
		i.join()

if __name__ == '__main__':
	target = sys.argv[1]
	url = "/goods.php?id=51"
	obj = httplib.HTTPConnection(target, 80, timeout=0.5)
	for i in range(1000):      
		t=pro(target=run, args=(target, url, i, obj))
		t.start()

第一段sock的代码全用的多进程，第二段httplib的用多进程和协程结合，然而这两种方法对于我的博客并发4-5千没有任何影响，没有一个499状态码出现。按照网络上文章的解释，这里我猜测是无论是sock还是http,在关闭请求时都没有关闭TCP连接，所以导致了客户端其实没有断开连接，所以服务端依然返回200。所以抓包分析了一下在做sock请求时的代码：

客户端：

服务端：

服务端的图就不截了，基本就是客户端的反向，基本没有差别。

从TCP流分析，首先开始是TCP三次握手，然后服务端向客户端发送HTTP请求，发送完HTTP请求之后，立刻发送FIN包，请求关闭TCP连接，开始四次挥手的流程。差不多60ms之后，客户端收到了服务端的发来的ACK包，代表服务端进入CLOSE-WAIT状态，此时TCP四次握手并没有完全关闭，服务端依然会将HTTP请求的数据发送给客户端。所以我们看到了NO.504包和NO.561包，length均为1514，这个包就是服务端把HTTP的返回包发给客户端的包，但是客户端接收到这个包之后，由于客户端本身已经关闭连接不接收数据，所以就会发RST包给服务端，代表接收到了异常数据，连接异常关闭。这也就导致了TCP四次挥手没有全部做完，而是异常关闭的。附一张TCP的连接图如下：

回到我们的问题上，我们的猜想也可以合理解释了： 即使我们的SOCK连接是发送了http请求后立马就请求关闭TCP连接，但是TCP四次挥手需要时间，在TCP挥手结束之前，服务端就把数据传输了过来，所以返回包依然是200。

二次测试

这个时候我们还无法验证我们的猜想是否正确，所以我找了一个 PHP 的站点，又一次进行了上述实验，在Nginx代理PHP的环境下，上述两个测试脚本均造成了大量499状态码的出现。

抓下包，截图如下：

这是跑第一个sock脚本的结果，这个TCP流就简单多了，先三次握手，再发送HTTP请求包，再四次挥手，可以看到在此时服务端并没有返回数据给客户端，也就是说明服务端在TCP连接关闭之前，没有生成完网页内容并把内容返回给客户端。此时再看一下服务端的状态，Nginx日志中出现了大量499状态。

结论分析

经过两次测试，初步可以得出以下结论：

1. 499状态码产生的原因是在服务端准备好返回内容并发送之前，客户端已经关闭了和服务端的 TCP 连接。而之所以我的博客不会产生是因为静态页面，Nginx处理的很快，而Nginx主要用作反向代理，准备返回包的内容肯定会有一定的延迟，所以499状态码的出现屡见不鲜。
2. 经抓包分析，python的httplib模块，在发送完HTTP请求，接受完数据后就会主动关闭TCP连接，下次请求时会再新建一个TCP连接，而不是一直保持一个HTTP长连接不断。
3. 网上流传的解决措施： proxy_ignore_client_abort on; ，经测试没有任何效果。

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持 码农网

关注我们，获取更多IT资讯^_^

查看所有标签

• 机器学习PAI实践三：雾霾成因分析
• 北京大学专家：软件供应链安全的风险和成因分析
• 利用X-Forwarded-For伪造客户端IP漏洞成因及防范
• 利用X-Forwarded-For伪造客户端IP漏洞成因及防范
• 类初始化导致死锁
• 组合漏洞导致的账号劫持

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。