web应用出现400响应的分析

时间:2022-02-16 17:04:38

一个应用上出现400响应码的请求增多,基本达到了千分之一,应用方请求我们分析原因。

首先看日志,检查400请求的ip的其它请求是否正常,排除伪造请求的攻击行为。发现用户的User-Agent分布正常,ip分布正常。所有400请求的响应

内容都是226字节,说明服务器返回给用户的内容是固定的。

400错误是用户请求错误,用户请求格式错误的原因基本可以分为两种,一种是因为网络通讯造成数据残缺,一种是违反了约定和数据格式或长度。

如果是自定义客户端,对协议的各种情况覆盖不完整,违反数据格式或长度的情况可能比较多,但是对于用户正常的通过浏览器访问的情况,违反

数据格式或长度的情况几率非常小。我们考虑数据超长的情况最可能的就是cookie超长,于是模拟了一个超长的cookie进行测试,浏览器虽然返回了

400响应码,但是content-length却是很大,包括了cookie的内容长度(apache的bug,现在已经升级到2.2.22解决了这个bug)。


于是怀疑是超时产生数据残缺引起的。

查看400的记录平均处理时间:
    cat cookie_log|grep 'HTTP/1.1 \" 400 '|awk '{print $12}'|awk 'BEGIN{total=0;count=0} {total+=$1;count++} END{ print total/count}'
    得到平均耗时为 6119.350ms.
    查看前十万条记录平均耗时:
    head -n100000 cookie_log|grep 'HTTP/1.1 \" 400 '|awk '{print $12}'|awk 'BEGIN{total=0;count=0} {total+=$1;count++} END{ print total/count}'
    得到耗时为 48.325ms
    
    说明400时平均耗时是正常的120多倍。
    
    程序验证:
    out.write("GET /testpath HTTP/1.1\r\n".getBytes());
    out.flush();
    Thread.sleep(30*1000); // 模拟超时
     out.write(("Host: testhost\r\nUser-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:10.0) Gecko/20100101 Firefox/10.0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: zh-cn,en-us;q=0.7,en;q=0.3\r\nAccept-Encoding: gzip, deflate\r\nConnection: keep-alive\r\nIf-Modified-Since: Thu, 27 Oct 2011 01:16:25 GMT\r\nCache-Control: max-age=0\r\n\r\n").getBytes());
     out.flush();
     得到如下响应:

    HTTP/1.1 400 Bad Request
    Date: Wed, 08 Feb 2012 08:36:52 GMT
    Server: Apache
    Content-Length: 226
    Connection: close
    Content-Type: text/html; charset=iso-8859-1
    
     <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
     <html><head> <title>400 Bad Request</title> </head>
    <body>
        <h1>Bad Request</h1>
        <p>Your browser sent a request that this server could not understand.<br /> </p>
    </body>
    </html>
    
    这个结果与线上情况非常吻合,所以基本怀疑是某些客户端发送请求时时间太长引起的。apache的处理时间是从收到第一个头开始( GET /xxxx \r\n),
    无论该头正确与否,都开始计算处理时间,后面的所有内容接收都计入处理时间。