Время ожидания запроса 408 с одних и тех же IP-адресов истекло

Веб-сервер: Nginx.

При проверке наших файлов журналов есть много записей журналов подключений, которые:

взять 59-61 секунду
отправить пустой запрос (или хотя бы ни один не зарегистрирован)
приводит к ответу 408 (истекло время ожидания запроса)
не содержат http_user_agent
происходят с ограниченного числа IP-адресов

Мы отслеживаем среднее время обслуживания ответов, и это явно завышает нашу статистику. Кроме того, это проблема? Есть идеи, почему это происходит? Означает ли это, что кто-то намеренно с нами связывает? Что нам делать?

Это может быть медленная атака:

Видеть: https://en.wikipedia.org/wiki/Slowloris_(computer_security) и http://ha.ckers.org/slowloris/

Иногда я вызываю это, когда использую свой телефон в поезде. Я прохожу через зону со слабым сигналом или туннель в нужное время (между рукопожатием TCP и отправкой запроса), и вот что происходит.

Операторы телефонной связи часто помещают всех своих клиентов за NAT, поэтому многие пользователи могут приходить с небольшого количества IP-адресов.

Сделайте еще анализ:

Сколько вы видите?
Следуют ли они таким образцам, как 7–9 утра?
Принадлежит ли IP-адрес операторам связи?
Получаете ли вы другой трафик с тех же IP-адресов?
На что это похоже?

В зависимости от ответов на эти вопросы он может быть безобидным или намеренно вредоносным. В любом случае, уменьшение тайм-аута может быть хорошей идеей. Даже по телефону никто не ждет 60 секунд, прежде чем снова сделать запрос.