>Не бывает того, что этот ip который вы определили, но в логе
>так и не нашли. error.log включен в debug режиме, access.log пишется. Нигде упоминания о таком IP нет.
>Так же соглашусь что атак с одного ip не бывает, но бывают
>криво написанные боты и иже с ними приходилось сталкиваться с подобными
>чудесами. Закройте адрес фаерволом и посмотрите на результат, если помогло напишите
>письмо владельцу адреса или не пишите все зависит от того чего
>вы хотите добиться :)
Так перед тем как закрыть его я и хочу разобраться что это такое.
>Добавлю:
>Для анализа http трафика удобнее использовать ngrep, например так:
>ngrep -d iface -q -W byline GET src host a.b.c.d
>выведет построчно все get запросы с хоста a.b.c.d
При чём тут http трафик? в приведённом выше логе tcpdump'a видно что ни байта полезной информации передано не было, только установлено tcp/ip соединение.