<div dir="ltr"><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><p>Jake wrote:<br></p><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I'm looking at TCP, and one of the things I'm measuring is average length of TCP sessions.<br>For the most part, the output seems to be in the range that one might expect...<br>...<br>But I occasionally discover outliers where the TCP sessions last much longer...and they're all (every single one of them over a 3 hour period) owned by Google...<br>2019-09-18 15:25:56.142138 - Close connection with 66.249.66.130.50925 - duration: 30.0402970314026 seconds *** OVER5</blockquote><p>These addresses are not the Google addresses that we publish at <a href="https://developers.google.com/speed/public-dns/faq#locations">https://developers.google.com/speed/public-dns/faq#locations</a>, and although they are clearly Google addresses, they aren't coming from Google Public DNS resolvers.</p><p>$ dig +short -x 66.249.66.212<br><a href="http://crawl-66-249-66-212.googlebot.com">crawl-66-249-66-212.googlebot.com</a>.<br></p><p>That name makes me wonder whether that is actually a DNS TCP connection, and not an HTTP TCP connection? Or FTP? Do you have any logs or packet captures of those connections? Are you getting any valid DNS queries on them?</p><p>Maybe some bright light has stuck <a href="http://c.ca-servers.ca:53/">http://c.ca-servers.ca:53/</a> URLs into their web pages, or the Googlebot web crawler has some bad IP (and port?) information from somewhere. Either way, you should look to see if they are really sending DNS, and if the Google clients from those addresses are either waiting for your server to say something first (FTP style) or sending an HTTP GET, you should see about robots.txt blocking or some other mechanism through the Google Webmaster Central help (<a href="https://support.google.com/webmasters">https://support.google.com/webmasters</a>) and/or the Search Console (<a href="https://search.google.com/search-console/welcome">https://search.google.com/search-console/welcome</a>) to tell the Googlebot to lay off.</p><p>If it's really DNS traffic, post here, and we can probably figure out where it's coming from and why it's keeping the TCP connections open that long.</p><p>@alex<br></p></div></div></div></div></div>