ウェブサーバのアクセスログを眺めていると、408エラーで終了しているリクエストが多数あることに気づきました。
こんな感じ。

202.226.91.245 - - [12/Jan/2016:12:22:10 +0900] "-" 408 - "-" "-"
61.115.112.124 - - [12/Jan/2016:12:22:13 +0900] "-" 408 - "-" "-"
61.115.112.124 - - [12/Jan/2016:12:22:13 +0900] "-" 408 - "-" "-"
210.153.80.179 - - [12/Jan/2016:12:22:13 +0900] "-" 408 - "-" "-"
118.238.250.115 - - [12/Jan/2016:12:22:20 +0900] "-" 408 - "-" "-"
118.238.250.115 - - [12/Jan/2016:12:22:20 +0900] "-" 408 - "-" "-"
118.238.250.115 - - [12/Jan/2016:12:22:20 +0900] "-" 408 - "-" "-"
118.238.250.115 - - [12/Jan/2016:12:22:20 +0900] "-" 408 - "-" "-"
126.119.5.237 - - [12/Jan/2016:12:22:23 +0900] "-" 408 - "-" "-"
202.226.91.245 - - [12/Jan/2016:12:22:24 +0900] "-" 408 - "-" "-"

408はタイムアウトなので、HTTPのセッションがタイムアウトしている模様。
なんだろと、いろいろGoogle先生に聞いたところ、どうやらslow lorisアタックではないかと。
HTTPのリクエストを「ゆっくり」送信して、セッションを専有してしまうという攻撃のようです。
対処としては

• TimeOut値を小さくする。
• mod_reqtimeoutを有効にして、ヘッダ、ボディのタイムアウト値を設定する。

くらいかと。