да не, похоже что все не так просто
порыскав в архиве рассылки, нашел интересную беседу о примерно похожих симптомах
http://mailman.nginx.org/pipermail/nginx-ru/2009-July/026138.html
и действительно, после
-client_header_timeout 10;
+client_header_timeout 3;
-keepalive_timeout 30 15;
+keepalive_timeout 15 10;
количество загадочных соединений уменьшилось
Active connections: 623
server accepts handled requests
7079 7079 13916
Reading: 29 Writing: 1 Waiting: 593
причем по протоколу видно что одни и теже IP с промежутком в пять минут ломятся на сервер и отваливаются по таймауту
2012/09/18 22:08:32 [info] 40550#0: *3977 client timed out (110: Connection timed out) while reading client request line, client: 91.212.217.236, server: 0.0.0.0:80
поэтому тема топика изменяется на - "есть ли какие-нибудь предложения по отлову таких нехороших айпи"?