Re: Re[2]: Дотюнился... С транности в iostat

["Alexey V. Karagodov" <kav@xxxxxxxxxxxxxx>]

угу, "тестировали"
в один прекрасный момент, сайт ложится
на 80-м порту никто ничего не принимает
netstat -Lan
tcp4  xxx/4096/4096       *.80
хоть дата, хоть хттп, дело даже не доходит до разбирательств, что это
просто висит tcp соединение и ждёт time-out (о чём писалось ранее)
это можно устроить просто коннектом к 80-му порту, даже передавать  
ничего не надо
а сервер будет ждать данных

On 03.12.2008, at 22:20, Михаил Монашёв wrote:

> Здравствуйте, MZ.
>
> Хотелось  бы  понять,  атаку  на  http  accept  filter  тестировали на
> практике  или  только  код  смотрели?  И  что именно валится при такой
> атаке? Помогает ли смена http accept filter на data accept filter?
>
> Интересуюсь ясное дело для защиты, а не для нападения.
>
> > > > Криво написан, задосить легко. Тссс!
> > > пока нашёл только http://www.lexa.ru/apache-talk/msg06733.html
> > > Может поделитесь Вашим опытом в этом направлении?
> M> Планируете кого-то задосить ?
> M> Прошу прощения, но выкладывать в публичный доступ подобную  
> информацию
> M> считаю неэтичным.
> M> Проблемы там есть, достаточно серьезные чтобы их нельзя было
> M> сравнительно легко исправить. Просто человек который его писал  
> видимо
> M> не задумывался над проблемой устойчивости к dos-атакам.
>
> M> Модуль делает свою работу по минимизации оверхеда на context- 
> switch для
> M> обычных http-запросов, но чтобы быть dos-устойчивым его надо
> M> переписывать практически с нуля.
>
> M> PS. Все вышесказанное мною есть сугубо личное мнение, не  
> обязательно
> M> отражающее действительную реальность.
>
>
>
>
>
> --
>
> С уважением,
> Михаил Монашёв, SoftSearch.ru
> mailto:postmaster@xxxxxxxxxxxxx
> ICQ# 166233339
> http://michael.mindmix.ru/
> Без бэкапа по жизни.