Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Re[2]: Дотюнился... Ст ранности в iostat
Hello!
On Wed, Dec 03, 2008 at 11:36:47PM +0300, Alexey V. Karagodov wrote:
> угу, "тестировали"
> в один прекрасный момент, сайт ложится
> на 80-м порту никто ничего не принимает
> netstat -Lan
> tcp4 xxx/4096/4096 *.80
> хоть дата, хоть хттп, дело даже не доходит до разбирательств, что это
> просто висит tcp соединение и ждёт time-out (о чём писалось ранее)
> это можно устроить просто коннектом к 80-му порту, даже передавать
> ничего не надо
> а сервер будет ждать данных
А на какой версии фри это наблюдалось? Если до 6.1/5.5 - то это
скорее всего проблема которая уже поправлена (sys/kern/uipc_socket2.c,
rev. 1.151) - там был совсем смешной баг. В такой ситуации должны
удаляться наиболее старые соединения.
Maxim Dounin
>
> On 03.12.2008, at 22:20, Михаил Монашёв wrote:
>
>> Здравствуйте, MZ.
>>
>> Хотелось бы понять, атаку на http accept filter тестировали на
>> практике или только код смотрели? И что именно валится при такой
>> атаке? Помогает ли смена http accept filter на data accept filter?
>>
>> Интересуюсь ясное дело для защиты, а не для нападения.
>>
>>>>> Криво написан, задосить легко. Тссс!
>>>> пока нашёл только http://www.lexa.ru/apache-talk/msg06733.html
>>>> Может поделитесь Вашим опытом в этом направлении?
>>
>> M> Планируете кого-то задосить ?
>> M> Прошу прощения, но выкладывать в публичный доступ подобную
>> информацию
>> M> считаю неэтичным.
>> M> Проблемы там есть, достаточно серьезные чтобы их нельзя было
>> M> сравнительно легко исправить. Просто человек который его писал
>> видимо
>> M> не задумывался над проблемой устойчивости к dos-атакам.
>>
>> M> Модуль делает свою работу по минимизации оверхеда на context-switch
>> для
>> M> обычных http-запросов, но чтобы быть dos-устойчивым его надо
>> M> переписывать практически с нуля.
>>
>> M> PS. Все вышесказанное мною есть сугубо личное мнение, не
>> обязательно
>> M> отражающее действительную реальность.
>>
>>
>>
>>
>>
>> --
>>
>> С уважением,
>> Михаил Монашёв, SoftSearch.ru
>> mailto:postmaster@xxxxxxxxxxxxx
>> ICQ# 166233339
>> http://michael.mindmix.ru/
>> Без бэкапа по жизни.
>>
>>
>
|