если очень надо, то попробую создать описанную мною выше ситуацию не
навредим при этом запущенным коммерческим проектам ...
On 04.12.2008, at 19:35, Maxim Dounin wrote:
Hello!
On Thu, Dec 04, 2008 at 05:58:34PM +0300, Alexey V. Karagodov wrote:
7.0 RELEASE (i386)
7.1 PRERELEASE (i386)
на amd64 не проверял, сырцы не смотрел
было "очень больно", по-этому просто выключил эту "фишку"
На 7.0 RELEASE i386 всё вроде нормально, по крайней мере на
синтетических тестах переполнение inqlen отрабатывает как должно
(закрывает старые соединения).
Видимо там какой-то нехороший race где-то, надо подробно
разбираться.
Maxim Dounin
On 04.12.2008, at 17:37, Maxim Dounin wrote:
Hello!
On Wed, Dec 03, 2008 at 11:36:47PM +0300, Alexey V. Karagodov wrote:
угу, "тестировали"
в один прекрасный момент, сайт ложится
на 80-м порту никто ничего не принимает
netstat -Lan
tcp4 xxx/4096/4096 *.80
хоть дата, хоть хттп, дело даже не доходит до разбирательств, что
это
просто висит tcp соединение и ждёт time-out (о чём писалось ранее)
это можно устроить просто коннектом к 80-му порту, даже передавать
ничего не надо
а сервер будет ждать данных
А на какой версии фри это наблюдалось? Если до 6.1/5.5 - то это
скорее всего проблема которая уже поправлена (sys/kern/
uipc_socket2.c,
rev. 1.151) - там был совсем смешной баг. В такой ситуации должны
удаляться наиболее старые соединения.
Maxim Dounin
On 03.12.2008, at 22:20, Михаил Монашёв wrote:
Здравствуйте, MZ.
Хотелось бы понять, атаку на http accept filter
тестировали на
практике или только код смотрели? И что именно валится при
такой
атаке? Помогает ли смена http accept filter на data accept filter?
Интересуюсь ясное дело для защиты, а не для нападения.
M> Планируете кого-то задосить ?
M> Прошу прощения, но выкладывать в публичный доступ подобную
информацию
M> считаю неэтичным.
M> Проблемы там есть, достаточно серьезные чтобы их нельзя было
M> сравнительно легко исправить. Просто человек который его писал
видимо
M> не задумывался над проблемой устойчивости к dos-атакам.
M> Модуль делает свою работу по минимизации оверхеда на context-
switch
для
M> обычных http-запросов, но чтобы быть dos-устойчивым его надо
M> переписывать практически с нуля.
M> PS. Все вышесказанное мною есть сугубо личное мнение, не
обязательно
M> отражающее действительную реальность.
--
С уважением,
Михаил Монашёв, SoftSearch.ru
mailto:postmaster@xxxxxxxxxxxxx
ICQ# 166233339
http://michael.mindmix.ru/
Без бэкапа по жизни.