ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Дотюнился... Странности в iostat



В чт, 04/12/2008 в 00:04 +0300, Anton Yuzhaninov пишет:
> On 03.12.2008 22:20, Михаил Монашёв wrote:
> > Здравствуйте, MZ.
> > 
> > Хотелось  бы  понять,  атаку  на  http  accept  filter  тестировали на
> > практике  или  только  код  смотрели?  И  что именно валится при такой
> > атаке? Помогает ли смена http accept filter на data accept filter?
> 
> Насколько понимаю проблем в том, что в нем нет таймаута и соединение может 
> висеть долго,
> пока клиент его не закроет.

Верно, с некоторыми оговорками. Кроме того там не очень оптимальный код
который может потреблять 100% cpu для определенных данных и очень сильно
потреблять kmem, что при определенных настройках сервера чревато kernel
panic.

Для обычного траффика практически все запросы приходят одним пакетом,
так что в плане снижения оверхеда dataready фильтр обладает такой же
эффективностью что и httpready. А поскольку задосить веб-сервер
эффективнее http-запросами, а не мусором (который к тому же "палит"
ботов) - то dataready ещё и устойчивее к dos-атакам.


 




Copyright © Lexa Software, 1996-2009.