Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Дотюнился... Странности в iostat
В чт, 04/12/2008 в 00:04 +0300, Anton Yuzhaninov пишет:
> On 03.12.2008 22:20, Михаил Монашёв wrote:
> > Здравствуйте, MZ.
> >
> > Хотелось бы понять, атаку на http accept filter тестировали на
> > практике или только код смотрели? И что именно валится при такой
> > атаке? Помогает ли смена http accept filter на data accept filter?
>
> Насколько понимаю проблем в том, что в нем нет таймаута и соединение может
> висеть долго,
> пока клиент его не закроет.
Верно, с некоторыми оговорками. Кроме того там не очень оптимальный код
который может потреблять 100% cpu для определенных данных и очень сильно
потреблять kmem, что при определенных настройках сервера чревато kernel
panic.
Для обычного траффика практически все запросы приходят одним пакетом,
так что в плане снижения оверхеда dataready фильтр обладает такой же
эффективностью что и httpready. А поскольку задосить веб-сервер
эффективнее http-запросами, а не мусором (который к тому же "палит"
ботов) - то dataready ещё и устойчивее к dos-атакам.
|