Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Борьба с нарушителями одного коннекта.

To: Anton Kuznetsov <nginx-ru@xxxxxxxxx>
Subject: Re: Борьба с нарушителями одного коннекта.
From: Михаил Монашёв <postmaster@xxxxxxxxxxxxx>
Date: Sun, 15 Mar 2009 23:03:10 +0300
In-reply-to: <91818af80903150638l73a3677clf25524ad03fb92ba@xxxxxxxxxxxxxx>
Organization: SoftSearch.ru
References: <91818af80903150638l73a3677clf25524ad03fb92ba@xxxxxxxxxxxxxx>

Здравствуйте, Антон.

Логирование и вправду лучше отключить для тех локейшнов, информация из
которых зашумляет лог. Диск немного разгрузится...

AK> Многие здесь, как и я, занимаются раздачей больших файлов,
AK> этому занятию как правило сопутствует настройка limit_conn one 1;
AK> чтобы диски совсем не порвало.
AK> Следствие этой настройки - постоянная долбежка сервера
AK> паразитными коннектами. Эдакая DDOS атака от настроенных по
AK> умолчанию в 5-10 конектов "Download Master" etc... Сложно
AK> сказать о вреде, но если смотеть в лог куда сливается 503 - то при
AK> моих нагузках становится страшно. Лог наверно вообще надо
AK> отключить, но это отдельный вопрос. У меня при 1к-1,5к полезных
AK> коннектов, 2к-3к - паразитных и это если еще по башке стучать и
AK> заставлять читать правила настройки качалок. Вопрос в том, как
AK> минимизировать вред от этого явления. Я до этого момента честно
AK> занимался баном - 50 попаданий в лог-503 - правило в ipfw на
AK> день-неделю и чувство жалости давно атрофировалось. Качают те, кто
AK> умеют настраивать. Но... жалко по прежнему сервер, ему даже и так
AK> плохо. Чистый эксперимент показал что включение pf без правил на
AK> сервере при скорости 500 мегабит добавляют процессу "irq30: em0"
AK> (top -S) сразу добрых 20%, а этот процесс у меня и без этого
AK> близок к 100%.
AK> Сейчас я отключил ipfw pf и пробую тихо игнорировать эту
AK> долбежку на самом nginx - вопрос как это лучше делать? Сейчас у
AK> меня стоит
AK> location = /503.html {limit_rate 1 ;} Но меня гложут смутные
AK> сомнения - хорошо ли nginx-у каждую секунду думать о том как в
AK> 2к-3к соединений отдать по байту?
AK> Вторая напасть похоже некоторые качалки (помню такое было в
AK> reget) не любят когда коннект отдает им слишком медленно и делают
AK> реконнект. Может я не прав, но в логе основная масса строчек
AK> "HTTP/1.0 503 0" - вроде как вообще не удалось ничего отдать,
AK> хотя время выполнения этих запросов солидное - в среднем более 100
AK> секунд.
AK> Можно придумать что-то еще более легкое и эффективное или отключить лог и
забыть?

С уважением,
Михаил Монашёв, SoftSearch.ru
mailto:postmaster@xxxxxxxxxxxxx
ICQ# 166233339
http://michael.mindmix.ru/
Без бэкапа по жизни.

References:
- Борьба с нарушителями одног о коннекта.
  - From: Anton Kuznetsov

Prev by Date: Подмена хоста в редиректе
Next by Date: Re: Борьба с нарушителям и одного коннекта.
Previous by thread: Re: Борьба с нарушителям и одного коннекта.
Next by thread: Re: Борьба с нарушителями одно го коннекта.
Index(es):
- Date
- Thread