Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re[2]: Tuning FreeBSD 7.2 amd64 for high load nginx web server.
Здравствуйте, Антон.
>> listen 83.222.4.74:80 default
>> accept_filter=httpready rcvbuf=4096 sndbuf=131072;
AY> Как сдесь уже неоднократно обсуждалось accept_filter довольно
AY> спорная вещь при наличии nginx. С одной стороны коннекция в ядре
AY> дешевле коннекции в ядре. С другой стороны коннекцией nginx легче
AY> управлять (обрывать по таймуту).
AY> Соединения, которые не прошли accept_filter могут висеть долго,
AY> возможно вечно.
AY> Т. е. если есть accept_filter то DDoS-ер можно подключаться и
AY> слать запрос по одному байту в 10 минут. В итоге его коннекция
AY> будет очень долго висеть на сервере и кушать его ресурсы (т. е.
AY> атакующий может просто открыть kern.ipc.maxsockets коннекция и
AY> расходуя мало трафика их поддерживать открытыми).
AY> Если accept_filter нет, то nginx просто закроет такое соединение
AY> когда истечет таймаут client_header_timeout (который в условиях
AY> DoS можно сделать небольшим).
Максим Дунин некоторое время назад высказывал подобные опасения, но
они вроде не оправдались.
--
С уважением,
Михаил Монашёв, SoftSearch.ru
mailto:postmaster@xxxxxxxxxxxxx
ICQ# 166233339
http://michael.mindmix.ru/
Без бэкапа по жизни.
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru
|