ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: Tuning FreeBSD 7.2 amd64 for high load nginx web server.



Здравствуйте, Антон.

>>                 listen          83.222.4.74:80 default
>> accept_filter=httpready rcvbuf=4096 sndbuf=131072;

AY> Как  сдесь  уже  неоднократно  обсуждалось  accept_filter довольно
AY> спорная  вещь  при наличии nginx. С одной стороны коннекция в ядре
AY> дешевле  коннекции в ядре. С другой стороны коннекцией nginx легче
AY> управлять (обрывать по таймуту).

AY> Соединения,  которые  не  прошли accept_filter могут висеть долго,
AY> возможно вечно.

AY> Т.  е.  если  есть  accept_filter  то DDoS-ер можно подключаться и
AY> слать  запрос  по  одному  байту в 10 минут. В итоге его коннекция
AY> будет  очень  долго  висеть на сервере и кушать его ресурсы (т. е.
AY> атакующий  может  просто  открыть  kern.ipc.maxsockets коннекция и
AY> расходуя мало трафика их поддерживать открытыми).

AY> Если  accept_filter  нет, то nginx просто закроет такое соединение
AY> когда  истечет  таймаут  client_header_timeout (который в условиях
AY> DoS можно сделать небольшим).

Максим Дунин некоторое время назад высказывал подобные опасения, но
они вроде не оправдались.

--

С уважением,
Михаил Монашёв, SoftSearch.ru
mailto:postmaster@xxxxxxxxxxxxx
ICQ# 166233339
http://michael.mindmix.ru/
Без бэкапа по жизни.


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.