ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Отработка лимитов, вопрос

  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: Отработка лимитов, вопрос
  • From: Виктор Вислобоков <corochoone@xxxxxxxxx>
  • Date: Tue, 16 Apr 2013 00:08:37 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:x-received:in-reply-to:references:date:message-id :subject:from:to:content-type; bh=3sZRRvwoCDy9LWI+d6xQ6D0MQkFu7cJlfVVMnL3p5XY=; b=eIBVMnL5sEhZK41SnOTL8zd32LpXnuwPl/07v84zYDXUrQ2aX2AWyVeZb6HVZ+IR7v D13mWCkk++A86TC2JUDH4KnjOPeR9AKdOtWXiTPYLlJXKxX3wUeZzqkozrW2iUDitaT5 P6iewyzQTWEfU/H0XH33JdaSlhixnBZTy5WDHgTtucg36f2RZRgnZ1zKg1sQiW8OzEnH zL/huH6X4uHphOfU/sW8wMM8XFegRr93gSE0ui1X4ioMqAtHiTsp7glQVulVVxPH8oTx Fkhp8XXlbwhZVB0RxnV1Civzo+NG8Evz8GmYEZm/b4zYYtIwzNTslaudm7s+xNYVJGgf 9N7Q==
  • In-reply-to: <20130415200434.GK92338@mdounin.ru>
  • References: <CAM6AoWawaiq+xVzpEoihgTQERyCnL31tx04H2=Oh9XDX7N8Q2A@mail.gmail.com> <20130415200434.GK92338@mdounin.ru>
Огромное спасибо за подсказку. После активации данной директивы всё стало работать так, как мне надо!


16 апреля 2013 г., 0:04 пользователь Maxim Dounin <mdounin@xxxxxxxxxx> написал:
Hello!

On Mon, Apr 15, 2013 at 11:56:12PM +0400, Виктор Вислобоков wrote:

> Сегодня столкнулся со странной вещью
> Стоит nginx 1.2.7
> В нём сделаны ограничения по виртуалхостам с помощью limit_conn_zone и
> limit_conn
> Всё работало идеально до сегодняшнего вечера.
> Случилась атака на сайт и смотрю в apache /server-status что куча коннектов
> к тому виртуалхосту, к которому их быть не должно согласно limit_conn
> больше 5.
> Полез разбираться в логи.
> В логах я вижу сработавшие limit_conn
>
>
> 2013/04/16 01:52:21 [error] 11652#0: *248356 limiting connections by zone
> "from_all_limit", client: 196.205.118.51, server: XXXXXX.net, request: "GET
> / HTTP/1.1", host: "XXXXXX.net", referrer:
> "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"
>
> всё бы классно, но почему тогда столько коннектов висит на апачах?
> Посмотрел ещё лог nginx, много 400-х
> Тогда возникла мысль, а не происходит ли следующее:
>
> 1. Клиент запрашивает у nginx страницу, но не дожидаясь её обрывает
> соединение
> 2. nginx передаёт запрос апачу и ждёт от него ответа, но поскольку клиент
> соединение закрыл из limit_conn оно удаляется.
> 3. вот и получается картина, что у апача есть куча запросов, которые он
> обрабатывает, но которые уже не нужны ни nginx'У ни клиенту
>
> Поскольку я не разбираюсь в тонкостях реализации, написал сюда. Я прав, так
> всё и просиходит?

Да, так вполне может происходить.

На всякий случай отмечу, что поведением nginx'а в подобной
ситуации можно управлять с помощью директивы
proxy_ignore_client_abort (http://nginx.org/r/proxy_ignore_client_abort),
но для большинства задач поведение по умолчанию наиболее разумно.

--
Maxim Dounin
http://nginx.org/en/donation.html

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

 



Copyright © Lexa Software, 1996-2009.