Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Re[2]: Дотюнился... Ст ранности в iostat
Hello!
On Thu, Dec 04, 2008 at 05:58:34PM +0300, Alexey V. Karagodov wrote:
> 7.0 RELEASE (i386)
> 7.1 PRERELEASE (i386)
> на amd64 не проверял, сырцы не смотрел
> было "очень больно", по-этому просто выключил эту "фишку"
На 7.0 RELEASE i386 всё вроде нормально, по крайней мере на
синтетических тестах переполнение inqlen отрабатывает как должно
(закрывает старые соединения).
Видимо там какой-то нехороший race где-то, надо подробно
разбираться.
Maxim Dounin
>
> On 04.12.2008, at 17:37, Maxim Dounin wrote:
>
>> Hello!
>>
>> On Wed, Dec 03, 2008 at 11:36:47PM +0300, Alexey V. Karagodov wrote:
>>
>>> угу, "тестировали"
>>> в один прекрасный момент, сайт ложится
>>> на 80-м порту никто ничего не принимает
>>> netstat -Lan
>>> tcp4 xxx/4096/4096 *.80
>>> хоть дата, хоть хттп, дело даже не доходит до разбирательств, что это
>>> просто висит tcp соединение и ждёт time-out (о чём писалось ранее)
>>> это можно устроить просто коннектом к 80-му порту, даже передавать
>>> ничего не надо
>>> а сервер будет ждать данных
>>
>> А на какой версии фри это наблюдалось? Если до 6.1/5.5 - то это
>> скорее всего проблема которая уже поправлена (sys/kern/uipc_socket2.c,
>> rev. 1.151) - там был совсем смешной баг. В такой ситуации должны
>> удаляться наиболее старые соединения.
>>
>> Maxim Dounin
>>
>>>
>>> On 03.12.2008, at 22:20, Михаил Монашёв wrote:
>>>
>>>> Здравствуйте, MZ.
>>>>
>>>> Хотелось бы понять, атаку на http accept filter
>>>> тестировали на
>>>> практике или только код смотрели? И что именно валится при
>>>> такой
>>>> атаке? Помогает ли смена http accept filter на data accept filter?
>>>>
>>>> Интересуюсь ясное дело для защиты, а не для нападения.
>>>>
>>>>>>> Криво написан, задосить легко. Тссс!
>>>>>> пока нашёл только http://www.lexa.ru/apache-talk/msg06733.html
>>>>>> Может поделитесь Вашим опытом в этом направлении?
>>>>
>>>> M> Планируете кого-то задосить ?
>>>> M> Прошу прощения, но выкладывать в публичный доступ подобную
>>>> информацию
>>>> M> считаю неэтичным.
>>>> M> Проблемы там есть, достаточно серьезные чтобы их нельзя было
>>>> M> сравнительно легко исправить. Просто человек который его писал
>>>> видимо
>>>> M> не задумывался над проблемой устойчивости к dos-атакам.
>>>>
>>>> M> Модуль делает свою работу по минимизации оверхеда на context-
>>>> switch
>>>> для
>>>> M> обычных http-запросов, но чтобы быть dos-устойчивым его надо
>>>> M> переписывать практически с нуля.
>>>>
>>>> M> PS. Все вышесказанное мною есть сугубо личное мнение, не
>>>> обязательно
>>>> M> отражающее действительную реальность.
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> --
>>>>
>>>> С уважением,
>>>> Михаил Монашёв, SoftSearch.ru
>>>> mailto:postmaster@xxxxxxxxxxxxx
>>>> ICQ# 166233339
>>>> http://michael.mindmix.ru/
>>>> Без бэкапа по жизни.
>>>>
>>>>
>>>
>>
>
|
