Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: Доработка limit_req

To: Maxim Dounin <nginx-ru@xxxxxxxxx>
Subject: Re[2]: Доработка limit_req
From: Михаил Монашёв <postmaster@xxxxxxxxxxxxx>
Date: Wed, 26 Oct 2011 12:12:50 +0400
In-reply-to: <20111025161731.GJ62535@xxxxxxxxxx>
References: <1615264782.20111024123417@xxxxxxxxxxxxx> <20111025161731.GJ62535@xxxxxxxxxx>

Здравствуйте, Maxim.

>> Иногда возникает задача блокировать кого-то, кто чересчур часто что-то
>> с  сайта  запрашивает.  Сейчас  можно  ограничить  его  по  количеству
>> запросов  в  единицу  времени. Но запросы, которые вписываются в лимит
>> будут  проходить.  Но  это не совсем то, что иногда нужно. Иногда надо
>> заблокировать  до  тех  пор,  пока  количество запросов не снизится до
>> установленного лимита. И это легко могло бы решаться, если у limit_req
>> добавить  параметр, который заставлял бы сохранять информацию о каждом
>> запросе, а не только о том, который вписывается в установленный лимит.

> (just for history)

> В общем случае "сохранять информацию о каждом запросе" - нельзя, 
> ибо это даст возможность заблокировать лимитируемый параметр 
> практически навечно.  E.g. evil hacker запрашивает ip под DHCP у 
> какого-нибудь stream'а, делает N (или M) запросов, запрашивает 
> следующий ip, ...  В результате со стрима ни у кого твой сайт не 
> работает.  Или ещё хуже: у хостера стоит лимит запросов на домен, 
> и тебе на этот сайт наливают M**2 запросов - сайт заблокирован на 
> неизвестное время.

Я  имел  ввиду  другое:  если  льётся  более, чем Х запросов в единицу
времени,  то вообще ни один запрос не пропускать. Проблемы со злостным
хакером  нет.  Он  сменит  ip, запросы кончатся и ip разблокируется по
истечении единицы времени. С доменом та же история - кончилась атака и
через единицу времени пропадает лимит.

> Какой-то механизм, обеспечивающий контролируемый гистерезис - 
> наверное нужен.  Я исходно хотел сделать помимо параметра burst= 
> ещё и какой-то параметр <считать-до>=, но хорошего названия так и 
> не придумалось, да и руки не дошли.

> Возможно, альтернативным вариантом будет некая дополнительная 
> таблица блокировки, в которую "нехорошие люди" будут заносится на 
> заданное время при превышении лимита (её же можно будет 
> использовать при превышении других ограничений, а равно при просто 
> при выполнении определённых условий).  Тут надо ещё подумать.

ИМХО,  надо  отделять  подсчёт  лимита  от  самого  блокирования, а не
совмещать их в одной директиве.

P.S.
Так как nginx кроме всего прочего часто выполняет функции фаервола, то
возможно что-то из фаерволов имеет смысл позаимствовать.

-- 
С уважением,
 Михаил                          mailto:postmaster@xxxxxxxxxxxxx

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: Доработка limit_req
  - From: Maxim Dounin

References:
- Доработка limit_req
  - From: Михаил Монашёв
- Re: Доработка limit_req
  - From: Maxim Dounin

Prev by Date: Re: Проблема релоада
Next by Date: Re: Вернулась ошибка при ип ользовании proxy temp path
Previous by thread: Re: Доработка limit_req
Next by thread: Re: Доработка limit_req
Index(es):
- Date
- Thread