Slow Read DoS attack

Илья Шипицин chipitsine на gmail.com
Чт Янв 12 18:31:33 UTC 2012


ну, если люди пишут в рассылку вопрос и не пишут "мне ответы нафиг не
нужны", как я мог предположить, что отвечать не надо? :-)
вместо того, чтобы парсить логи и пихать это в фаирвол, можно настроить
ограничение и забыть, чем это хуже?

11 января 2012 г. 19:53 пользователь Андрей Бойко <kaa на berloga.ru> написал:

>
>
> 11.01.2012 14:18, Илья Шипицин пишет:
>
>  500r/s с одного IP-адреса ????
>>
>> это ограничивается силами http://wiki.nginx.org/**HttpLimitReqModule<http://wiki.nginx.org/HttpLimitReqModule>
>>
>> делаете ключ (сообразно вашему приложению), скажем
>>
>> ip + uri + кука с сессией + user-agent
>>
>> и вешаете на него ограничение "1 запрос в секунду"
>>
> Спасибо, Илья, но зачем Вы это написали? Вроде вопрос "как ограничить" не
> стоял же.
> В принципе настройка сервера на 100К коннектов спасает и без ограничения.
> Ко всему такие пионеры ловятся парсингом логов и расстреливаются через
> огнестену.
>
>
>  9 января 2012 г. 16:10 пользователь Андрей Бойко<kaa на berloga.ru>
>>  написал:
>>
>>> Добрый день.
>>>
>>> 09.01.2012 06:48, Maxim Dounin пишет:
>>>
>>>  Hello!
>>>>
>>>> On Sun, Jan 08, 2012 at 06:08:36PM +0400, Андрей Бойко wrote:
>>>>
>>>>  Добрый день.
>>>>>
>>>>> Прочитал топик на хабре
>>>>> http://habrahabr.ru/blogs/**infosecurity/135817/<http://habrahabr.ru/blogs/infosecurity/135817/>,
>>>>> проверил - все
>>>>> ложится на раз.
>>>>> Есть мысли, как это забороть? Или это не проблема nginx?
>>>>>
>>>> Это скорее проблема настроек, чем nginx'а.  Данная "атака"
>>>> имитирует большое количество медленно читающих ответ клиентов, и
>>>> вполне логично, что если клиентов больше, чем разрешено держать
>>>> соединений nginx'у, то будет проблема.
>>>>
>>>> На уровне nginx'а можно бороться двумя способами:
>>>>
>>>> 1) Разрешить nginx'у держать больше соединений, увеличив
>>>> worker_connections, благо это дёшево.  Главное - не забыть
>>>> соответственно настроить операционную систему.
>>>>
>>>> 2) Ограничить количество соединений с одного ip-адреса через
>>>> limit_conn.
>>>>
>>>> Maxim Dounin
>>>>
>>>> ______________________________**_________________
>>>> nginx-ru mailing list
>>>> nginx-ru на nginx.org
>>>> http://mailman.nginx.org/**mailman/listinfo/nginx-ru<http://mailman.nginx.org/mailman/listinfo/nginx-ru>
>>>>
>>> Максим, вариант 1 вряд ли подходит, у меня worker_connections  100000 и
>>> система настроена соответственно.
>>> Вариант 2 вроде как работает, при ограничении в 500r/s ложиться
>>> перестало.
>>> Надо еще попробовать на более объемном файле.
>>> Спасибо за ответ.
>>>
>>>
>>> --
>>> Андрей Бойко.
>>> тел. +7 (903) 144-11-65
>>> тел. +7 (495) 755-71-27
>>> skype boykoav
>>> icq 472-82-39
>>>
>>> ______________________________**_________________
>>> nginx-ru mailing list
>>> nginx-ru на nginx.org
>>> http://mailman.nginx.org/**mailman/listinfo/nginx-ru<http://mailman.nginx.org/mailman/listinfo/nginx-ru>
>>>
>> ______________________________**_________________
>> nginx-ru mailing list
>> nginx-ru на nginx.org
>> http://mailman.nginx.org/**mailman/listinfo/nginx-ru<http://mailman.nginx.org/mailman/listinfo/nginx-ru>
>>
>
> --
> Андрей Бойко.
> тел. +7 (903) 144-11-65
> тел. +7 (495) 755-71-27
> skype boykoav
> icq 472-82-39
>
> ______________________________**_________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/**mailman/listinfo/nginx-ru<http://mailman.nginx.org/mailman/listinfo/nginx-ru>
>
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20120113/d0342f9b/attachment.html>


Подробная информация о списке рассылки nginx-ru