Re: Отработка лимитов, вопрос

[Maxim Dounin]

Hello!

On Mon, Apr 15, 2013 at 11:56:12PM +0400, Виктор Вислобоков wrote:

> Сегодня столкнулся со странной вещью
> Стоит nginx 1.2.7
> В нём сделаны ограничения по виртуалхостам с помощью limit_conn_zone и
> limit_conn
> Всё работало идеально до сегодняшнего вечера.
> Случилась атака на сайт и смотрю в apache /server-status что куча коннектов
> к тому виртуалхосту, к которому их быть не должно согласно limit_conn
> больше 5.
> Полез разбираться в логи.
> В логах я вижу сработавшие limit_conn
> 
> 
> 2013/04/16 01:52:21 [error] 11652#0: *248356 limiting connections by zone
> "from_all_limit", client: 196.205.118.51, server: XXXXXX.net, request: "GET
> / HTTP/1.1", host: "XXXXXX.net", referrer:
> "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"
> 
> всё бы классно, но почему тогда столько коннектов висит на апачах?
> Посмотрел ещё лог nginx, много 400-х
> Тогда возникла мысль, а не происходит ли следующее:
> 
> 1. Клиент запрашивает у nginx страницу, но не дожидаясь её обрывает
> соединение
> 2. nginx передаёт запрос апачу и ждёт от него ответа, но поскольку клиент
> соединение закрыл из limit_conn оно удаляется.
> 3. вот и получается картина, что у апача есть куча запросов, которые он
> обрабатывает, но которые уже не нужны ни nginx'У ни клиенту
> 
> Поскольку я не разбираюсь в тонкостях реализации, написал сюда. Я прав, так
> всё и просиходит?

Да, так вполне может происходить.

На всякий случай отмечу, что поведением nginx'а в подобной 
ситуации можно управлять с помощью директивы 
proxy_ignore_client_abort (http://nginx.org/r/proxy_ignore_client_abort), 
но для большинства задач поведение по умолчанию наиболее разумно.

-- 
Maxim Dounin
http://nginx.org/en/donation.html