Re: Re[2]: Дотюнился... Странности в iostat

Alexey V. Karagodov kav at karagodov.name
Thu Dec 4 17:58:34 MSK 2008 

7.0 RELEASE (i386)
7.1 PRERELEASE (i386)
на amd64 не проверял, сырцы не смотрел
было "очень больно", по-этому просто выключил эту "фишку"

On 04.12.2008, at 17:37, Maxim Dounin wrote:

> Hello!
>
> On Wed, Dec 03, 2008 at 11:36:47PM +0300, Alexey V. Karagodov wrote:
>
>> угу, "тестировали"
>> в один прекрасный момент, сайт ложится
>> на 80-м порту никто ничего не принимает
>> netstat -Lan
>> tcp4  xxx/4096/4096       *.80
>> хоть дата, хоть хттп, дело даже не доходит до разбирательств, что это
>> просто висит tcp соединение и ждёт time-out (о чём писалось ранее)
>> это можно устроить просто коннектом к 80-му порту, даже передавать
>> ничего не надо
>> а сервер будет ждать данных
>
> А на какой версии фри это наблюдалось?  Если до 6.1/5.5 - то это
> скорее всего проблема которая уже поправлена (sys/kern/uipc_socket2.c,
> rev. 1.151) - там был совсем смешной баг.  В такой ситуации должны
> удаляться наиболее старые соединения.
>
> Maxim Dounin
>
>>
>> On 03.12.2008, at 22:20, Михаил Монашёв wrote:
>>
>>> Здравствуйте, MZ.
>>>
>>> Хотелось  бы  понять,  атаку  на  http  accept  filter   
>>> тестировали на
>>> практике  или  только  код  смотрели?  И  что именно валится при  
>>> такой
>>> атаке? Помогает ли смена http accept filter на data accept filter?
>>>
>>> Интересуюсь ясное дело для защиты, а не для нападения.
>>>
>>>>>> Криво написан, задосить легко. Тссс!
>>>>> пока нашёл только http://www.lexa.ru/apache-talk/msg06733.html
>>>>> Может поделитесь Вашим опытом в этом направлении?
>>>
>>> M> Планируете кого-то задосить ?
>>> M> Прошу прощения, но выкладывать в публичный доступ подобную
>>> информацию
>>> M> считаю неэтичным.
>>> M> Проблемы там есть, достаточно серьезные чтобы их нельзя было
>>> M> сравнительно легко исправить. Просто человек который его писал
>>> видимо
>>> M> не задумывался над проблемой устойчивости к dos-атакам.
>>>
>>> M> Модуль делает свою работу по минимизации оверхеда на context- 
>>> switch
>>> для
>>> M> обычных http-запросов, но чтобы быть dos-устойчивым его надо
>>> M> переписывать практически с нуля.
>>>
>>> M> PS. Все вышесказанное мною есть сугубо личное мнение, не
>>> обязательно
>>> M> отражающее действительную реальность.
>>>
>>>
>>>
>>>
>>>
>>> --
>>>
>>> С уважением,
>>> Михаил Монашёв, SoftSearch.ru
>>> mailto:postmaster at softsearch.ru
>>> ICQ# 166233339
>>> http://michael.mindmix.ru/
>>> Без бэкапа по жизни.
>>>
>>>
>>
>

More information about the nginx-ru mailing list