Re: Re[2]: Дотюнился... Странности в iostat

Thu Dec 4 20:09:06 MSK 2008

если очень надо, то попробую создать описанную мною выше ситуацию не  
навредим при этом запущенным коммерческим проектам ...

On 04.12.2008, at 19:35, Maxim Dounin wrote:

> Hello!
>
> On Thu, Dec 04, 2008 at 05:58:34PM +0300, Alexey V. Karagodov wrote:
>
>> 7.0 RELEASE (i386)
>> 7.1 PRERELEASE (i386)
>> на amd64 не проверял, сырцы не смотрел
>> было "очень больно", по-этому просто выключил эту "фишку"
>
> На 7.0 RELEASE i386 всё вроде нормально, по крайней мере на
> синтетических тестах переполнение inqlen отрабатывает как должно
> (закрывает старые соединения).
>
> Видимо там какой-то нехороший race где-то, надо подробно
> разбираться.
>
> Maxim Dounin
>
>>
>> On 04.12.2008, at 17:37, Maxim Dounin wrote:
>>
>>> Hello!
>>>
>>> On Wed, Dec 03, 2008 at 11:36:47PM +0300, Alexey V. Karagodov wrote:
>>>
>>>> угу, "тестировали"
>>>> в один прекрасный момент, сайт ложится
>>>> на 80-м порту никто ничего не принимает
>>>> netstat -Lan
>>>> tcp4  xxx/4096/4096       *.80
>>>> хоть дата, хоть хттп, дело даже не доходит до разбирательств, что  
>>>> это
>>>> просто висит tcp соединение и ждёт time-out (о чём писалось ранее)
>>>> это можно устроить просто коннектом к 80-му порту, даже передавать
>>>> ничего не надо
>>>> а сервер будет ждать данных
>>>
>>> А на какой версии фри это наблюдалось?  Если до 6.1/5.5 - то это
>>> скорее всего проблема которая уже поправлена (sys/kern/ 
>>> uipc_socket2.c,
>>> rev. 1.151) - там был совсем смешной баг.  В такой ситуации должны
>>> удаляться наиболее старые соединения.
>>>
>>> Maxim Dounin
>>>
>>>>
>>>> On 03.12.2008, at 22:20, Михаил Монашёв wrote:
>>>>
>>>>> Здравствуйте, MZ.
>>>>>
>>>>> Хотелось  бы  понять,  атаку  на  http  accept  filter
>>>>> тестировали на
>>>>> практике  или  только  код  смотрели?  И  что именно валится при
>>>>> такой
>>>>> атаке? Помогает ли смена http accept filter на data accept filter?
>>>>>
>>>>> Интересуюсь ясное дело для защиты, а не для нападения.
>>>>>
>>>>>>>> Криво написан, задосить легко. Тссс!
>>>>>>> пока нашёл только http://www.lexa.ru/apache-talk/msg06733.html
>>>>>>> Может поделитесь Вашим опытом в этом направлении?
>>>>>
>>>>> M> Планируете кого-то задосить ?
>>>>> M> Прошу прощения, но выкладывать в публичный доступ подобную
>>>>> информацию
>>>>> M> считаю неэтичным.
>>>>> M> Проблемы там есть, достаточно серьезные чтобы их нельзя было
>>>>> M> сравнительно легко исправить. Просто человек который его писал
>>>>> видимо
>>>>> M> не задумывался над проблемой устойчивости к dos-атакам.
>>>>>
>>>>> M> Модуль делает свою работу по минимизации оверхеда на context-
>>>>> switch
>>>>> для
>>>>> M> обычных http-запросов, но чтобы быть dos-устойчивым его надо
>>>>> M> переписывать практически с нуля.
>>>>>
>>>>> M> PS. Все вышесказанное мною есть сугубо личное мнение, не
>>>>> обязательно
>>>>> M> отражающее действительную реальность.
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> --
>>>>>
>>>>> С уважением,
>>>>> Михаил Монашёв, SoftSearch.ru
>>>>> mailto:postmaster at softsearch.ru
>>>>> ICQ# 166233339
>>>>> http://michael.mindmix.ru/
>>>>> Без бэкапа по жизни.
>>>>>
>>>>>
>>>>
>>>
>>
>