Дотюнился... Странности в iostat

Maxim Dounin mdounin at mdounin.ru
Fri Dec 5 15:26:50 MSK 2008


Hello!

On Thu, Dec 04, 2008 at 08:09:06PM +0300, Alexey V. Karagodov wrote:

> если очень надо, то попробую создать описанную мною выше ситуацию не  
> навредим при этом запущенным коммерческим проектам ...

Не то чтобы я горел желанием глубоко погружаться в эту проблему - 
тем более что accept-фильтры я не использую.

Так что специально ничего делать наверное не надо, но если вдруг 
кто-нибудь случайно наступит - было бы неплохо собрать более 
подробную информацию (хотя бы netstat -Lan, vmstat -z, ps -alx, 
fstat, sockstat).

Maxim Dounin

>
> On 04.12.2008, at 19:35, Maxim Dounin wrote:
>
>> Hello!
>>
>> On Thu, Dec 04, 2008 at 05:58:34PM +0300, Alexey V. Karagodov wrote:
>>
>>> 7.0 RELEASE (i386)
>>> 7.1 PRERELEASE (i386)
>>> на amd64 не проверял, сырцы не смотрел
>>> было "очень больно", по-этому просто выключил эту "фишку"
>>
>> На 7.0 RELEASE i386 всё вроде нормально, по крайней мере на
>> синтетических тестах переполнение inqlen отрабатывает как должно
>> (закрывает старые соединения).
>>
>> Видимо там какой-то нехороший race где-то, надо подробно
>> разбираться.
>>
>> Maxim Dounin
>>
>>>
>>> On 04.12.2008, at 17:37, Maxim Dounin wrote:
>>>
>>>> Hello!
>>>>
>>>> On Wed, Dec 03, 2008 at 11:36:47PM +0300, Alexey V. Karagodov wrote:
>>>>
>>>>> угу, "тестировали"
>>>>> в один прекрасный момент, сайт ложится
>>>>> на 80-м порту никто ничего не принимает
>>>>> netstat -Lan
>>>>> tcp4  xxx/4096/4096       *.80
>>>>> хоть дата, хоть хттп, дело даже не доходит до разбирательств, что 
>>>>> это
>>>>> просто висит tcp соединение и ждёт time-out (о чём писалось ранее)
>>>>> это можно устроить просто коннектом к 80-му порту, даже передавать
>>>>> ничего не надо
>>>>> а сервер будет ждать данных
>>>>
>>>> А на какой версии фри это наблюдалось?  Если до 6.1/5.5 - то это
>>>> скорее всего проблема которая уже поправлена (sys/kern/ 
>>>> uipc_socket2.c,
>>>> rev. 1.151) - там был совсем смешной баг.  В такой ситуации должны
>>>> удаляться наиболее старые соединения.
>>>>
>>>> Maxim Dounin
>>>>
>>>>>
>>>>> On 03.12.2008, at 22:20, Михаил Монашёв wrote:
>>>>>
>>>>>> Здравствуйте, MZ.
>>>>>>
>>>>>> Хотелось  бы  понять,  атаку  на  http  accept  filter
>>>>>> тестировали на
>>>>>> практике  или  только  код  смотрели?  И  что именно валится при
>>>>>> такой
>>>>>> атаке? Помогает ли смена http accept filter на data accept filter?
>>>>>>
>>>>>> Интересуюсь ясное дело для защиты, а не для нападения.
>>>>>>
>>>>>>>>> Криво написан, задосить легко. Тссс!
>>>>>>>> пока нашёл только http://www.lexa.ru/apache-talk/msg06733.html
>>>>>>>> Может поделитесь Вашим опытом в этом направлении?
>>>>>>
>>>>>> M> Планируете кого-то задосить ?
>>>>>> M> Прошу прощения, но выкладывать в публичный доступ подобную
>>>>>> информацию
>>>>>> M> считаю неэтичным.
>>>>>> M> Проблемы там есть, достаточно серьезные чтобы их нельзя было
>>>>>> M> сравнительно легко исправить. Просто человек который его писал
>>>>>> видимо
>>>>>> M> не задумывался над проблемой устойчивости к dos-атакам.
>>>>>>
>>>>>> M> Модуль делает свою работу по минимизации оверхеда на context-
>>>>>> switch
>>>>>> для
>>>>>> M> обычных http-запросов, но чтобы быть dos-устойчивым его надо
>>>>>> M> переписывать практически с нуля.
>>>>>>
>>>>>> M> PS. Все вышесказанное мною есть сугубо личное мнение, не
>>>>>> обязательно
>>>>>> M> отражающее действительную реальность.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>>
>>>>>> С уважением,
>>>>>> Михаил Монашёв, SoftSearch.ru
>>>>>> mailto:postmaster at softsearch.ru
>>>>>> ICQ# 166233339
>>>>>> http://michael.mindmix.ru/
>>>>>> Без бэкапа по жизни.
>>>>>>
>>>>>>
>>>>>
>>>>
>>>
>>
>
>





More information about the nginx-ru mailing list