Re: Re[2]: Дотюнился... Странности в iostat

Alexey V. Karagodov kav at karagodov.name
Fri Dec 5 16:53:45 MSK 2008


ок

On 05.12.2008, at 15:26, Maxim Dounin wrote:

> Hello!
>
> On Thu, Dec 04, 2008 at 08:09:06PM +0300, Alexey V. Karagodov wrote:
>
>> если очень надо, то попробую создать описанную мною выше ситуацию не
>> навредим при этом запущенным коммерческим проектам ...
>
> Не то чтобы я горел желанием глубоко погружаться в эту проблему -
> тем более что accept-фильтры я не использую.
>
> Так что специально ничего делать наверное не надо, но если вдруг
> кто-нибудь случайно наступит - было бы неплохо собрать более
> подробную информацию (хотя бы netstat -Lan, vmstat -z, ps -alx,
> fstat, sockstat).
сделаю перечисленное при случае ...
>
> Maxim Dounin
>
>>
>> On 04.12.2008, at 19:35, Maxim Dounin wrote:
>>
>>> Hello!
>>>
>>> On Thu, Dec 04, 2008 at 05:58:34PM +0300, Alexey V. Karagodov wrote:
>>>
>>>> 7.0 RELEASE (i386)
>>>> 7.1 PRERELEASE (i386)
>>>> на amd64 не проверял, сырцы не смотрел
>>>> было "очень больно", по-этому просто выключил эту "фишку"
>>>
>>> На 7.0 RELEASE i386 всё вроде нормально, по крайней мере на
>>> синтетических тестах переполнение inqlen отрабатывает как должно
>>> (закрывает старые соединения).
>>>
>>> Видимо там какой-то нехороший race где-то, надо подробно
>>> разбираться.
>>>
>>> Maxim Dounin
>>>
>>>>
>>>> On 04.12.2008, at 17:37, Maxim Dounin wrote:
>>>>
>>>>> Hello!
>>>>>
>>>>> On Wed, Dec 03, 2008 at 11:36:47PM +0300, Alexey V. Karagodov  
>>>>> wrote:
>>>>>
>>>>>> угу, "тестировали"
>>>>>> в один прекрасный момент, сайт ложится
>>>>>> на 80-м порту никто ничего не принимает
>>>>>> netstat -Lan
>>>>>> tcp4  xxx/4096/4096       *.80
>>>>>> хоть дата, хоть хттп, дело даже не доходит до разбирательств, что
>>>>>> это
>>>>>> просто висит tcp соединение и ждёт time-out (о чём писалось  
>>>>>> ранее)
>>>>>> это можно устроить просто коннектом к 80-му порту, даже  
>>>>>> передавать
>>>>>> ничего не надо
>>>>>> а сервер будет ждать данных
>>>>>
>>>>> А на какой версии фри это наблюдалось?  Если до 6.1/5.5 - то это
>>>>> скорее всего проблема которая уже поправлена (sys/kern/
>>>>> uipc_socket2.c,
>>>>> rev. 1.151) - там был совсем смешной баг.  В такой ситуации должны
>>>>> удаляться наиболее старые соединения.
>>>>>
>>>>> Maxim Dounin
>>>>>
>>>>>>
>>>>>> On 03.12.2008, at 22:20, Михаил Монашёв wrote:
>>>>>>
>>>>>>> Здравствуйте, MZ.
>>>>>>>
>>>>>>> Хотелось  бы  понять,  атаку  на  http  accept  filter
>>>>>>> тестировали на
>>>>>>> практике  или  только  код  смотрели?  И  что именно валится при
>>>>>>> такой
>>>>>>> атаке? Помогает ли смена http accept filter на data accept  
>>>>>>> filter?
>>>>>>>
>>>>>>> Интересуюсь ясное дело для защиты, а не для нападения.
>>>>>>>
>>>>>>>>>> Криво написан, задосить легко. Тссс!
>>>>>>>>> пока нашёл только http://www.lexa.ru/apache-talk/msg06733.html
>>>>>>>>> Может поделитесь Вашим опытом в этом направлении?
>>>>>>>
>>>>>>> M> Планируете кого-то задосить ?
>>>>>>> M> Прошу прощения, но выкладывать в публичный доступ подобную
>>>>>>> информацию
>>>>>>> M> считаю неэтичным.
>>>>>>> M> Проблемы там есть, достаточно серьезные чтобы их нельзя было
>>>>>>> M> сравнительно легко исправить. Просто человек который его  
>>>>>>> писал
>>>>>>> видимо
>>>>>>> M> не задумывался над проблемой устойчивости к dos-атакам.
>>>>>>>
>>>>>>> M> Модуль делает свою работу по минимизации оверхеда на context-
>>>>>>> switch
>>>>>>> для
>>>>>>> M> обычных http-запросов, но чтобы быть dos-устойчивым его надо
>>>>>>> M> переписывать практически с нуля.
>>>>>>>
>>>>>>> M> PS. Все вышесказанное мною есть сугубо личное мнение, не
>>>>>>> обязательно
>>>>>>> M> отражающее действительную реальность.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>>
>>>>>>> С уважением,
>>>>>>> Михаил Монашёв, SoftSearch.ru
>>>>>>> mailto:postmaster at softsearch.ru
>>>>>>> ICQ# 166233339
>>>>>>> http://michael.mindmix.ru/
>>>>>>> Без бэкапа по жизни.
>>>>>>>
>>>>>>>
>>>>>>
>>>>>
>>>>
>>>
>>
>>
>






More information about the nginx-ru mailing list