Дотюнился... Странности в iostat

[MZ]

В чт, 04/12/2008 в 00:04 +0300, Anton Yuzhaninov пишет:
> On 03.12.2008 22:20, Михаил Монашёв wrote:
> > Здравствуйте, MZ.
> > 
> > Хотелось  бы  понять,  атаку  на  http  accept  filter  тестировали на
> > практике  или  только  код  смотрели?  И  что именно валится при такой
> > атаке? Помогает ли смена http accept filter на data accept filter?
> 
> Насколько понимаю проблем в том, что в нем нет таймаута и соединение может висеть долго,
> пока клиент его не закроет.

Верно, с некоторыми оговорками. Кроме того там не очень оптимальный код
который может потреблять 100% cpu для определенных данных и очень сильно
потреблять kmem, что при определенных настройках сервера чревато kernel
panic.

Для обычного траффика практически все запросы приходят одним пакетом,
так что в плане снижения оверхеда dataready фильтр обладает такой же
эффективностью что и httpready. А поскольку задосить веб-сервер
эффективнее http-запросами, а не мусором (который к тому же "палит"
ботов) - то dataready ещё и устойчивее к dos-атакам.