Re: соотношение балансировщиков/веб-серверов (оффтоп, но...)

big bond bondarets at gmail.com
Thu Oct 29 06:58:34 MSK 2009


ый трафик.

29 октября 2009 г. 6:57 пользователь big bond <bondarets at gmail.com> написал:
> Как задействовать этот профайлер?
> Насчет:
>>А вообще массированые атаки - это не так забота веб-сервера или балансировщика, как оборудования на уровне провайдера для борьбы с атаками.
> У нас стоит оборудование (наше) на стороне обоих провайдеров (cisco
> anomaly detector + cisco guard), ту атаку на апачи эта система не в
> состоянии определить, т.к. работает на сетевом уровне и с ее точки
> зрения 2-3 запроса в минуту - легитимны
> 29 октября 2009 г. 1:46 пользователь Дмитрий Леоненко
> <dmitry.leonenko at gmail.com> написал:
>>
>>
>> 2009/10/27 big bond <bondarets at gmail.com>
>>>
>>> Спасибо, попробую httperf, но я не уверен, что он сможет сгенерировать
>>> с одной десктоп-машины хотя бы пару десятков тысяч параллельных
>>> соединений (как это может flood_connect, но это решается
>>> дополнительными железками, в принципе), зато уж точно будут
>>> полноценные хендшейки + http запросы как бонус, хотя на данном этапе
>>> меня интересуют "чистые" ssl-сессии, без передачи данных внутри них.
>>> Причина проста - мы подверглись массированной атаке на текущие
>>> балансировщики (apache, балансируют + терминируют ssl) - тысячи пустых
>>> ssl-сессий заставили индейца породить тысячи worker'ов и они съели всю
>>> память.
>>
>> Ну если по простому, то апач, который модулями не лимитирует количество
>> соединений на клиента, можно завалить одним-двумя браузерами поставив чашку
>> кофе на F5. Апач сам сделает всю работу. Как только он начнет свопиться -
>> тут все и закончится.
>> А вообще массированые атаки - это не так забота веб-сервера или
>> балансировщика, как оборудования на уровне провайдера для борьбы с атаками.
>>
>>
>


More information about the nginx-ru mailing list