Slow Read DoS attack

Андрей Бойко kaa на berloga.ru
Пн Янв 9 10:10:08 UTC 2012


Добрый день.

09.01.2012 06:48, Maxim Dounin пишет:
> Hello!
>
> On Sun, Jan 08, 2012 at 06:08:36PM +0400, Андрей Бойко wrote:
>
>> Добрый день.
>>
>> Прочитал топик на хабре
>> http://habrahabr.ru/blogs/infosecurity/135817/, проверил - все
>> ложится на раз.
>> Есть мысли, как это забороть? Или это не проблема nginx?
> Это скорее проблема настроек, чем nginx'а.  Данная "атака"
> имитирует большое количество медленно читающих ответ клиентов, и
> вполне логично, что если клиентов больше, чем разрешено держать
> соединений nginx'у, то будет проблема.
>
> На уровне nginx'а можно бороться двумя способами:
>
> 1) Разрешить nginx'у держать больше соединений, увеличив
> worker_connections, благо это дёшево.  Главное - не забыть
> соответственно настроить операционную систему.
>
> 2) Ограничить количество соединений с одного ip-адреса через
> limit_conn.
>
> Maxim Dounin
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
Максим, вариант 1 вряд ли подходит, у меня worker_connections  100000 и 
система настроена соответственно.
Вариант 2 вроде как работает, при ограничении в 500r/s ложиться 
перестало. Надо еще попробовать на более объемном файле.
Спасибо за ответ.

-- 
Андрей Бойко.
тел. +7 (903) 144-11-65
тел. +7 (495) 755-71-27
skype boykoav
icq 472-82-39



Подробная информация о списке рассылки nginx-ru