forum.opennet.ru

"Релиз http-сервера Apache 2.2.20 с устранением DoS-уязвимости"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Релиз http-сервера Apache 2.2.20 с устранением DoS-уязвимост..."	+/–
Сообщение от толькодлязарегистр (ok), 01-Сен-11, 19:57
> Тем, что позволит администратору "принять меры". Так это, по хорошему предотвращать пи---ц хорошо бы слегка до того как он уже наступил. >> с ливцд. Куда после этого идут ваши лимиты на фаере и >> как вы вон те 100 конекций отличите от 100 легитимных хомяков? > Тиоретег. 1) если уж через тор вас можно задосить то вам уже > никакой веб сервер не поможет. Чего - тиоретег? Я как раз такую атаку и видел не так давно. Просто как топор, и выкашивает апача на обычном серваке к чертям собачьим. Валится шитец через тор от стандартных утилсвов - кто-то явно освоил их запуск через torify :). Там много траффика не надо - главное соединения занять. А это даже через тор или вечно перегруженные проксики катит. > 2) вы не читали man на mod_qos. С нжинксом это нахрен не надо: ему такое до балды и без всяких костылей и их манов. Ну вот вы и читайте маны на костыли для апача. > 3) запросы от тупых ботов вроде аб благополучно детектируются и > сливаются в /dev/null не доходя до http сервера динамики. Круто, круто. А если воткнуть нжинкс с кешированием - то там и вообще сервер динамики вздохнет свободнее, даже если это будет 100500 хомяков ака "хабр-лор-слэшдот-аэффект". А нагрузочная способность апача настолько дрянь что анонимусы обнаглели настолько что топчут его почти голыми руками, просто запустив в браузере js-loic, который честно долбит опач запросами. Судя по тому что они это сделали - апач даже столь ламерским методом валится. По сути несколько обезьян F5 на сайте зажимают, примерно то же самое по смыслу :) > 4) настоящий дос делает не школота с хабров, > а ботнетами и там, по большому счету, часто вообще наплевать какой у вас http сервер ) Ну если ботнет большой и способен засрать гигабит - то да, попадос. Но такое внимание еще надо чем-то заслужить. Это требует затрат заметных бабла и/или палит ботнет. Тем не менее, почему-то ряд сайтов будучи досанутыми до состояния почти незагружабельности - резко меняли опач на нжинкс и тут же оживали. Просто наблюдение :).DoS бывают разные. На апача часто делают именно атаку нацеленную на исчерпание ресурсов. Это в 100500 раз проще чем гигабит прислать и делается на коленке из подручных средств любым пионером. Тогда как ботнет способный влить гигабит флуда и всерьез положить канал в ДЦ рядом с IX - на дороге не валяется. > "хаброэффект", слова то какие. Наверное еще и на рейтинг д..е, гг. С ником анонимуса? На рейтинг? Лол! :))) > Доооо. Вот расскажи мне школьнег про кеширование динамического контента в баннерной сети Ыыы :)) Может вы и баннеры отдаете апачем? Ну озвучьте адреса этой помойки? Надеюсь школьнички потестируют на ваших опачах указанные командочки [не люблю тех кто срет в сети] :) > или e-магазине. Не вижу особых проблем закешировать бОльшую часть типичного магазина на поблочном уровне или типа того. Все вообще - разумеется не выйдет. Но действий когда реально надо генерить динамику в интернет-магазинах, дергать БД и прочая - не так уж много. И их можно отсечь от ботов например потребовав регистрацию для работы с корзиной и прочая и просто заворачивая нерегистренных юзеров с такими запросами. Что сделает жизнь ботов намного менее скучной, если их целью было нагрузить сервер динамики и БД :) А сам по себе список товаров и прочее - относительно статичная сущность, например. Кеширование на допустим минуту никто и не заметит, а вот запрос на перегенерацию страницы раз в минуту - куда лучше чем запрос на перегенерацию страницы 100500 юзерами сразу, одним махом. > разных бекендов тем же nginx. И давай, давай, расскажи про гиг > динамики с одной ноды. Да зачем вам гиг динамики? Оставить тяжелые операции доступные только реганым юзерам, если уж вас атакуют ;). Если под каким-то аккаунтом наглеж - ну вынести аккаунт. А нереганым вообще урезать тяжелые операции. Пусть с кешом побольше общаются. Могу зато рассказать как видел как досили интернет магазины ламерскими кучками запросами к апачу и они падали. После чего конторы почему-то резко втыкали нжинкс и сайты оживали. Всего лишь наблюдение за жизнью сайтов ;) > Еще раз - принципиальной разницы _для динамики_ в использовании nginx + php-fpm > или апаче + mod_php нет. А до них все равно лучше ставить какой либо reverse > proxy, тот же nginx или варниш. Нжинксу не требуется реверс перед ним. Он сам отличный реверс и отгружалка статики, собссно. А настройка и майнтенанс (nginx + php) выглядит как-то симпатичнее чем (frontend + apache + php). В каких-то дико нагруженных системах может некий лоадбалансинг и будет иметь смысл но тогда наверное логично его делать сразу DNSом например, чтоб юзеры размазались по фронтэндам и грузили их все равномерно. > Последний для этих целей (имхо) много удобнее, так как конфигурация намного > читаемей выходит из-за особенностей работы varnish. Ничего не скажу особо, т.к. не пробовал. Могу лишь отметить что на читаемость конфига нжинкса я не жалуюсь, как по мне - и читаемо и удобоваримо вполне :). И админить один нжинкс + пых к нему как-то попроще чем фронт+апач+пых, что очевидно просто глядя на число компонентов цепочки. Ну и внедрежка нжинкса на большой числе нагруженных сайтов как бы намекает что он не лыком шит :) p.s. очередные лучи ненависти вордфильтру. Я так и не понял что за слово его смущает.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Релиз http-сервера Apache 2.2.20 с устранением DoS-уязвимости, opennews, 31-Авг-11, 15:13 [смотреть все]

Эээ Это значит если я найду где-то N-мегабайтный файл, то по-прежнему можно п, anonim, 31-Авг-11, 15:13 (1) //
- Это значит, что к _выкачиванию порна эта уязвимость совершенно не относится , Andrey Mitrofanov, 31-Авг-11, 15:49 (5) //
  - Ну почему же, если попросить 99 9 порнофайла - проверка не сработает, а вот тор, Аноним, 31-Авг-11, 15:54 (7) //
    - Одмин раздающий avi wmv через сжатие gzip-ом на ходу в апаче уже делает что-т, Andrey Mitrofanov, 31-Авг-11, 16:00 (9)
И это они называют устранением DoS-уязвимости , Etch, 31-Авг-11, 15:38 (2) //
- А patch же Ж-J Пластырем залепили и ладно , Andrey Mitrofanov, 31-Авг-11, 15:45 (3)
- Учтя что опач на раз выносится их же собственным ab2 до состояния форкаю 1000 п, Аноним, 31-Авг-11, 15:57 (8) //
  - Вообще-то у него в настройках есть параметры, регулирующие кол-во процессов И э, Etch, 31-Авг-11, 16:08 (10) //
    - Зарегулировали, допустим Теперь ab2 ну или кто там еще просто заузурпирует се, Аноним, 31-Авг-11, 18:33 (12)
      - Да Потому что ssh есть в таком случае Ну и всякие mod_qos как и лимиты фаерво, samm, 31-Авг-11, 19:39 (13)
        
        И чем он тут поможет Юзерам по нему содержимое сайта не отдашь и мерзостные сво, Аноним, 31-Авг-11, 19:58 (15)
        
        Для Максим - тут жестко - но правда - для _ТУПЫХ_ салаг - например ты увидишь, Аноним, 01-Сен-11, 05:58 (19)
        
        Вот да, много У меня есть, в частности, скрипты которые постоянно анализирую, samm, 01-Сен-11, 10:50 (25)
        
        Дон Кихот, залогиньтесь , Аноним, 02-Сен-11, 18:58 (36)
        
        Я, в отличии от вас залогинен Надеюсь, мой рабочий email asamorukov at ebay com, samm, 02-Сен-11, 20:20 (38)
        
        Так при помощи же указанного выше tor продайте штаны, купите очки или там уймы, Аноним, 01-Сен-11, 19:06 (27)
        
        Сегодня же первое сентября Откройте для себя, наконец 1 Чем отличается динамик, samm, 01-Сен-11, 19:18 (28)
        
        Внезапно, большая часть динамики запросто становится статикой Хотя-бы временно , Аноним, 01-Сен-11, 21:09 (33)
        
        Тем, что позволит администратору принять меры Тиоретег 1 если уж через тор , samm, 01-Сен-11, 10:47 (24)
        
        Так это, по хорошему предотвращать пи---ц хорошо бы слегка до того как он уже на , толькодлязарегистр, 01-Сен-11, 19:57 (29)
      - Поставьте nginx фронтендом и не парьте людям мозг Работа сайта при правильной н, Etch, 31-Авг-11, 22:25 (16)
        
        Lol Я его поставил вообще ВСЕМ Мне нравится Epic fail При _правильной_ настро, Аноним, 31-Авг-11, 23:50 (17)
        
        Спасибо за информацию Мы тут вроде про динамику говорим, иначе зачем нам вообщ, Etch, 01-Сен-11, 00:31 (18)
        
        А динамики на самом деле не так уж много И значительная ее часть сводится кешир, Аноним, 01-Сен-11, 20:01 (30)
        
        дадада Вот расскажите мне, расскажите online аукцион или магазин несомненно мо, samm, 01-Сен-11, 20:59 (32)
        
        Значительные куски - можно А почему, собственно, нет Ну вот например при прост, Аноним, 01-Сен-11, 21:47 (34)
        
        Или лайти Или Squid as reverse proxy Или Varnish -этот просто зверь или ещё, Аноним, 01-Сен-11, 06:07 (21)
По-моему, в случае апача с его форками на каждое соединение это и без всяких ran, Аноним, 31-Авг-11, 15:49 (4) //
- А вы и статику mpm_prefork ом обслуживаете Ню-ню , AlexAT, 01-Сен-11, 07:53 (22) //
  - Нет, конечно - я нжинксом все делаю Но почему-то 90 виденых сайтов на опаче ни, Аноним, 01-Сен-11, 20:09 (31)
- т е по вашему мнению недоступность сервиса и выполнение кода злоумышленника на , Avator, 02-Сен-11, 05:55 (35) //
  - Не понял где вы хоть слово про выполнение кода нашли вообще Что в новости, что , Аноним, 02-Сен-11, 19:00 (37)
О, то-есть, если я попрошу только 99 от файла, даже огромного, мне за это ничег, Аноним, 31-Авг-11, 15:52 (6) //
- Защита на самом деле грамотная Суть DoS в том, что можно было попросить 100500 , AlexAT, 01-Сен-11, 07:55 (23) //
  - Т е , теперь если запросить по отдельности 99 байт файла из 100, то не породится, Nas_tradamus, 01-Сен-11, 15:28 (26)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру