Уязвимости серверов к медленному чтению

[Nc_Soft]

Nginx не поможет?

[dmitriid]

Дефолтные apache, nginx, lightpd, IIS отказывают в обслуживании на ура.

Но зачем же читать статью? ;)

[Pushkind]

Статья подразумевалась информационной, без обсуждения защиты, там по ссылке внизу есть пара советов. В кратце:
— надо дропать соединения с ненормально маленьким advertised окном. iptables например
— надо на уровне приложения ограничивать время соединения, в независости от состояния соединения. ModSecurity, flying frog

[Nc_Soft]

Как понять «дефолтные»?
Это которые у большинства стоят или с какими-то настройками из коробки?

[Pushkind]

из коробки.

[dmitriid]

Вдобавок, эи самые настройки из коробки многими не особо меняются

[Pushkind]

Он требует меньше ресурсов для поддержания того же количества одновременных соединений, т.е. можно отдалить DoS, но глобально — не поможет.

[Nc_Soft]

И что делать с такими слоу-поками?

[JustLuckyGuy]

А ваш сервер уяязвииииимм к мееееееееееедлееееееннномууууу…

[Aquahawk]

даже школьник в состоянии реализовать данный метод на практике.

[Pushkind]

исправил, спасибо

[Regis]

Зачем? Было вполне нормальное предложение.

[Aquahawk]

Господа, позвольте спросить, а за что минусуете человека? Не поняв он вполне корректно задал вопрос в комментарии, получил ответ.
Интересно что вопрос минусуют, а ответ нет, хотя, если расценить вопрос как недостойный хабра, то, думаю, и ответ на него тоже должен минусоваться.

[Terion]

Думаю, причины две:
1. Потому что это совершенно тупая придирка ко вполне легитимной языковой конструкции. В данном контексте союз «и» вполне имеет право использоваться.
2. Потому что такие формулировки, когда человек нарочито корчит из себя идиота, пытаясь показать этим свое «превосходство» у нормальных людей вызывает страшнейшее раздражение. «Что такое „и школьник“?» — ну кем надо быть, чтобы такое спросить? Не нравится формулировка? Так и напиши, что ты считаешь союз «и» тут неуместным. И напиши в личку. А не засирай каменты своей псевдоязвительностью.

[Terion]

1. Она может означать, теоретически, что угодно, но человеку мозг на то и дан, чтобы понимать смысл многозначных выражений в зависимости от их контекста. А уж тем более, когда в ряду стоят слова «метод» и «школьник», которые относятся к совршенно разным категориям понятий — никаких неоднозначностей тут не возникает. Что же, в таком случае, с вашим «языковым парсером» должна сделать фраза «скрипт обходит дерево»? Уж не спросите ли вы, кто такой скрипт и зачем он ходит вокруг дерева?

2. Если эта фраза действительно вызывает у вас непонимание — вам стоит обратиться к врачу, это явно что-то неврологическое.

[Terion]

приятного бана ))

[Aquahawk]

Мне не понятно вот что. Допустим вопрос идиотский, но почему же другого идиота, который на этот вопрос ответил плюсуют. Вот что мне непонятно.

[Terion]

Ну, отвечать на идиотские вопросы, вроде как, не преступление)

[Aquahawk]

Всё-таки я ошибся, и отвечать действительно не стоило.

[VolCh]

Наверное, не стоило быть таким самокритичным и называть себя идиотом в третьем лице. Не думаю, что многие минусовавшие ваши последние комменты в этом треде, смотрели что это отвечаете вы же, и не исключено, что один коммент (с ответом) плюсовали, а другие (с вопросами почему минуса изначальному вопросу), причем к минусам к комменту и в карму не поленились добавить.

[Aquahawk]

Да мне то не жалко, я о том что человек которого я защищал и думал что он будет вести себя адекватно перешёл на личности и оскорбления.

[Aquahawk]

Люди которые вас оскорбляли не достойны внимания, как только оскорблять стали вы, вы им стали такими же.

ответить тем же

недостойное поведение.

[equand]

ipfw add allow ip from any to me 80 setup limit src-addr 40
Пусть хоть уконнектятся :).
Ну и никто не отменял tcpdrop по таймеру.

[Pushkind]

это несерьезно:) Огромные конторы сидят на одном внешнем IP, браузер минимум два соединения делает (favicon), дропать соединия тоже некрасиво как то, лучше в очередь поставить.
tcpdrop лучше, но тогда реально медленные клиенты, которые аплодять фотку у эйфелевой башни будут жаловаться.
iptables ом можно дропать SYN пакеты с advertised window меньше чего то. Сейчас не видел систему, посылающуью менее 65К.

[equand]

бред, отлично работает, никто не жалуется (на хостинге по-крайней мере), любой браузер будет ждать возможности открыть соединение (проверено на опере, загрузка идет последовательно), оно не дропается, просто к ip не делается подключение пока не закрыты предыдущие соединения, может отвалиться по таймауту.
ipfw тоже имеет и tcpdatalen и tcpwin и другие прелести.

[Pushkind]

я так понимаю ipfw посылает или RST или FIN немедленно, если условие соблюдено. логика ставить соединение в очередь там врядли есть. Но спасибо за ipfw, я про него не знал. tcpdatalen и tcpwin тоже полезны. ipwf это только BSD?

[equand]

ipfw ничего не посылает. ни rst ни fin, просто ждет.
не только бсд.

[kingpin]

ipfw – и на производных и в Ubuntu портировано. И даже на Windows замечено! ;-)

[Semy]

limit src-addr мне тоже кажется не совсем корректным. tcpwin тут было бы на много более правильным, но он работает только на exact match, что делает его фактически бесполезным. Надо бы добавить туда возможность range, как в tcpdatalen.

[Semy]

Отослал патч разработчикам.

[ragus]

это не спасёт от DDoS, выполненной таким способом.

[drakmail]

В debian стабильном nginx отлично справляется.

[Pushkind]

На убунту дохнет. Если у Вас есть сетап с доступом извне — можно попробовать.

[Pushkind]

И на макос дохнет. Но там еще и проблема дефолтного ограничения на кол-во файл дескрипторов, и nginx упирается в него.

[drakmail]

В принципе, вот: delta-z.ru. Попробовал на чистом апаче проверить как работает — дохнет.

[drakmail]

Хотя вот так вот: slowhttptest -c 1000 -r 1000 -H ложится на 15-й секунде :) В прошлый раз без дополнительных параметров проверял.

[drakmail]

Интересный момент: запускаю проверку, в какой-то момент Service Available меняется на NO, но при открытии проверяемого хоста в браузере всё по прежнему отлично работает…

[Pushkind]

Service Available меняется там на NO изза рейта соединений, -r 1000 создает 1000 соединений в секунду, сервер не справляется и ставить в очередь, но секунд за 5 разгребает ее. Пробное соединение, которое определяет наличие сервиса за эти 5 секунд не получает видать ответа и считает что сервиса нет.

[Pushkind]

-H генерит запрос с незаконченными заголовками. Это slowloris атака, а медленное чтение — -X!

[Pushkind]

короче попробовал.
На этом сайте огромный pool одновременных соединений. Пришлось 6 экземпляров slowhttptest a запустить:

src/slowhttptest -X -w 10 -y 500 -k 3 -u delta-z.ru/images/banner.png -c 1000 -r 200

Видать машина мощная. Формула так такова: max_clients = worker_processes * worker_connections, где worker_processes обычно по числу ядер процессора.

[drakmail]

Угу, 8-ми ядерный (4 HT) i7 на сервере. В конфиге nginx, соотвественно, 8 процессов по 1024 конекшена установлено. В принципе, тогда ясно, почему у меня не получилось положить )

[ananazzz]

./slowhttptest -c 1000 -r 1000 -H пока ложит все проверяемые сайты.

З.ы.: на Хабре не испытывал и не буду, уж очень люблю жизнь :)

[Pushkind]

-H это старо! -H посылает медленные запросы! slowloris атака это, slow read запускается как -X.

Лимит в 1000 соединений изза того, что использую select(), нехочется скрипткидям жизнь облегчать, на и на epoll() переписывать лень.

[equand]

можно на пайтоне за минуту написать более злобного буратина :)

[Pushkind]

написано дофига:)

[Semy]

И не надо non-posix epoll(). И так не собирается на BSD из за того, что sys/socket.h не заинклюжен и из за print_call_stack().

[Pushkind]

Тфу! Спасибо огромное. Поставлю щас BSD. На маке все писал, думал на BSD заработает. print_call_stack() я вроде даже и не использую… Убери нафиг.

[Semy]

конечно убрал уже :)

void
print_call_stack() {
#ifdef __linux__
...
#else
return;
#endif
}


B execinfo.h туда же. Собралось нормально и вроде работает. Особо не проверял.

[Semy]

хм… Тэг code какой то странный…

[VolCh]

Используйте Хабратег <source lang="C"></source>

[Pushkind]

Пардон, имел ввиду «уберу нафиг». Мучаюсь с BSD.

[Pushkind]

Поставил, проверил. Зачекинил в svn, обновил вики для BSD пользователей.
П.С. Мучался с svn ом на BSD, 21 век, а он https не поддерживал.

[Semy]

Если специально не отключать neon+openssl, то вроде должен. Я правда не проверял сам.

[Pushkind]

Хабр явно более 1000 соединений одновременно обслуживает.

[equand]

не факт

[KawaiDesu]

Примерно несколько запросов в секунду на главной по вечерам. Замерял картинкой в посте и tail -f на логе :)

[BupycNet]

Ох чую сейчас будет обратный хаброэффект, организованный не на сторонник ресурс, а на сам хабр. :)

[amarao]

[1046041.052385] TCP: Peer 89.86.4.24:29269/35882 unexpectedly shrunk window 625419684:625424028 (repaired)

Это не «оно»? В смысле, не борьба с оным?

[Pushkind]

а чей это лог?

[Self_Perfection]

$ grep -m 1 shrunk /var/log/kernel.log.1
Jan 1 22:11:55 localhost kernel: [2573135.119374] TCP: Peer 85.242.201.187:62704/51413 unexpectedly shrunk window 109853464:109856304 (repaired)

[Pushkind]

О, так это ядро поймало, что кто-то (торрент? ) находу уменьшил window намного, т.е. клиент в начале соединения объявил, что он может принимать одним куском (грубо говоря) 1Кб например, принял 20 байт и сказал что у него осталось места на 100 байт, заместо 1Кб минус 20 байт.
Интересно как сервер может это пофиксить: считать что тот ему врет и продолжать посылать куски большего размера? В любом случае slowhttptest не ведет себя так; он в самом начале говорит что он может принимать мелкие кусками данные, принимает первый кусок, и говорит стоп, места нет.

[amarao]

Это dmesg, оно (ядро) постоянно таким срёт, когда торренты запущены.

[Konstantinus]

Спасибо за интересную статью. Проверил свои сервера.

[simpel]

Бинарником для OSX никто не поделится?

[relgames]

Не ясно, почему падает nginx. Разве там не асинхронные сокеты?

[azimut]

Мы это делали в 2005 г., зачем было палить вот так?!