[Sysadmins] apache DoS by slowloris

[Michael Shigorin]

On Tue, Jul 07, 2009 at 02:28:48AM +0400, Денис Смирнов wrote:
> MS> * nginx может быть неэффективен, если до backend apache
> MS>   "долетает" достаточное количество таких тормозных соединений.
> Не совсем понимаю -- nginx отдает запрос апачу до того как
> получил целиком тело запроса от клиента? Я не знал об этом, и
> это весьма неприятно.

А, это нет вроде.

> Мне раньше казалось что установка nginx frontend фактически
> полностью развязывает по таймингам любые извращения клиентов
> и backend'ы.

Писал почти день кусочками, отправлял уже в сонном виде,
#include <stdotmaz> :)

В данном конкретном случае (скармливание хедеров по чайной ложке)
вроде как действительно не должно долетать, но по результатам
экспериментов без лёгкого поднятия MaxClients на апаче у меня
сложилось ощущение, что что-то долетало.  Внимательно не смотрел,
поскольку опять же урывками.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/