Re: atak na serwer www - apache 1.3.x

To: lista debiana <debian-user-polish@lists.debian.org>
Subject: Re: atak na serwer www - apache 1.3.x
From: Marek Wyrzykowski <mwm@tenbit.pl>
Date: Mon, 13 Feb 2006 19:43:23 +0100
Message-id: <[🔎] 43F0D34B.8040601@tenbit.pl>
In-reply-to: <[🔎] 1839894768.20060213182931@lists.debian.org>
References: <[🔎] 122439985.20060208110947@gras.poznan.pl> <[🔎] 20060209133606.GC28298@linuxstuff.pl> <[🔎] 20060209135446.GA9071@debianusers.pl> <[🔎] 20060209143928.GD28298@linuxstuff.pl> <[🔎] 69348152.20060209154723@lists.debian.org> <[🔎] c77664970d1059ab26c619eda1738a3d.qmail@home.pl> <[🔎] 9410535221.20060209200610@lists.debian.org> <[🔎] b9f8e0309f45909b51425bd8409655a9.qmail@home.pl> <[🔎] 622084824.20060209215651@lists.debian.org> <[🔎] 1491484927.20060210135338@lists.debian.org> <[🔎] 43ECC2BF.2060301@tenbit.pl> <[🔎] 673594536.20060210203308@lists.debian.org> <[🔎] 1843287809.20060213104640@lists.debian.org> <[🔎] 43F090D1.3070005@tenbit.pl> <[🔎] 726029152.20060213151613@lists.debian.org> <[🔎] 43F09940.9010205@tenbit.pl> <[🔎] 994925176.20060213154507@lists.debian.org> <[🔎] 43F09DCB.6070805@tenbit.pl> <[🔎] 97555843.20060213161336@lists.debian.org> <[🔎] 1387037316.20060213163105@lists.debian.org> <[🔎] 43F0A808.9090207@tenbit.pl> <[🔎] 15610502768.20060213164959@lists.debian.org> <[🔎] 43F0AEA7.2050606@tenbit.pl> <[🔎] 1839894768.20060213182931@lists.debian.org>

bieniu gras napisał(a):

> pozostaje jeszcze jedna kwestia :) teoretyczna ktora zostanie
> przetestowana :) otoz mam tez w konfigu:
> 
> acl pliki_wormy urlpath_regex "/etc/squid/pliki_wormy"
> http_access deny pliki_wormy
> 
Co do tych plików to bym ich nie blokował, wręcz przeciwnie :-). Niech
squid na życzenie podaje te pliki i niech będę (co raczej oczywiste) o
zerowej długości. Pięknie zmieszczą się w RAMie.


> 
> czyli apache zostanie odciazony poprzez squida, pytanie tylko czy
> squid wytrzyma to obciazenie - okolo miliona hitow dziennie :) i to po
> kilka tysiecy w kilka minut :D - na te wlasnie pliki
dlatego na początku tej dyskusji wspominałem, że to rozważania czysto
teoretyczne, ale skoro squid ma za zadanie serwować cacheowane strony,
to jest duża szansa, że sobie poradzi.

> 
> druga sprawa to czy mozna jeszcze usprawnic squida zeby nie cachowal
> plikow wzasadzie a tylko w pamieci cos tam trzymal i to malej ilosci
> bo chodzi mi glownie o to zeby zapytania o pliki ktore wymienilem nie
> dochodzily do apacha :) i tylko tym sposobem to sie udalo
Tu można trochę po eksperymentować. Jeśli nie możesz/chcesz cacheować
całej domeny, to bym polecił squdowi tylko i wyłącznie obsługę
niechcianych plików, przepuszczał bez cacheowanie pozostałe pliki z
domeny, a resztę odrzucał czyli:


acl pliki_wormy urlpath_regex "/etc/squid/pliki_wormy"
acl bez_squida dstdomain .wena.net
http_access accept pliki_wormy
no_cache deny bez_squida
http_access deny all

choć nie wiem czy dobrze wyraziłem swoje myśli.


> 
> to jest zalatwione
> ale nie chce zeby squid sie zbytnio meczyl - on ma pelnic role tylko i
> wylacznie filtra dla tej jednej domeny i nie dopuszczac zapytan o te
> durne pliki od wormow :)
> 
> cachowanie na dysku jest dla mnie zbedne

tu już jest zabawa z parametrami cache_mem cache_swap_low
cache_swap_high maximum_object_size minimum_object_size i innymi tego
typu. Na pewno proponuję, aby

minimum_object_size 0
maximum_object_size 1

Jest jeszcze cache_dir i tajemniczy parametr read-only. Co to za
parametr ??? Czy on wyłącza możliwość używania cache dyskowego ???

Może ktoś z Grupowiczów ma jakiś pomysł na te parametry tak aby squid
obsługiwał 3 plik o zerowej długości i zajmował mało zasobów :-)

pozdrawiam

Marek Wyrzykowski

Reply to:

Follow-Ups:
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>

References:
- atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: Michał Prokopiuk <michal@linuxstuff.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: Paweł Tęcza <ptecza@debianusers.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: Michał Prokopiuk <michal@linuxstuff.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: "Artur Jankowski" <janes@hot.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: "Artur Jankowski" <janes@hot.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: Marek Wyrzykowski <mwm@tenbit.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: Marek Wyrzykowski <mwm@tenbit.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: Marek Wyrzykowski <mwm@tenbit.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: Marek Wyrzykowski <mwm@tenbit.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: Marek Wyrzykowski <mwm@tenbit.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: Marek Wyrzykowski <mwm@tenbit.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>

Prev by Date: Re: atak na serwer www - apache 1.3.x
Next by Date: Re: atak na serwer www - apache 1.3.x
Previous by thread: Re: atak na serwer www - apache 1.3.x
Next by thread: Re: atak na serwer www - apache 1.3.x
Index(es):
- Date
- Thread