Как не надо делать, на этот раз нам показывают коллеги из Рамблера.
В районе полудня стал затыкаться сначала основной, а затем и резервный прокси-сервер. Расследование показало, что у единственного(!) пользователя, использующего почту от рамблера, браузер несколько десятков раз в секунду(!!) делает POST-запрос на http://mail.rambler.ru/jsonrpc. Сам же рамблер по случаю DDoS-а был зафильтрован QRATOR-ом и запросы висели до браузерного таймаута. В результате сквид утыкался в ограничение количества соединений и благополучно помирал. Как понятно, мы были, мягко говоря, не одиноки с этой проблемой.
Вот такой простой, относительно дешевый и изящный способ заставить собственных посетителей заДДоСить самих себя.
Дмитрий, можно ли получить детали?
Например, на адрес control [at] rambler-co.ru , передадим техническим специалистам.
Спасибо!
Благодарю за оперативность и внимание к пользователям. :)
Отписал на указанный адрес.
у меня один скромный вопрос — а нахуя в 2012 году в организации прокси-сервер? что ты там фильтруешь?
Например, результаты действий троянов, которые нет-нет да и просачиваются.
Ну и вообще, кэширование — штука полезная. По имеющейся статистике, дальше кэша прокси не ходит почти четверть запросов.
у тебя сколько памяти в том сервере с кешом?
Изрядно.
дисковой? достаточно. хотя про 25%, емнимс, не совсем правда.
Я тебя сейчас удивлю до невозможности. Не двадцать пять, а до семидесяти пяти. :)
Зелененькое — cache hits, синенькое — requests, желтенькое — проценты.
что-то у меня баальшие сомнения в достоверности картинки. а объём?
За что купил, за то и продаю.
я со сквидом в борланде завязал в 2004, когда процент сэкономленного упал до 10%. Я тогда списал на массовое распространение всяческой афксовой дряни, которая не кэшируется. Причем 10% было несмотря на публикацию анонимизированнных логов, что приводило к поразительному единомыслию и помогало не посылать друг другу ссылки :)
Это сквид поумнел, или у вас контингент такой?
Второе, полагаю.Специфика работы информационного агентства — десяток своих сайтов, несколько десятков регулярно мониторящихся и т.п.
А воткнуть что-нибудь из 21-века типа varnish или хотя бы nginx?
Это смешно, когда один браузер может положить прокси сервер.
«Зачем вам бульдозер, купите современный велосипед — он быстрее ездит, а колеса у него почти такие же». Nginx — прекрасный веб-сервер, а varnish — замечательный http-акселератор. То, что оба они как-то умеют кэшировать http, еще не делают их полноценной заменой сквиду.
И, кстати, в описанной ситуации что варниш, что нжинкс повели бы себя точно так же.
1500 коннектов явно не были бы проблемой.
Легко. Достаточно внутренние тайм-ауты сделать существенно меньшими, чем внешние.
(издевательски хихикает) Меня, кажется, пришел учить специалист, чей nginx/0.8.54 в настоящий момент стабильно отдает 502.