ru.perl

 
 - RU.PERL ----------------------------------------------------------------------
 From : Artem Chuprina                       2:5020/400     10 Nov 2002  16:23:48
 To : Eugene Grosbein
 Subject : Re: проблема с защитой
 -------------------------------------------------------------------------------- 
 

 Здравствуй, Eugene Grosbein.
 
  EG>>>>> Если сделать stateful и exponential backoff, работать будет.
  AC>>>> Hа верный ввод пароля тоже? 
  EG>>> Зачем?
  AC>> Затем, что иначе все совсем тривиально. Замеряем время легального отклика
  AC>> сервера, ждем удвоенное, если не ответили, считаем пароль неверным, рвем
  AC>> соединение, начинаем следующее. Hагрузка у нас не возрастает вообще, а что
  AC>> на
  AC>> сервере она растет - так он сам себе DoS устроил своим exponential
  AC>> backoff.
  AC>> Если на верный ввод пароля есть exponential backoff (т.е. если юзер
  AC>> правильно
  AC>> набрал пароль со второй попытки, он все равно получит ответ с задержкой
  AC>> как
  AC>> для первого неудачного запроса, если с третьего - как для второго, и т.д.)
  AC>> -
  AC>> придется делать несколько запросов в параллель, постепенно увеличивая их
  AC>> количество. Потому как если правильно подобрали с пятнадцатого раза, то
  AC>> положительного ответа ждать придется довольно долго. Твой сервер,
  AC>> естественно,
  AC>> огребет DoS и в этом случае тоже.
 
 EG> Само собой разумеется, что установлено ограничение на количество
 EG> одновременных сессий с одного IP. Остальные безусловно отбрасываются
 EG> еще до обработки. Так что DoS не будет. DoS, кстати, и без этой схемы
 EG> делается, если лимитов нет.
 
 Hу сравнил, DoS с забитием backlog'а и DoS с затыканием сервера на
 продолжительных backoff'ах... Второй делается при гораздо более гуманных
 лимитах (разумеется, правильный подход состоит в том, чтобы запросы из одного
 параллельного набора делать через разные прокси).
 
 EG> Да, на верный ввод тоже надо backoff.
 EG> И еще не указал, что обычно на первые три попытки задержек не ставим,
 EG> счетчик включаем после третьей.
 
 Тоже хорошо. Он зашел через десяток проксей - тридцать попыток без задержек.
 
  AC>>>> Фигня, лечим параллелизацией. Ты все равно после
  AC>>>> какого-то весьма ограниченного количества безуспешных запросов IP
  AC>>>> отрубишь, а
  AC>>>> несколько десятков параллельных запросов сейчас выдержит любая рабочая
  AC>>>> станция.
 
  EG>>> При stateful параллелизация не поможет. 
 
  AC>> Параллелизация помогает от exponential backoff на верный ввод пароля, а не
  AC>> от
  AC>> stateful. Hа stateful как таковой мы вообще чихать хотели по вышеописанной
  AC>> схеме.
 
 EG> Все неудачные запросы от одного клиента выстраиваются в одну очередь
 EG> посредством блокировок, так что параллелизация ничего не даст.
 
 А, поверил. Hо несколькими проксями оно лечится вместе с бэкоффом.
 
 -- 
 Artem Chuprina
 Communiware.net
 RFC2822: <ran@ran.pp.ru>, FIDO: 2:5020/122.256, ICQ: 13038757
 --- ifmail v.2.15dev5
  * Origin: Leninsky 45 home network (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор