এনগিনএক্স এবং লাইটটিপিডি স্লোরিরাস দ্বারা প্রভাবিত হয় না কেন?


23

আমি স্লোলোরিসের দুর্বলতার বিষয়ে তদন্ত করছি এবং আমি মনে করি যে আমি বুঝতে পারি যে কীভাবে এবং কেন এই ধরণের আক্রমণ কাজ করে।

আমি যা বুঝতে পারি না তা হ'ল লাইটটিপিডি এবং এনগিনএক্স কেন প্রভাবিত হয় না (উপরের লিঙ্কযুক্ত একই নিবন্ধ অনুসারে)। তারা এত আলাদা কি করে?

উত্তর:


25

অ্যাপাচে 'সর্বাধিক ক্লায়েন্ট' একটি তত্ত্ব আছে

এটি হ্যান্ডেল করতে পারে এমন একযোগে সংযোগের সংখ্যা। IE যদি কোনও অ্যাপাচি সার্ভারের 100 সর্বাধিক ক্লায়েন্টের সীমা থাকে এবং প্রতিটি অনুরোধ সম্পূর্ণ হতে 1 সেকেন্ড সময় নেয় তবে এটি প্রতি সেকেন্ডে সর্বোচ্চ 100 টি অনুরোধ পরিচালনা করতে পারে।

স্লোলরিসের মতো একটি অ্যাপ্লিকেশন সংযোগ সহ একটি সার্ভার প্লাবিত করবে, আমাদের উদাহরণস্বরূপ যদি স্লোলরিস প্রতি সেকেন্ডে 200 সংযোগ পাঠায় এবং অ্যাপাচি কেবলমাত্র প্রতি সেকেন্ডে 100 সংযোগ পরিচালনা করতে পারে সংযোগের সারিটি বড় হয়ে উঠবে এবং মেশিনে সমস্ত স্মৃতি ব্যবহার করে এটি এনে দেবে একটি বিচরণ এটি অনামী 'এলওআইসি'র কাজ করার মতো to

এনজিআইএনএক্স এবং লাইটটিপিডি (অন্যদের মধ্যে) সর্বাধিক সংযোগ নেই, তারা পরিবর্তে কর্মী থ্রেড ব্যবহার করেন, তাত্ত্বিকভাবে, তারা সংযোগের সংখ্যার সীমাবদ্ধতার কোন সীমাবদ্ধতা নেই।
আপনি যদি আপনার অ্যাপাচি সংযোগগুলি নিরীক্ষণ করেন তবে দেখতে পাবেন যে সক্রিয় সংযোগগুলির বেশিরভাগই ক্লায়েন্টের কাছ থেকে 'প্রেরণ' বা 'প্রাপ্তি' ডেটা। এনজিআইএনএক্স / লাইটটিপিডি-তে তারা কেবল এই অনুরোধগুলি উপেক্ষা করে সিস্টেম রিসোর্স ব্যবহার না করে পটভূমিতে চলতে দেয় এবং এটি কেবল যে কিছু চলছে তার সাথে সংযোগ প্রক্রিয়া করতে হবে (প্রতিক্রিয়াগুলি পার্সিং, ব্যাকএন্ড সার্ভারের ডেটা পড়া ইত্যাদি) with

আমি আজ বিকেলে একইরকম প্রশ্নের জবাব দিয়েছি, সুতরাং সেখানে থাকা তথ্যও আপনার কাছে আকর্ষণীয় হতে পারে অ্যাপাচি অনুরোধ সারি কমাতে


ভাল এবং খুব বিস্তারিত উত্তর। +1
ওল্ডস্কুল

6
গৌণ সংশোধন: উচ্চ সংখ্যক সংযোগ অর্জনের জন্য এনজিনেক্স কর্মী থ্রেড ব্যবহার করে না। Nginx.org থেকে : " এনগিনেক্স অনুরোধগুলি পরিচালনা করতে থ্রেডের উপর নির্ভর করে না Instead পরিবর্তে এটি অনেক বেশি স্কেলযোগ্য ইভেন্ট-চালিত (অ্যাসিনক্রোনাস) আর্কিটেকচার ব্যবহার করে"
ডে

2
যদিও সম্ভাব্য পার্শ্ব প্রতিক্রিয়া, স্লোলোরিসের অভিপ্রায়টি "মেশিনে সমস্ত স্মৃতি ব্যবহার করা" নয়, বরং পরবর্তী সংযোগগুলি সাফল্য থেকে অস্বীকার করে সর্বাধিক সংযোগ ক্ষমতাটি ছাড়িয়ে যায়।
উলফগারপ্রো

@ ডে এনগিনেক্স এর অ্যাসিক্রোনাস অপারেশনকে সমর্থন করতে শ্রমিক থ্রেড ব্যবহার করে does একটি দরকারী অ্যাপ্লিকেশন আর্কিটেকচার স্কিম্যাটিক
টেরি বার্টন

13

এনগিনেক্স আসলে স্লোরিরিস আক্রমণে ঝুঁকিপূর্ণ। স্কার্স রিসোর্স হ'ল একযোগে কর্মী সংযোগের সর্বাধিক সংখ্যা। এই সংখ্যাটি কর্মী_সংযোগ * কর্মী_প্রক্রিয়া হিসাবে গণনা করা যায় এবং ডিফল্ট এনজিনেক্স কনফিগারেশনে সমান 512 হয়। সুতরাং, গলরিসের মতো সরঞ্জামগুলি সহ সুরক্ষিত এনজিনেক্স নামানো বেশ সহজ ।


golorisআমার বাস্তবায়ন / সেটআপ প্রত্যাশার মতো কাজ করে তা নিশ্চিত করার জন্য আমার যে সরঞ্জামটি প্রয়োজন তা দেখে মনে হচ্ছে!
অ্যালেক্সিস উইলক

8

ভালিয়ালের মন্তব্য উত্তর হিসাবে গ্রহণ করা উচিত।

বেশিরভাগ এনজিএনএক্স সার্ভারগুলি ডিফল্ট কনফিগারেশন ব্যবহার করে এবং তাই স্লোলোরিস আক্রমণে দুর্বল। আমি কেবলমাত্র আমার ল্যাপটপটি ব্যবহার করে আমার বন্ধুর এনগিনেক্স ওয়েবসাইটগুলি নামাতে স্লোলোরিস ব্যবহার করেছি এবং সাধারণত এটি 5 মিনিটেরও কম সময় নেয় না (আমার বন্ধুরা আমাকে এটি করতে চ্যালেঞ্জ করেছিল)।

ভালয়ালা যেমন বলেছিলেন, প্রযুক্তিগতভাবে, এনগিনেক্স স্লোলোরিসের পক্ষে ঝুঁকিপূর্ণ নয়, তবে ডিফল্ট কনফিগারেশন সংযোগের সর্বাধিক সংখ্যাকে সীমাবদ্ধ করে, তাই সংযোগগুলি সেই সংখ্যার বেশি হলে, এনজিনেক্স নতুন অনুরোধটি বাদ দেয়, যার ফলে পরিষেবাটি অস্বীকার করে।

স্লোলেরিস থেকে এনজিনেক্সকে রক্ষার জ্ঞাত উপায়গুলির মধ্যে একই আইপি থেকে সংযোগের সংখ্যা সীমাবদ্ধ করা এবং কর্মী_সংযোগ কনফিগারেশন বৃদ্ধি করা অন্তর্ভুক্ত। আক্রমণটি এখনও কাজ করতে পারে তবে এটি আরও শক্ত হয়ে যায় (সম্ভবত 5 মিনিটের বেশি সময় লাগবে?: D)

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.