|
|
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
Привет всем. тут возник вопрос - с сессиями.. проводил небольшой эксперимент - создавал сервлет в котором в методе service создавал сессию: HttpSession session = request.getSession(); так вот если на стороне клиента отключить поддержку Cookies то при каждом запросе пользователя с данного хоста будет создаваться объект HttpSession - не является ли это потенциальной возможностью перегрузить сервер Resin экземплярами сессий? Ну и что что время сессии можно установить - даже если поставить минимальное значение жизни - 1 минуту - то в течении 1 минуты можно в цикле наплодить столько сессий - что никакой памяти не хватит. Это разумеется лишь предположение - и я, как новичок, буду продолжать исследовать эту область - тем не менее задаю вопрос гуру. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.05.2006, 22:09 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
А воще можно и количество сессий тоже ограничить. Ну а если так серьезно с security - то можно так: Поставить связку Apache - Resin (Resinовские порты закрыть, оставить только 80, 443 и 22 к примеру) Apache собрать c modsecurity (см www.modsecurity.org). Ну а сей модуль можно настроить на отражение разнообразных атак. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.05.2006, 16:56 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
andrushokПоставить связку Apache - Resin Только так и надо. Servlet container НЕ ПРЕДНАЗНАЧЕН для использования в качестве Веб-сервера. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.05.2006, 21:35 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
Кстати, можно поставить и связку IIS-Resin. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.05.2006, 21:35 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
А с Resin никто не работал более тесно чем это написано в спецификации? :) мне кажется что и средствами этого прекрасного сервера можно настроить какнибудь это? например через библиотеку com.caucho... Я конечно сейчас в ней копаюсь - многое очень не понятно.. тем не менее там есть классы, экцемпляры которых можно получить чрез JNDI, например, я декомпилировал как то класс и столкнулся с фрагментом кода, который показывает количество открытых потоков с клиентом (я понял что вроде это как сессии)... Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. в Resin наверняка есть механизмы управления сессиями. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.05.2006, 22:12 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
забыл указать имя класса в котором я ковырялся - resin-3.0.17\lib\resin.jar\com\caucho\servlets\ResinStatusServlet.class ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.05.2006, 22:18 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
М.Голованов andrushokПоставить связку Apache - Resin Только так и надо. Servlet container НЕ ПРЕДНАЗНАЧЕН для использования в качестве Веб-сервера. это так, но дело не в том, что он сервлет контейнер, просто явский веб-сервер жрет на обслуживание запроса _существенно_ больше ресурсов, чем апач. поэтому дос реальнее намного. по хорошему, отдачу статики тоже можно спокойно возложить на апач ну и тп ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.05.2006, 01:30 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
М.ГоловановКстати, можно поставить и связку IIS-Resin. вот уж не надо, IIS это сам по себе дыра в безопасности еще какая ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.05.2006, 01:37 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
котывот уж не надо, IIS это сам по себе дыра в безопасности еще какая "Техника в руках дикаря - кусок металла" ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.05.2006, 07:34 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
котыпо хорошему, отдачу статики тоже можно спокойно возложить на апач ну и тп что вы имеете ввиду под "отдачей статики"? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.05.2006, 09:51 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
unicornmirage котыпо хорошему, отдачу статики тоже можно спокойно возложить на апач ну и тп что вы имеете ввиду под "отдачей статики"? изображения, файлы на скачку и тп логично отдавать минуя сервлетную машину ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2006, 04:26 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
М.Голованов котывот уж не надо, IIS это сам по себе дыра в безопасности еще какая "Техника в руках дикаря - кусок металла" сервер на майкрософте - кусок металла (довольно скоро) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2006, 04:27 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
Ну зарылись, однако Уважающий себя жабер и мысли не допустит пользовать IIS, однако. А шо касаемо сей проблемы (в самом первом посте) есть ище одна мысля. Если видишь, что сессии прут, так им и invalidate мога сделать, убить тоесть. Невелика задачка... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2006, 06:44 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
andrushokУважающий себя жабер и мысли не допустит пользовать IIS, однако.бредъ. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2006, 07:12 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
коты М.Голованов котывот уж не надо, IIS это сам по себе дыра в безопасности еще какая "Техника в руках дикаря - кусок металла" сервер на майкрософте - кусок металла (довольно скоро) sql.ru работает на ms-продуктах. rsdn.ru работает на ms-продуктах. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2006, 07:13 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
коты unicornmirage котыпо хорошему, отдачу статики тоже можно спокойно возложить на апач ну и тп что вы имеете ввиду под "отдачей статики"? изображения, файлы на скачку и тп логично отдавать минуя сервлетную машину хм... а если в сервлетной машине (позволю воспользоваться вашим термином:) ) - у меня реализован весь механизм аутентификации пользователя и проверка прав, предоставления полномочий, то как защитить тогда статику? я ,так понимаю, к статическим ресурсам постоянная ссылка. Надо защитить доступ к ней. И хотелось бы иметь единый механизм защиты.. (ps: ну это уже не в тему, сорри) что касается основного вопроса - прихожу к мнению о котором здесь говорили - проблема ДОС-атак - это проблема файрволла а не веб-контейнера.. ну в таком случае еще вопрос - а как получить список активных сессий (экземпляров HttpSession) не используюя самописный листенер на базе HttpSessionListener? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2006, 10:23 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
Уважаемому Граскову: я не понял, однако, Вы жабер (уважающий себя) али нет? Я также согласен, что что-то там на IIS работет, даже. Более того, даже сам что-то такое ваял, было дело (деньгу платили, однако). Но как уважающий себя жабер никогда IISом не пользовалси в своих корыстных целях и другим не советовал. IMHO, однако. А с сессиями усе просто, благо не студенческие. Может кто-то и чо более умное предложеть, а у меня така мысля. На кажную сессию жаба создаеть Thread, однако. А как она его распознаеть? Усе прото, Ватсон, как унитаз. Есть такой зверь JSESSIONID. Скорее всего он в Cookie сидить, хотя могет и по другому передоваться. Его можно напрямую выдрать (не помню точно, но типа у сессии id попросить), а можно и через теже Cookie, если включены. Ну так заведи некий bean в application scope и считай сии сессии. Дело плевое. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.05.2006, 06:42 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
А.Грасоff™ коты М.Голованов котывот уж не надо, IIS это сам по себе дыра в безопасности еще какая "Техника в руках дикаря - кусок металла" сервер на майкрософте - кусок металла (довольно скоро) sql.ru работает на ms-продуктах. rsdn.ru работает на ms-продуктах. да хоть на sambar'е - если есть человек, который регулярно производит профилактику, ставит патчи и тп. поставить же "под ключ" решение в контору, которое придется раз в полгода перегружать - на практике не получается ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.05.2006, 11:13 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
автор так вот если на стороне клиента отключить поддержку Cookies то при каждом запросе пользователя с данного хоста будет создаваться объект HttpSession Для таких случаев есть специальный метод HttpServletResponse #encodeURL(java.lang.String url). Советую внимательно почитать, что этот метод делает. Нужно каждую ссылку прогонять через него, иначе у пользователей с отключенными кукисами действительно будет каждый раз создаваться сессия и следовательно ваше приложение у них будет неправильно работать. А на счет дос атак, так это не ваша забота. Пускай админ думает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.05.2006, 12:10 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
andrushokНа кажную сессию жаба создаеть Thread, однако. Это что за "жаба" такая, что на каждую сессию создает Thread?... с этого места поподробнее, пожалуйста. Можно в Вашем стиле... забавно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.05.2006, 22:43 |
|
||
|
Resin и DOS атаки
|
|||
|---|---|---|---|
|
#18+
коты unicornmirage котыпо хорошему, отдачу статики тоже можно спокойно возложить на апач ну и тп что вы имеете ввиду под "отдачей статики"? изображения, файлы на скачку и тп логично отдавать минуя сервлетную машину Не то что логично, а должно быть просто в порядке вещей. Если написать JSP с десятком картинок и заставить контейнер рендерить картинки, он вынужден будет выполнить 11 запросов вместо одного. Под каждый запрос будет искаться свободный процессор или создаваться новый, будет выполняться обработка запроса сорокаэтажной иерархией классов... и все для того, чтобы в браузер переправить картинку. В то время как HTTP сервер делает это просто и непринужденно. В норме запрос должен переправляться на сервлет тогда и только тогда, когда результат выполнения запроса определяется его параметрами. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.05.2006, 22:58 |
|
||
|
|
start [/forum/topic.php?fid=59&msg=33719178&tid=2149285]: |
0ms |
get settings: |
9ms |
get forum list: |
20ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
39ms |
get topic data: |
11ms |
get forum data: |
2ms |
get page messages: |
59ms |
get tp. blocked users: |
1ms |
| others: | 211ms |
| total: | 360ms |
| 0 / 0 |
