Riesgos de habilitar nginx upstream keepalive

Question 1

Proxy una conexión con keepalive se considera un riesgo debido a los ataques de desincronización HTTP/contrabando de solicitudes. Esto ocurre cuando el backend no divide las diferentes solicitudes de los clientes exactamente de la misma manera que el frontend. Cerrar la conexión después de cada solicitud es la opción "segura", ya que esto delimita claramente cuándo finalizó la solicitud actual.

Verhttps://book.hacktricks.xyz/pentesting-web/http-request-smugglingpara más información.

Answer

Proxy una conexión con keepalive se considera un riesgo debido a los ataques de desincronización HTTP/contrabando de solicitudes. Esto ocurre cuando el backend no divide las diferentes solicitudes de los clientes exactamente de la misma manera que el frontend. Cerrar la conexión después de cada solicitud es la opción "segura", ya que esto delimita claramente cuándo finalizó la solicitud actual.

Verhttps://book.hacktricks.xyz/pentesting-web/http-request-smugglingpara más información.

Question 2

Como ya dije, KeepAlive es una optimización para almacenar en caché la conexión. Es para soportar tráfico de alto rendimiento. No veo ningún riesgo al habilitarlo, de hecho tendría mejores resultados en cualquier caso.

Answer

Como ya dije, KeepAlive es una optimización para almacenar en caché la conexión. Es para soportar tráfico de alto rendimiento. No veo ningún riesgo al habilitarlo, de hecho tendría mejores resultados en cualquier caso.

Question 3

El comportamiento predeterminado, la creación de una conexión con el flujo ascendente para cada solicitud no es seguro para cargas pesadas. Por las siguientes razones:

Una vez que llega una solicitud al servidor nginx desde el mismo cliente, también creará una nueva conexión con el servidor ascendente, para lo cual utilizará el nuevo puerto local disponible.
Una vez que se completa la solicitud, la conexión proporcionada en ese puerto local pasará de establecida a TIME_WAIT durante 120 segundos, esto significa que durante 120 segundos, ese puerto local no se puede reutilizar para ninguna solicitud nueva.
Ahora la segunda solicitud proviene del mismo cliente, se repetirá el paso 1.
de esta manera para cargas pesadas,
1. puede terminar usando todos los puertos locales disponibles en nginx (65k)
2. La creación y terminación de la conexión en cada solicitud es una operación muy costosa

Entonces, para evitar eso, lo mejor que puede hacer es almacenar en caché la conexión, de modo que cuando llegue la solicitud, pueda reutilizar la misma conexión con el servidor ascendente (en el mismo puerto local, como lo hizo para la última solicitud).

Saludos Vj

Answer

El comportamiento predeterminado, la creación de una conexión con el flujo ascendente para cada solicitud no es seguro para cargas pesadas. Por las siguientes razones:

Una vez que llega una solicitud al servidor nginx desde el mismo cliente, también creará una nueva conexión con el servidor ascendente, para lo cual utilizará el nuevo puerto local disponible.
Una vez que se completa la solicitud, la conexión proporcionada en ese puerto local pasará de establecida a TIME_WAIT durante 120 segundos, esto significa que durante 120 segundos, ese puerto local no se puede reutilizar para ninguna solicitud nueva.
Ahora la segunda solicitud proviene del mismo cliente, se repetirá el paso 1.
de esta manera para cargas pesadas,
1. puede terminar usando todos los puertos locales disponibles en nginx (65k)
2. La creación y terminación de la conexión en cada solicitud es una operación muy costosa

Entonces, para evitar eso, lo mejor que puede hacer es almacenar en caché la conexión, de modo que cuando llegue la solicitud, pueda reutilizar la misma conexión con el servidor ascendente (en el mismo puerto local, como lo hizo para la última solicitud).

Saludos Vj

Riesgos de habilitar nginx upstream keepalive

Respuesta1

Respuesta2

Respuesta3

información relacionada