Riscos de ativar o keepalive upstream do nginx

Question 1

Proxy de uma conexão com keepalive é considerado um risco devido a ataques de dessincronização HTTP/contrabando de solicitações. Isso ocorre quando o back-end não divide diferentes solicitações de clientes exatamente da mesma maneira que o front-end. Fechar a conexão após cada solicitação é a opção "segura", pois delineia claramente quando a solicitação atual terminou.

Verhttps://book.hacktricks.xyz/pentesting-web/http-request-smugglingPara maiores informações.

Answer

Proxy de uma conexão com keepalive é considerado um risco devido a ataques de dessincronização HTTP/contrabando de solicitações. Isso ocorre quando o back-end não divide diferentes solicitações de clientes exatamente da mesma maneira que o front-end. Fechar a conexão após cada solicitação é a opção "segura", pois delineia claramente quando a solicitação atual terminou.

Verhttps://book.hacktricks.xyz/pentesting-web/http-request-smugglingPara maiores informações.

Question 2

Como já afirmei, KeepAlive é uma otimização para armazenar em cache a conexão. É para suportar tráfego de alto rendimento. Não vejo riscos em habilitá-lo, na verdade teria melhores resultados em qualquer caso.

Answer

Como já afirmei, KeepAlive é uma otimização para armazenar em cache a conexão. É para suportar tráfego de alto rendimento. Não vejo riscos em habilitá-lo, na verdade teria melhores resultados em qualquer caso.

Question 3

Comportamento padrão, a criação de conexão com o upstream para cada solicitação não é segura para carga pesada. Pelos seguintes motivos:

assim que uma solicitação chegar ao servidor nginx do mesmo cliente, ele criará uma nova conexão com o servidor upstream, para a qual usará a nova porta local disponível.
Depois de concluir a solicitação, a conexão fornecida naquela porta local passará de estabelecida para TIME_WAIT por 120 segundos, ou seja, por 120 segundos, essa porta local não poderá ser reutilizada para nenhuma nova solicitação
agora a segunda solicitação vem do mesmo cliente, ele repetirá a etapa 1.
desta forma para cargas pesadas,
1. você pode acabar usando todas as portas locais disponíveis no nginx (65k)
2. A criação e encerramento da conexão em cada solicitação é uma operação muito cara

Então, para evitar isso, o melhor que você pode fazer é armazenar em cache a conexão, para que, quando a solicitação chegar, você possa reutilizar a mesma conexão com o servidor upstream (na mesma porta local, como fez na última solicitação)

Atenciosamente Vj

Answer

Comportamento padrão, a criação de conexão com o upstream para cada solicitação não é segura para carga pesada. Pelos seguintes motivos:

assim que uma solicitação chegar ao servidor nginx do mesmo cliente, ele criará uma nova conexão com o servidor upstream, para a qual usará a nova porta local disponível.
Depois de concluir a solicitação, a conexão fornecida naquela porta local passará de estabelecida para TIME_WAIT por 120 segundos, ou seja, por 120 segundos, essa porta local não poderá ser reutilizada para nenhuma nova solicitação
agora a segunda solicitação vem do mesmo cliente, ele repetirá a etapa 1.
desta forma para cargas pesadas,
1. você pode acabar usando todas as portas locais disponíveis no nginx (65k)
2. A criação e encerramento da conexão em cada solicitação é uma operação muito cara

Então, para evitar isso, o melhor que você pode fazer é armazenar em cache a conexão, para que, quando a solicitação chegar, você possa reutilizar a mesma conexão com o servidor upstream (na mesma porta local, como fez na última solicitação)

Atenciosamente Vj

Riscos de ativar o keepalive upstream do nginx

Responder1

Responder2

Responder3

informação relacionada