Риски включения nginx upstream keepalive

Question 1

Проксирование соединения с keepalive считается рискованным из-за атак HTTP-десинхронизации/контрабанды запросов. Это происходит, когда бэкэнд не разделяет различные клиентские запросы точно так же, как фронтэнд. Закрытие соединения после каждого запроса является «безопасным» вариантом, поскольку это четко определяет, когда текущий запрос завершился.

Видетьhttps://book.hacktricks.xyz/pentesting-web/http-request-smugglingЧтобы получить больше информации.

Answer

Проксирование соединения с keepalive считается рискованным из-за атак HTTP-десинхронизации/контрабанды запросов. Это происходит, когда бэкэнд не разделяет различные клиентские запросы точно так же, как фронтэнд. Закрытие соединения после каждого запроса является «безопасным» вариантом, поскольку это четко определяет, когда текущий запрос завершился.

Видетьhttps://book.hacktricks.xyz/pentesting-web/http-request-smugglingЧтобы получить больше информации.

Question 2

Как я уже говорил, KeepAlive — это оптимизация для кэширования соединения. Она нужна для поддержки трафика с высокой пропускной способностью. Я не вижу никаких рисков для ее включения, на самом деле, в любом случае она дала бы лучшие результаты.

Answer

Как я уже говорил, KeepAlive — это оптимизация для кэширования соединения. Она нужна для поддержки трафика с высокой пропускной способностью. Я не вижу никаких рисков для ее включения, на самом деле, в любом случае она дала бы лучшие результаты.

Question 3

Поведение по умолчанию, создание соединения с upstream для каждого запроса небезопасно при большой нагрузке. По следующим причинам:

Как только на сервер nginx поступит запрос от того же клиента, он создаст новое соединение с вышестоящим сервером, для которого будет использоваться новый доступный локальный порт.
После завершения запроса соединение на этом локальном порту перейдет из состояния «установлено» в состояние «TIME_WAIT» на 120 секунд. Это означает, что в течение 120 секунд этот локальный порт не может быть повторно использован для любого нового запроса.
теперь второй запрос поступает от того же клиента, он повторяет шаг 1.
таким образом, для тяжелых нагрузок,
1. вы можете в конечном итоге использовать все доступные локальные порты на nginx (65k)
2. Создание и завершение соединения по каждому запросу — очень затратная операция.

Чтобы избежать этого, лучшее, что вы можете сделать, это кэшировать соединение, чтобы при поступлении запроса вы могли повторно использовать то же соединение с вышестоящим сервером (на том же локальном порту, что и для последнего запроса).

С уважением, Vj

Answer

Поведение по умолчанию, создание соединения с upstream для каждого запроса небезопасно при большой нагрузке. По следующим причинам:

Как только на сервер nginx поступит запрос от того же клиента, он создаст новое соединение с вышестоящим сервером, для которого будет использоваться новый доступный локальный порт.
После завершения запроса соединение на этом локальном порту перейдет из состояния «установлено» в состояние «TIME_WAIT» на 120 секунд. Это означает, что в течение 120 секунд этот локальный порт не может быть повторно использован для любого нового запроса.
теперь второй запрос поступает от того же клиента, он повторяет шаг 1.
таким образом, для тяжелых нагрузок,
1. вы можете в конечном итоге использовать все доступные локальные порты на nginx (65k)
2. Создание и завершение соединения по каждому запросу — очень затратная операция.

Чтобы избежать этого, лучшее, что вы можете сделать, это кэшировать соединение, чтобы при поступлении запроса вы могли повторно использовать то же соединение с вышестоящим сервером (на том же локальном порту, что и для последнего запроса).

С уважением, Vj

Риски включения nginx upstream keepalive

решение1

решение2

решение3

Связанный контент