Почему запрос пароля намного медленнее, чем запрос входа в систему? [закрыто]
Быстрый ответ, брандмауэр для сервера 1 отклоняет пакеты, а брандмауэр для сервера 2 отбрасывает их.
REJECT: отклонить пакет и уведомить отправителя о том, что мы сделали это, и остановить обработку правил в этой цепочке.
DROP: молча игнорировать пакет и прекратить обработку правил в этой цепочке.
Сервер 1 (iptables) отклоняет пакет и отвечает сообщением о недоступности узла ICMP.
REJECT all -- anywhere anywhere reject-with icmp-host-unreachable
Он говорит, что хост недоступен, как восходящий маршрутизатор, но подразумевает, что сервер активен и доступен, потому что его IP-адрес все еще виден в исходном IP-адресе ответного пакета.
Это правило можно настроить так, чтобы просто отклонить с отказом:
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Сервер 2 (брандмауэр Amazon) отбрасывает пакеты, он заставляет клиента повторять попытку подключения до тех пор, пока не будет превышено пороговое время, затем он генерирует сообщение «Время подключения out "сообщение об ошибке.
DROP all -- anywhere anywhere
Есть две основные причины такого поведения:
- Обработка : существует огромная вычислительная разница между выводом одной строки текста для
запрос входа в системуи запуск безопасного ввода и обработки пароля. - Безопасность : это также вопрос безопасности.
- Чтобы злоумышленник не попытался умело определить длину пароля в зависимости от времени, необходимого для проверка (это было сделано), принято добавлять случайную задержку к операции.
- Регулирование проверки пароля также позволяет сократить количество попыток, которые система может сделать за определенный период времени. Например, если проверка пароля занимает в 5 раз больше времени , , злоумышленнику потребуется в 5 раз больше времени, чтобы его взломать.
Проблема возникает из-за того, что ваша система очень перегружена и не может правильно сбалансировать необходимые ресурсы, что приводит к тайм-ауту для основных задач.
Когда вы все же найдете программу-нарушитель, вам следует найти способ предотвратить этот тип зависания, возможно, путем ограничения использования памяти, приоритета обработки и т. Д.