LINUX.ORG.RU
ФорумTalks

pip search ддосят

 , ,


0

1

https://status.python.org
https://www.opennet.ru/opennews/art.shtml?num=54335
https://github.com/pypa/pip/issues/5216#issuecomment-744658558

Предположительно, кто-то распространяет контейнеры, которые массово вызывают pip search. Без злого умысла, чисто по дурости. Началось в июне, а в ноябре нагрузка возросла раз в 20. Сервера на pypi.org не справляются с таким числом вызовов XMLRPC, поэтому поиск по пакетам стал недоступен. Поэтому его хотят отключить насовсем, а функцию search из pip удалить.

★★★★★

Последнее исправление: question4 (всего исправлений: 2)

Сервера на pypi.org не справляются с таким числом вызовов XMLRPC, поэтому поиск по пакетам стал недоступен. Поэтому его хотят отключить насовсем, а функцию search из pip удалить.

Да ладно, в 2021 году нет других вариантов защиты от DDOS?

Crocodoom ★★★★★
()

Можно капчу прикрутить :) Консольную, например арифметическую задачку

Crocodoom ★★★★★
()
Последнее исправление: Crocodoom (всего исправлений: 2)

Поэтому его хотят отключить насовсем, а функцию search из pip удалить.

Как тогда поиск работает и сервера справляются в apt/yum/zypper?

X512 ★★★★★
()
Ответ на: комментарий от X512

Как тогда поиск работает и сервера справляются в apt/yum/zypper?

Они не пользуются XMLRPC, надо думать :)

question4 ★★★★★
() автор топика
Ответ на: комментарий от Spoofing

есть мнение, что apt-cache search это локальное. другие не знаю, но предположу, что тоже самое.

Да, и это тоже.

question4 ★★★★★
() автор топика

Четвертые сутки

Пылают станицы…

Shulman
()
Ответ на: комментарий от Crocodoom

наверно проблема в невозможности фильтрации, только докупать сервера и оптимизироваться

InterVi ★★★★
()
Ответ на: комментарий от question4

Его пока не ддосят :)

Заддосят и Python можно закапывать. Python’ом много кто пользуется, могли бы помочь с серверами.

X512 ★★★★★
()
Ответ на: комментарий от X512

Python’ом много кто пользуется, могли бы помочь с серверами.

Тут надо не сервера докупать, а менять всю организацию поиска. Раз уж жареный петух клюнул, стоит этим сразу заняться.

question4 ★★★★★
() автор топика

кто-то распространяет контейнеры

Макаки-смузихлёбы добрались до докера :)

Reset ★★★★★
()
Ответ на: комментарий от question4

Тут надо не сервера докупать, а менять всю организацию поиска.

Вот вот. Надо на правильну базу им перейти. Ну и всякий треш типа xmlrpc выпилить.

Reset ★★★★★
()
Ответ на: комментарий от X512

Как теперь предлагается искать пакеты?

Мне казалось их всю жизнь искали на стековерфлоу всяких там или в гугле

MrClon ★★★★★
()
Ответ на: комментарий от question4

Я там в коментах предполагал этот вариант. Он на поверхности лежит. Про сами запросы что-то известно?

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

Про сами запросы что-то известно?

Я ничего не знаю. Тему создал в надежде, что кто-то про них расскажет.

question4 ★★★★★
() автор топика
Ответ на: комментарий от cvs-255

А где в apt ты увидел онлайн-поиск?

apt search имеет то же назначение. Это был риторический вопрос, почему поиск в pip грузит сервера в отличии от других пакетных менеджеров.

question4 ★★★★★
() автор топика
Ответ на: комментарий от cvs-255

плагин для IDE опрашивает сервера на тему последних версий

Не проще ли для этого сразу делать --update?

question4 ★★★★★
() автор топика
Ответ на: комментарий от question4

Потому что хипсторы решили что хранить локальный индекс, который будет устаревать, не круто

MrClon ★★★★★
()
Ответ на: комментарий от question4

Ну видимо хотели сделать так, чтобы не требовалось делать аналог apt update перед каждым использованием

cvs-255 ★★★★★
()
Ответ на: комментарий от question4

p2p хранилище БД для поиска, с сертификатами для достоверности?

cvs-255 ★★★★★
()

А есть статистика о том, какие именно пакеты в ддосящих запросах? Если это какой-то конкретно контейнер, который много кто запустил, то там будет фиксированный набор пакетов

cvs-255 ★★★★★
()

Сейчас бы в 20210 не кэшировать запросы поисковые.

evgeny_aa ★★☆
()
Ответ на: комментарий от peregrine

Надо распределённый делать, как на торрентах.

Чтобы pip постоянно висел в системе и потреблял трафик, отвечая на чужие запросы? Спасибо, не надо. Распределённость - это хорошо, но только на специально предназначенных для этого машинах (серверах), а не на компьютере пользователя.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от cvs-255

А есть статистика о том, какие именно пакеты в ддосящих запросах? Если это какой-то конкретно контейнер,

Я не нашёл. Учитывая, что это тянется полгода, а последние всплески — больше месяца, наверняка уже пытались соотнести запросы с известными образами.

question4 ★★★★★
() автор топика

Без злого умысла, чисто по дурости

Простота хуже воровства. Правильно, что из k8s выкинули докер к чертям ибо слишком просто было. Меньше осиливших – меньше проблем у других.

cocucka ★★★★☆
()
Ответ на: комментарий от X512

А я бы похостил малость. По крайней мере то что у меня в системе через pip стоит. Трафика не жалко. Торренты вон висят у людей и ничего.

peregrine ★★★★★
()

Ща пипка отвалится, все будут анаконду душить. Та тоже сдохнет через какое то время

TooPar
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks