Факультет ИСиТ Пятница, 20.09.2019, 23:13
Приветствую Вас Гость | RSS
[ Персональный раздел · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Ghost  
Факультет ИСиТ СыктГУ - Форум » Сыктывкар и Республика Коми » IT-сфера Республики Коми (прочее) » Тестирование сайтов РК или как сломать сайт за 60 секунд
Тестирование сайтов РК или как сломать сайт за 60 секунд
МихА Дата: Воскресенье, 07.08.2011, 21:30 | Сообщение # 1
Преподаватель
Группа: СуперАктив
Сообщений: 689
Награды: 0
Статус: Offline
Как-то на неделе выдалась длинная ночка, пиво были в наличии, а руки чесались от желания что-нибудь сотворить:)

Все это вылилось в небольшое тестирование сайтов Республики Коми.



Имеем в наличии:

- Машину с хорошим интернетом(VPS размещенная в Германии), на которой запускаем стандартную утилиту(siege) для тестирования сайта под нагрузкой. Утилита загружает тестируемый сайт сразу в несколько потоков, эмулируя поведение посетителя сайта, и показывает статистику запросов.

- Другой компьютер с другим ip-адресом на котором мы будем проверять фактическую доступность сайта.

При тестировании утилита открывает сайт в n потоков, параметр "доступность сайта" показывает на какой процент этих потоков сервер дал ответ. Если сервер не ответил, значит страница не загрузилась. "Время реакции" - через сколько секунд сервер в среднем отвечает на запрос, при этом "время загрузки страницы" всегда больше, чем "время реакции".

Итак, начнем:

cit.rkomi.ru - ГАУ РК «Центр информационных технологий». Сайт упал с первых же секунд тестирования. Доступность сайта 32%. Время реакции 20 секунд. С моей машины сайт не грузился совсем. Более того, сам rkomi.ru радовал своих посетителей ошибкой базы данных.

rkomi.ru - Официальный портал Республики Коми. Он держался немного лучше - доступности сайта 66%, время реакции 13 секунд, но с моего компьютера он не открывался совсем.

syktyvkar.komi.com - Сайт администрации Сыктывкара. С ним совсем все плохо - 12% доступности, 17 секунд для реакции и совсем не грузиться с моего компьютера - socket: connection time out

komi.com - Интернет-портал. Тут дела обстоят немного лучше - 92% доступности, реакция в пределах 4 секунд. При серфинге по сайту заметны ощутимые тормоза, но он работает. И на этом спасибо.

9i-vteme.ru - Молодая Гвардия РК. Тут все хорошо - доступность 100%, вот только вместо контента отдается сообщение с ошибкой базы данных mysql:)

syktsu.ru - Сыктывкарский Государственный Университет. На удивление с ним все отлично. Доступность 99% и никаких тормозов при просмотре сайта.

sli.komi.com - Сыктывкарский Лесной Институт. По нему статистика терпимая - 77%, но время реакции 13 секунд и при серфинге по сайту заметны жутки тормоза. Страницы загружаются секунд по 30. А что у нас со СМИ?

progorod11.ru - ПроГород Сыктывкар. Помер моментально, на надгробии было написано "Ошибка 502". Доступность сайта 0.27%, время реакции 90 секунд.

komikz.ru - Мое любимое Красное Знамя РК. При тестировании доступность сайта 14%. Страницы грузятся, но с жуткими тормозами.

rubsev.ru - Рубеж Севера. Первый сайт, на котором мне попалась защита - массовые запросы по http блокировались, правда по httpS никакой фильтрации не было:) https версия сайта при тестировании безбожно тормозила, но с http все было в порядке. Стоит признать - ребята молодцы, позаботились о безопасности. Хотя, учитывая тематику сайта это и не мудрено:)

sykt24.ru - Сыктывкар today. Доступность сайта 35%. При просмотре постоянно выдает ошибку "service temporarily unavailable" или "Идет обновление сайта":)

sykt.ru - Форум Сыкт.ру. Также радовал ошибкой "service temporarily unavailable". Доступность сайта 2.4%:( Пичаль.

komionline.ru - Республика Коми Онлайн. Показывал 100% доступность, но при просмотре сайта были замечены тормоза. Несколькими днями ранее при тестировании с двух машин КОЛ не грузился совсем.

bnkomi.ru - Бизнес Новости Коми. Молодцы. Доступность 97% и никаких тормозов. Но вот если запустить утилиту для тестирования на 2х машинах, то вместо каждой третьей страницы показывается ошибка 500. Кстати, ребята используют nginx/0.6.32. Кагбэ ыыыы:)



7x7-journal.ru - Блоги РК. Есть подозрение, что они позаботились о защите. Доступность сайта 83%. При просмотре изредка появлялась ошибка "service temporarily unavailable". При тестировании с двух машин вместо сайта отображается только белая страница и доступность сайта падает до 7%

komiinform.ru - ИА РК. Держится добрячком. доступность 98%, тормозов замечено не было.
При тестировании с 2х машин - периодически появляется ошибка 500.

int-it.ru - Центр Внедрения Информационных Технологий. Странные у них IT-технологии, так как сайт лег моментально, все тот же "service temporarily unavailable".

komiexpo.com - Коми экспертно общество. С ним тоже все пичально - моментальная ошибка 502. Доступность сайта 7% и время реакции - 14 секунд.

gorodmasterov.com - Город Мастеров. Ничем не лучше - сразу же умер с диагнозом socket: connection time out.

elfkomi.ru - Компания Эльф. Жуууутко тормозил, но грузился. Признаться, я думал будет хуже:)

cvek.ru - Веб-дизайн студия "Цифровой Век". Отдала душу богу моментально. Всем посетителям отображалась ошибка 502:(

Про более мелкие сайты и говорить не стоит, там все очень однообразно - запустил тест, сайт пропал:(

Хотелось бы немного подвести итог. По результатам тестирования стало понятно, что больше половину сайтов, которые указаны в этом списке, можно было полностью вывести из работоспособности, использовав при этом всего один(ОДИН!) компьютер. И почти сайты, при использовании двух компьютеров. Что уж говорить о ботнетах из сотен и тысяч компьютеров.

Только два сайта из списка хоть как-то позаботились о защите. Вполне очевидно, что нормальный пользователь не будет открывать сайт 10 раз в секунду. Для того, чтобы обезопаситься от подобных атак нужно прописать всего 1 строчку, но об этом видимо никто даже не задумывался.

Для сравнения - мой сайт, расположенный на достаточно дешевом VPS при подобном тестировании показывал только 100% доступность. Хотя, там даже защиты от множественных запросов с одного ip-адреса не было в тот момент.

Отдельно хочется сказать о программно обеспечении, которое используется на веб-серверах. При тестировании было замечена уйма серверов на которых ПО не обновлялось уже годика два-три. А потом люди удивляются "ой, а как это наш сайтик поломали?".

Хочется верить, что в ближайшие годы ситуация в этой сфере должна измениться. Инновации, Сколково, всяфигня. Ну или в конце концов нагоняй от начальства, за то, что какой-то школьник положил сайт компании на сутки:))

Тестирование каждого сайта носило кратковременный характер(от 1 до 5 минут), проходило ночью и не имело злого умысла. Надеюсь никто из владельцев сайта не будет в обиде, а сделает соответствующие выводы из этой печальной статистики.

p.s. Владельцем сайтов - Защита от DDOS

© http://miha-vxc.livejournal.com/153604.html


Жизнь слишком коротка,чтобы пить плохие вина(с) Гете
Уютная жежешечка
Концерты Москвы


Сообщение отредактировал МихА - Воскресенье, 07.08.2011, 21:38
 
frask Дата: Понедельник, 08.08.2011, 11:16 | Сообщение # 2
Ассистент
Группа: Актив
Сообщений: 253
Награды: 1
Статус: Offline
Quote
Имеем в наличии:

- Машину с хорошим интернетом(VPS размещенная в Германии), на которой запускаем стандартную утилиту(siege) для тестирования сайта под нагрузкой. Утилита загружает тестируемый сайт сразу в несколько потоков, эмулируя поведение посетителя сайта, и показывает статистику запросов.

- Другой компьютер с другим ip-адресом на котором мы будем проверять фактическую доступность сайта.

При тестировании утилита открывает сайт в n потоков, параметр "доступность сайта" показывает на какой процент этих потоков сервер дал ответ. Если сервер не ответил, значит страница не загрузилась. "Время реакции" - через сколько секунд сервер в среднем отвечает на запрос, при этом "время загрузки страницы" всегда больше, чем "время реакции".


Малаца Мишаня!!! Стоит дополнить что некоторые специально занижают версии ПО, чтобы скрипткидди, юзая доисторические сплойты палили себя, тем самым предупреждая возможную атаку (Но врядли это те случаи). Предлагаю начать следующий выпуск так:

Quote
Имеем в наличии:

- Дедик в отсталой стране третьего мира с хорошим интернетом(Где-нидь в Сомали), на котором запускаем стандартную утилиту(Metasploit Framework 4.0.0) для предоставления информации об уязвимостях. Кроме того, утилита включает в себя базу опкодов, архив шеллкодов и информацию по исследованиям компьютерной безопасности..

- Другой компьютер с другим ip-адресом на котором мы будем проверять фактическую доступность сайта.

При тестировании ...
beer
 
eXceed Дата: Понедельник, 08.08.2011, 14:07 | Сообщение # 3
Профессор
Группа: СуперАктив
Сообщений: 5204
Награды: 0
Статус: Offline
КОКОКОкулхацкеры.

bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
МихА Дата: Понедельник, 08.08.2011, 16:16 | Сообщение # 4
Преподаватель
Группа: СуперАктив
Сообщений: 689
Награды: 0
Статус: Offline
frask, судя по всему для сайтов площадки rkomi.ru и производства cvek машина за пределами России не потребуется. Покрайней мере сейчас они настроены на всесторонее сотрудничество:)

Жизнь слишком коротка,чтобы пить плохие вина(с) Гете
Уютная жежешечка
Концерты Москвы
 
Факультет ИСиТ СыктГУ - Форум » Сыктывкар и Республика Коми » IT-сфера Республики Коми (прочее) » Тестирование сайтов РК или как сломать сайт за 60 секунд
  • Страница 1 из 1
  • 1
Поиск:



Copyright bda-expert.ru © 2008-2019Хостинг от uCoz