Как сломать сайт

Как-то на неделе выдалась длинная ночка, пиво были в наличии, а руки чесались от желания что-нибудь сотворить:)

Все это вылилось в небольшое тестирование сайтов Республики Коми.

Имеем в наличии:

- Машину с хорошим интернетом(VPS размещенная в Германии), на которой запускаем стандартную утилиту(siege) для тестирования сайта под нагрузкой. Утилита загружает тестируемый сайт сразу в несколько потоков, эмулируя поведение посетителя сайта, и показывает статистику запросов.

- Другой компьютер с другим ip-адресом на котором мы будем проверять фактическую доступность сайта.

При тестировании утилита открывает сайт в n потоков, параметр "доступность сайта" показывает на какой процент этих потоков сервер дал ответ. Если сервер не ответил, значит страница не загрузилась. "Время реакции" - через сколько секунд сервер в среднем отвечает на запрос, при этом "время загрузки страницы" всегда больше, чем "время реакции".

Итак, начнем:

cit.rkomi.ru - ГАУ РК «Центр информационных технологий». Сайт упал с первых же секунд тестирования. Доступность сайта 32%. Время реакции 20 секунд. С моей машины сайт не грузился совсем. Более того, сам rkomi.ru радовал своих посетителей ошибкой базы данных.

rkomi.ru - Официальный портал Республики Коми. Он держался немного лучше - доступности сайта 66%, время реакции 13 секунд, но с моего компьютера он не открывался совсем.

syktyvkar.komi.com - Сайт администрации Сыктывкара. С ним совсем все плохо - 12% доступности, 17 секунд для реакции и совсем не грузиться с моего компьютера - socket: connection time out

komi.com - Интернет-портал. Тут дела обстоят немного лучше - 92% доступности, реакция в пределах 4 секунд. При серфинге по сайту заметны ощутимые тормоза, но он работает. И на этом спасибо.

9i-vteme.ru - Молодая Гвардия РК. Тут все хорошо - доступность 100%, вот только вместо контента отдается сообщение с ошибкой базы данных mysql:)

syktsu.ru - Сыктывкарский Государственный Университет. На удивление с ним все отлично. Доступность 99% и никаких тормозов при просмотре сайта.

sli.komi.com - Сыктывкарский Лесной Институт. По нему статистика терпимая - 77%, но время реакции 13 секунд и при серфинге по сайту заметны жутки тормоза. Страницы загружаются секунд по 30. А что у нас со СМИ?

progorod11.ru - ПроГород Сыктывкар. Помер моментально, на надгробии было написано "Ошибка 502". Доступность сайта 0.27%, время реакции 90 секунд.

komikz.ru - Мое любимое Красное Знамя РК. При тестировании доступность сайта 14%. Страницы грузятся, но с жуткими тормозами.

rubsev.ru - Рубеж Севера. Первый сайт, на котором мне попалась защита - массовые запросы по http блокировались, правда по httpS никакой фильтрации не было:) https версия сайта при тестировании безбожно тормозила, но с http все было в порядке. Стоит признать - ребята молодцы, позаботились о безопасности. Хотя, учитывая тематику сайта это и не мудрено:)

sykt24.ru - Сыктывкар today. Доступность сайта 35%. При просмотре постоянно выдает ошибку "service temporarily unavailable" или "Идет обновление сайта":)

sykt.ru - Форум Сыкт.ру. Также радовал ошибкой "service temporarily unavailable". Доступность сайта 2.4%:( Пичаль.

komionline.ru - Республика Коми Онлайн. Показывал 100% доступность,

но при просмотре сайта были замечены тормоза. Несколькими днями ранее при тестировании с двух машин КОЛ не грузился совсем.

bnkomi.ru - Бизнес Новости Коми. Молодцы. Доступность 97% и никаких тормозов. Но вот если запустить утилиту для тестирования на 2х машинах, то вместо каждой третьей страницы показывается ошибка 500. Кстати, ребята используют nginx/0.6.32. Кагбэ ыыыы:)

7x7-journal.ru - Блоги РК. Есть подозрение, что они позаботились о защите. Доступность сайта 83%. При просмотре изредка появлялась ошибка "service temporarily unavailable". При тестировании с двух машин вместо сайта отображается только белая страница и доступность сайта падает до 7%

komiinform.ru - ИА РК. Держится добрячком. доступность 98%, тормозов замечено не было.

При тестировании с 2х машин - периодически появляется ошибка 500.

int-it.ru - Центр Внедрения Информационных Технологий. Странные у них IT-технологии, так как сайт лег моментально, все тот же "service temporarily unavailable".

komiexpo.com - Коми экспертно общество. С ним тоже все пичально - моментальная ошибка 502. Доступность сайта 7% и время реакции - 14 секунд.

gorodmasterov.com - Город Мастеров. Ничем не лучше - сразу же умер с диагнозом socket: connection time out.

elfkomi.ru - Компания Эльф. Жуууутко тормозил, но грузился. Признаться, я думал будет хуже:)

cvek.ru - Веб-дизайн студия "Цифровой Век". Отдала душу богу моментально. Всем посетителям отображалась ошибка 502:(

Про более мелкие сайты и говорить не стоит, там все очень однообразно - запустил тест, сайт пропал:(

Хотелось бы немного подвести итог. По результатам тестирования стало понятно, что больше половину сайтов, которые указаны в этом списке, можно было полностью вывести из работоспособности, использовав при этом всего один(ОДИН!) компьютер. И почти сайты, при использовании двух компьютеров. Что уж говорить о ботнетах из сотен и тысяч компьютеров.

Только два сайта из списка хоть как-то позаботились о защите. Вполне очевидно, что нормальный пользователь не будет открывать сайт 10 раз в секунду. Для того, чтобы обезопаситься от подобных атак нужно прописать всего 1 строчку, но об этом видимо никто даже не задумывался.

Для сравнения - мой сайт, расположенный на достаточно дешевом VPS при подобном тестировании показывал только 100% доступность. Хотя, там даже защиты от множественных запросов с одного ip-адреса не было в тот момент.

Отдельно хочется сказать о программно обеспечении, которое используется на веб-серверах. При тестировании было замечена уйма серверов на которых ПО не обновлялось уже годика два-три. А потом люди удивляются "ой, а как это наш сайтик поломали?".

Хочется верить, что в ближайшие годы ситуация в этой сфере должна измениться. Инновации, Сколково, всяфигня. Ну или в конце концов нагоняй от начальства, за то, что какой-то школьник положил сайт компании на сутки:))

Тестирование каждого сайта носило кратковременный характер(от 1 до 5 минут), проходило ночью и не имело злого умысла. Надеюсь никто из владельцев сайта не будет в обиде, а сделает соответствующие выводы из этой печальной статистики.

p.s. Владельцем сайтов - Защита от DDOS

Сообщение отредактировал МихА - Воскресенье, 07.08.2011, 21:38

Источник: bda-expert.ru

Категория: Электронная почта

Похожие статьи: