Тестирование сайтов РК или как сломать сайт за 60

Как-то на неделе выдалась длинная ночка, пиво были в наличии, а руки чесались от желания что-нибудь сотворить:)
Все это вылилось в небольшое тестирование сайтов Республики Коми.

Имеем в наличии:
- Машину с хорошим интернетом(VPS размещенная в Германии), на которой запускаем стандартную утилиту(siege) для тестирования сайта под нагрузкой. Утилита загружает тестируемый сайт сразу в несколько потоков, эмулируя поведение посетителя сайта, и показывает статистику запросов.
- Другой компьютер с другим ip-адресом на котором мы будем проверять фактическую доступность сайта.

При тестировании утилита открывает сайт в n потоков, параметр "доступность сайта" показывает на какой процент этих потоков сервер дал ответ. Если сервер не ответил, значит страница не загрузилась.
"Время реакции" - через сколько секунд сервер в среднем отвечает на запрос, при этом "время загрузки страницы" всегда больше, чем "время реакции".

Итак, начнем:

cit.rkomi.ru - ГАУ РК «Центр информационных технологий». Сайт упал с первых же секунд тестирования. Доступность сайта 32%. Время реакции 20 секунд. С моей машины сайт не грузился совсем. Более того, сам rkomi.ru радовал своих посетителей ошибкой базы данных.

rkomi.ru - Официальный портал Республики Коми. Он держался немного лучше - доступности сайта 66%, время реакции 13 секунд, но с моего компьютера он не открывался совсем.

syktyvkar.komi.com - Сайт администрации Сыктывкара. С ним совсем все плохо - 12% доступности, 17 секунд для реакции и совсем не грузиться с моего компьютера - socket: connection time out

komi.com - Интернет-портал. Тут дела обстоят немного лучше - 92% доступности, реакция в пределах 4 секунд. При серфинге по сайту заметны ощутимые тормоза, но он работает. И на этом спасибо.

9i-vteme.ru - Молодая Гвардия РК. Тут все хорошо - доступность 100%, вот только вместо контента отдается сообщение с ошибкой базы данных mysql:)

syktsu.ru - Сыктывкарский Государственный Университет. На удивление с ним все отлично. Доступность 99% и никаких тормозов при просмотре сайта.

sli.komi.com - Сыктывкарский Лесной Институт. По нему статистика терпимая - 77%, но время реакции 13 секунд и при серфинге по сайту заметны жутки тормоза. Страницы загружаются секунд по 30.

А что у нас со СМИ?

progorod11.ru - ПроГород Сыктывкар. Помер моментально, на надгробии было написано "Ошибка 502". Доступность сайта 0.27%, время реакции 90 секунд.

komikz.ru - Мое любимое Красное Знамя РК. При тестировании доступность сайта 14%. Страницы грузятся, но с жуткими тормозами.

rubsev.ru - Рубеж Севера. Первый сайт, на котором мне попалась защита - массовые запросы по http блокировались, правда по httpS никакой фильтрации не было:) https версия сайта при тестировании безбожно тормозила, но с http все было в порядке. Стоит признать - ребята молодцы, позаботились о безопасности. Хотя, учитывая тематику сайта это и не мудрено:)

sykt24.ru - Сыктывкар today. Доступность сайта 35%. При просмотре постоянно выдает ошибку "service temporarily unavailable" или "Идет обновление сайта":)

sykt.ru - Форум Сыкт.ру. Также радовал ошибкой "service temporarily unavailable". Доступность сайта 2.4%:( Пичаль.

komionline.ru - Республика Коми Онлайн. Показывал 100% доступность, но при просмотре сайта были замечены тормоза. Несколькими днями ранее при тестировании с двух машин КОЛ не грузился совсем.

bnkomi.ru - Бизнес Новости Коми. Молодцы. Доступность 97% и никаких тормозов.
Но вот если запустить утилиту для тестирования на 2х машинах, то вместо каждой третьей страницы показывается ошибка 500. Кстати, ребята используют nginx/0.6.32. Кагбэ ыыыы:)



7x7-journal.ru - Блоги РК. Было подозрение, что они позаботились о защите. Доступность сайта 83%. При просмотре изредка появлялась ошибка "service temporarily unavailable".
При тестировании с двух машин вместо сайта отображается только белая страница и доступность сайта падает до 7%

komiinform.ru - ИА РК. Держится добрячком. доступность 98%, тормозов замечено не было.
При тестировании с 2х машин - периодически появляется ошибка 500.

int-it.ru - Центр Внедрения Информационных Технологий. Странные у них IT-технологии, так как сайт лег моментально, все тот же "service temporarily unavailable".

komiexpo.com - Коми экспертно общество. С ним тоже все пичально - моментальная ошибка 502. Доступность сайта 7% и время реакции - 14 секунд.

gorodmasterov.com - Город Мастеров. Ничем не лучше - сразу же умер с диагнозом socket: connection time out.

elfkomi.ru - Компания Эльф. Жуууутко тормозил, но грузился. Признаться, я думал будет хуже:) , извини.

cvek.ru - Веб-дизайн студия "Цифровой Век". Отдала душу богу моментально. Всем посетителям отображалась ошибка 502:(

Про более мелкие сайты и говорить не стоит, там все очень однообразно - запустил тест, сайт пропал:(


Хотелось бы немного подвести итог. По результатам тестирования стало понятно, что половину сайтов, которые указаны в этом списке, можно было полностью вывести из работоспособности, использовав при этом всего один(ОДИН!) компьютер. Что уж говорить о ботнетах из сотен и тысяч компьютеров.


Только два сайта из списка хоть как-то позаботились о защите. Вполне очевидно, что нормальный пользователь не будет открывать сайт 10 раз в секунду. Для того, чтобы обезопаситься от подобных атак нужно прописать всего 1 строчку, но об этом видимо никто даже не задумывался.

Для сравнения - мой сайт, расположенный на достаточно дешевом VPS при подобном тестировании показывал только 100% доступность. Хотя, там даже защиты от множественных запросов с одного ip-адреса не было в тот момент.

Отдельно хочется сказать о программно обеспечении, которое используется на веб-серверах. При тестировании было замечена уйма серверов на которых ПО не обновлялось уже годика два-три. А потом люди удивляются "ой, а как это наш сайтик поломали?".

Хочется верить, что в ближайшие годы ситуация в этой сфере должна измениться. Инновации, Сколково, всяфигня.
Ну или в конце концов нагоняй от начальства, за то, что какой-то школьник положил сайт компании на сутки:))

Тестирование каждого сайта носило кратковременный характер(от 1 до 5 минут), проходило ночью и не имело злого умысла. Надеюсь никто из владельцев сайта не будет в обиде, а сделает соответствующие выводы из этой печальной статистики.

p.s. Владельцем сайтов - Защита от DDOS



Реакция СМИ:

http://bnkomi.ru/data/news/9117/
http://komionline.ru/news/28599
http://rubsev.ru/2011/08/sajt-rubezh-severa-vyderzhal-ddos-ataku/
http://komiexpo.com/news/515/
http://komiexpo.com/news/518/

Mikhail ChukhlominТеги: Коми, интернет, сайт, тестирование, безопасносность

---

(01.01.0001)

(01.01.0001)

miha_vxc (07.08.2011) Если у кого есть желание проверить СВОЙ сайт - отпишите на почту ЛС ЖЖ не проверяю.

pavel_n13 (08.08.2011) а если есть желание задидосить один из перечисленных?)

miha_vxc (08.08.2011) Я ДДОСом не занимаюсь.

(08.08.2011) Для кучи прогони и сайты районных администраций, городские.

miha_vxc (08.08.2011) Как я написал - там все совсем однообразно и грустно

(08.08.2011) Ведь сам знаешь, пока петух в одно место не клюнет, никто не зашевелится. :-)

(08.08.2011) В развитие идеи предлагаю взять ломик и проверить состояние укрепленности входных дверей квартир в своем подъезде. И опубликовать отчет.

miha_vxc (08.08.2011) Если бы каждый второй школьник бегал с ломом при условной анонимности и пробеле в нашем законодательстве, то это был бы очень актуальный тест.

(20.05.2013) проверь проект bto.mail.ru

miha_vxc (20.05.2013) Это явно не Ваш ресурс. Готов проверять ресурсы только по просьбе владельца.

scarm_blog (08.08.2011) Странно, что не сдох, придется что-нибудь отломать

miha_vxc (08.08.2011) Просто сайт и так то не очень быстро шевелится, а под нагрузкой... Но все-таки грузился в итоге, пни кого-нибудь из своих, пусть хоть поставят ограничение на количество запросов в одного ip.

uran_alien (08.08.2011) Проверь www.komi.en.cx ;)))

miha_vxc (08.08.2011) присылай письмо с домена аля admin/support/[email protected] - протестим. А так я полагаю там все хорошо должны быть, так как вы на en.cx размещены.

uran_alien (08.08.2011) То есть поломать можно только сайты .ru?

miha_vxc (08.08.2011) Поломать можно что угодно, были бы деньги и мотивация Скорее всего у эккаунтера свой большой-большой сервер(посетителей то со всех регионов много). И на нем же размещен komi.en.cx .Учитывая высокий онлайн примитивная защита должна быть реализована. Присылай письмо с этого домена - посмотрим более предметно.

uran_alien (08.08.2011) Такие письма могут выслать только главные админы сайта

bioplant (10.08.2011) ыыы Реакция СМИ тут наиболее интересна!

pingback_bot (28.09.2011) User <lj user="pozitib4ek"> referenced to your post from <a href="http://pozitib4ek.livejournal.com/5621.html">Тестирование сайтов РК или как сломать сайт за 60 секунд.</a> saying: [...] Оригинал взят у в Тестирование сайтов РК или как сломать сайт за 60 секунд. [...]

О блоге

Данный блог ведется крайне нерегулярно и является зеркалом уютной жежешечки miha-vxc.

Последние:

• Турция
• Январские покатушки на машине
• Тверская область
• Калининград и окрестности
• Вокруг Рязани

Популярное:

• Псков
• Гавана
• Коломна
• Природа Шотландии
• Вильнюс

Теги:

15 лет, 35mm, 9 мая, 9000, actiolist, cafe manager, chart, dnb, dolphin, for me only, garage, google, helga, icq, it, just for lulz, just smile, lumen, minimal tech, noize mc, rapalboms.net, roof, seo, shit, startup, thgr, trance, u2, Австрия, авторское право, автостоп, айфонофоточки, Александров, алкоголь, Альпы, америкосы, Амнезия, Амстердам, Англия, анонс, антенна, антикафе, аспирантура, афиша, аэропорт, Бавария, бандэрос, банк, Башкортостан, безопасносность, Белоруссия, Белорусь, Бельгия, Берхтесгаден, бизнес, биржа, Бирмингем, битрикс, блог, бомжи, Боровск, Братислава, бред, Брест, Брюссель, Будапешт, будничное, Варадеро, Вашингтон, Великий Новгород, Великобритания, Вена, Венгрия, Вестфалия, взрыв, видео, Вильнюс, Витебск, Владимир, Владимирская область, воздушный змей, Вологда, волосы, Воронеж, воспоминания, время, выборы, Вязьма, Гавана, Гармиш-Патеркирхен, Гданьск, генеральная приборка, Германия, Гитлер, Глазго, гоа, говнодиджеи, Голубые озера, гопники, горы, государство, Гохостервитц, Дания, деньги, депрессия, Детенице, детство, диски, для себя, Дмитров, дневник, дождь, дозор, Доктрина 77, дом, дорога, другой сыкт, друзья, Дублин, дух времени, Дюссельдорф, Европа, Единая Россия, Екатеринбург, Ельблонг, жж, животные, жизнь, жириновский, жмурки, жопа, заброс, завод, заговор, загоны, закат, законы, Зальцбург, замки, замок, запрос, заречье, зарисовки, заявление, Звенигород, здоровье, здравоохранение, Зеленоградск, Зенит, ЗоЗПП, Золотое кольцо, зоопарк, идеи, идиоты, Изборск, Империя, Инта, интернет, информатизация, Ирландия, Испания, история, итоги года, каzантип, Казань, Калининград, Калуга, Калужская область, Калязин, Кампус, Карловы Вары, каста, Каунас, Кельн, Киев, Киров, кирпичи, книги, кое о чем, Коломна, комета, Коми, конец эпохи, конкурс, концерт, Копенгаген, коровки, Кострома, котэ, Краков, креатив, кризис, Куба, курить, Куршская коса, Кутна Гора, Латвия, лето, Ливерпуль, Лиссабон, Литва, личинка, личное, Лондон, Луганск, лужи, Лужники, любэ, люди, Люксембург, Мадрид, Майами, Мальмё, Манхеттен, Манчестер, Матанзас, медицина, мелька, метро, милиция, Минск, Мисс СГУ, митинг, МО, мобила, Можайск, молодая гвардия, молодежь, Москва, музей, музыка, мультик, мысли, Мышкин, Мюнхен, наблюдения, Навальный, Наив, Нароч, настроение, наука, не понимаю, негатив, негры, недовольство, непонятно, ни о чем, Нидерланды, Нижний Новгород, новая хронология, Новосибирск, новости, Новый год, Нойшванштайн, ностальгия, ночь, ночь музеев, Нью-Йорк, Нюрнберг, огонь, Одесса, океан, Оксфорд, Орлиное Гнездо, Орша, Останкинская башня, отдел к, отлично, отчет, Охлобыстин, память, Париж, паром, пентагон, перепись населения, Переславль-Залесский, Пермь, перспективы, Печоры, пиво, пиратство, пироман, пирс, Питер, плакаты, план побега, планы, плейер, пленка, пляж, поездка, позитив, поликлиника, политика, Польша, понты, популизм, портвейн, Порту, Португалия, последний звонок, потери, почта, права, православие, Прага, праздник, Преамбула, предательство, Прибалтика, приключения, прикол, природа, прическа, проекты, производство, прокуратура, прошлое, Псков, Псковская область, Пуров, путешесвие, путешествие, путешествия, Путин, работа, рассвет, рассказ, расшинение сознания, рейв, рейтинг блогов, религия, ренова, Рехобот бич, Рига, Роскомнадзор, Роспотребнадзор, Россия, Ростов Великий, Ростов-на-Дону, русский язык, рэп, Рязань, сайт, Самара, Санкт-Петербург, Саратов, СВАО, Светлогорск, свобода, свобода фотографии, СГУ, сервисы, Сергиев-Посад, Серебряное кольцо, Серпухов, сессия, Сибирь, Словакия, СМИ, Смоленск, смс, собор, события, Советск, соседи, социальная сеть, спасибо, ссылки, старт, стартап, стена, странно, Сувалки, суд, Суздаль, суровые реальности, США, Сыктывкар, такси, Таллин, Тальков, Тверь, теги, тезисно, телефон, тест, тестирование, техника, Толедо, Томск, торрент, Тракай, Тула, Тюмень, Углич, Ужгород, Ужупис, Украина, универ, Урал, усадьба, устал, Утесы Мохер, Уфа, Ухта, учет, фигня, фильм, финансы, фонарик, форекс, фото, Франкфурт-на-Майне, Франция, футурама, халява, хомячки, цветочный магазин, церковь, цех, цитата, цой, Цугшпитце, Челябинск, Чехия, Чешски-Крумлов, Швеция, Шевчук, ширик, школа, Шотландия, шульц, щастье, Ыб, Эдинбург, экскурсия, экстрим, эмоции, Эскориал, Эстония, юзербары, я, Ярославль