miha_vxc (miha_vxc) wrote,
miha_vxc
miha_vxc

Categories:
  • Music:

Тестирование сайтов РК или как сломать сайт за 60 секунд.

Как-то на неделе выдалась длинная ночка, пиво были в наличии, а руки чесались от желания что-нибудь сотворить:)
Все это вылилось в небольшое тестирование сайтов Республики Коми.

Тестирование сайтов Республики Коми




Имеем в наличии:
- Машину с хорошим интернетом(VPS размещенная в Германии), на которой запускаем стандартную утилиту(siege) для тестирования сайта под нагрузкой. Утилита загружает тестируемый сайт сразу в несколько потоков, эмулируя поведение посетителя сайта, и показывает статистику запросов.
- Другой компьютер с другим ip-адресом на котором мы будем проверять фактическую доступность сайта.

При тестировании утилита открывает сайт в n потоков, параметр "доступность сайта" показывает на какой процент этих потоков сервер дал ответ. Если сервер не ответил, значит страница не загрузилась.
"Время реакции" - через сколько секунд сервер в среднем отвечает на запрос, при этом "время загрузки страницы" всегда больше, чем "время реакции".

Итак, начнем:

cit.rkomi.ru - ГАУ РК «Центр информационных технологий». Сайт упал с первых же секунд тестирования. Доступность сайта 32%. Время реакции 20 секунд. С моей машины сайт не грузился совсем. Более того, сам rkomi.ru радовал своих посетителей ошибкой базы данных.

rkomi.ru - Официальный портал Республики Коми. Он держался немного лучше - доступности сайта 66%, время реакции 13 секунд, но с моего компьютера он не открывался совсем.

syktyvkar.komi.com - Сайт администрации Сыктывкара. С ним совсем все плохо - 12% доступности, 17 секунд для реакции и совсем не грузиться с моего компьютера - socket: connection time out

komi.com - Интернет-портал. Тут дела обстоят немного лучше - 92% доступности, реакция в пределах 4 секунд. При серфинге по сайту заметны ощутимые тормоза, но он работает. И на этом спасибо.

9i-vteme.ru - Молодая Гвардия РК. Тут все хорошо - доступность 100%, вот только вместо контента отдается сообщение с ошибкой базы данных mysql:)

syktsu.ru - Сыктывкарский Государственный Университет. На удивление с ним все отлично. Доступность 99% и никаких тормозов при просмотре сайта.

sli.komi.com - Сыктывкарский Лесной Институт. По нему статистика терпимая - 77%, но время реакции 13 секунд и при серфинге по сайту заметны жутки тормоза. Страницы загружаются секунд по 30.

А что у нас со СМИ?

progorod11.ru - ПроГород Сыктывкар. Помер моментально, на надгробии было написано "Ошибка 502". Доступность сайта 0.27%, время реакции 90 секунд.

komikz.ru - Мое любимое Красное Знамя РК. При тестировании доступность сайта 14%. Страницы грузятся, но с жуткими тормозами.

rubsev.ru - Рубеж Севера. Первый сайт, на котором мне попалась защита - массовые запросы по http блокировались, правда по httpS никакой фильтрации не было:) https версия сайта при тестировании безбожно тормозила, но с http все было в порядке. Стоит признать - ребята молодцы, позаботились о безопасности. Хотя, учитывая тематику сайта это и не мудрено:)

sykt24.ru - Сыктывкар today. Доступность сайта 35%. При просмотре постоянно выдает ошибку "service temporarily unavailable" или "Идет обновление сайта":)

sykt.ru - Форум Сыкт.ру. Также радовал ошибкой "service temporarily unavailable". Доступность сайта 2.4%:( Пичаль.

komionline.ru - Республика Коми Онлайн. Показывал 100% доступность, но при просмотре сайта были замечены тормоза. Несколькими днями ранее при тестировании с двух машин КОЛ не грузился совсем.

bnkomi.ru - Бизнес Новости Коми. Молодцы. Доступность 97% и никаких тормозов.
Но вот если запустить утилиту для тестирования на 2х машинах, то вместо каждой третьей страницы показывается ошибка 500. Кстати, ребята используют nginx/0.6.32. Кагбэ ыыыы:)

Тестирование сайтов Республики Коми

7x7-journal.ru - Блоги РК. Было подозрение, что они позаботились о защите. Доступность сайта 83%. При просмотре изредка появлялась ошибка "service temporarily unavailable".
При тестировании с двух машин вместо сайта отображается только белая страница и доступность сайта падает до 7%

komiinform.ru - ИА РК. Держится добрячком. доступность 98%, тормозов замечено не было.
При тестировании с 2х машин - периодически появляется ошибка 500.

int-it.ru - Центр Внедрения Информационных Технологий. Странные у них IT-технологии, так как сайт лег моментально, все тот же "service temporarily unavailable".

komiexpo.com - Коми экспертно общество. С ним тоже все пичально - моментальная ошибка 502. Доступность сайта 7% и время реакции - 14 секунд.

gorodmasterov.com - Город Мастеров. Ничем не лучше - сразу же умер с диагнозом socket: connection time out.

elfkomi.ru - Компания Эльф. Жуууутко тормозил, но грузился. Признаться, я думал будет хуже:) scarm_blog, извини.

cvek.ru - Веб-дизайн студия "Цифровой Век". Отдала душу богу моментально. Всем посетителям отображалась ошибка 502:(

Про более мелкие сайты и говорить не стоит, там все очень однообразно - запустил тест, сайт пропал:(


Хотелось бы немного подвести итог. По результатам тестирования стало понятно, что половину сайтов, которые указаны в этом списке, можно было полностью вывести из работоспособности, использовав при этом всего один(ОДИН!) компьютер. Что уж говорить о ботнетах из сотен и тысяч компьютеров.


Только два сайта из списка хоть как-то позаботились о защите. Вполне очевидно, что нормальный пользователь не будет открывать сайт 10 раз в секунду. Для того, чтобы обезопаситься от подобных атак нужно прописать всего 1 строчку, но об этом видимо никто даже не задумывался.

Для сравнения - мой сайт, расположенный на достаточно дешевом VPS при подобном тестировании показывал только 100% доступность. Хотя, там даже защиты от множественных запросов с одного ip-адреса не было в тот момент.

Отдельно хочется сказать о программно обеспечении, которое используется на веб-серверах. При тестировании было замечена уйма серверов на которых ПО не обновлялось уже годика два-три. А потом люди удивляются "ой, а как это наш сайтик поломали?".

Хочется верить, что в ближайшие годы ситуация в этой сфере должна измениться. Инновации, Сколково, всяфигня.
Ну или в конце концов нагоняй от начальства, за то, что какой-то школьник положил сайт компании на сутки:))

Тестирование каждого сайта носило кратковременный характер(от 1 до 5 минут), проходило ночью и не имело злого умысла. Надеюсь никто из владельцев сайта не будет в обиде, а сделает соответствующие выводы из этой печальной статистики.

p.s. Владельцем сайтов - Защита от DDOS



Реакция СМИ:

http://bnkomi.ru/data/news/9117/
http://komionline.ru/news/28599
http://rubsev.ru/2011/08/sajt-rubezh-severa-vyderzhal-ddos-ataku/
http://komiexpo.com/news/515/
http://komiexpo.com/news/518/
Tags: Коми, безопасносность, интернет, сайт, тестирование
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 19 comments