Тестирование веб-серверов на устойчивость к атакам

И вообще что вы тут предлагаете?

"Тестирование веб-серверов на устойчивость к атакам"

А реально демонстрируете возможность положить сайт при тестовой ддос атаке.

Если хотите чтобы к вам реально обращались выложите тестовый отчет под названием - "тестирование сайта www.blablabla.com на нагрузку" - в таком отчете в моем понимании должно быть:

1. Графики поведения сайта (время отклика и т.п.) при различной моделировании различной активности клиентов.

2. Предельные цифры при которых сайт нормально функционирует.

3. Графики поведения сайта при моделировании большого количества пользователей.

4. Выявление узких мест на сайте.

и т.п...

А не демонстрация того что можно сайт завалить множеством запросов.

P.S. Я не сомневаюсь в ваших профессиональных навыках, мне не нравится ваш подход доказывающий их :)

Ищите на первой странице. Было :)

Кидал ссылки на свои мыльные подписи, кому надо, тот почитал.

Если Вы профессионал, то на каком основании сделали вывод? Все делается через проксики. Проксики эти светят в хидерах север с которого производится тестирование. Можно делать с тех, которые не светят. Можно через socks-ы делать. Где тут преступление? От заказчика же никуда не прячусь, чего тут скрывать то. Есть трафик, который сами представляете где, который благодаря AJAX прилетает куда скажут. Там какой-то connection rate может покупаться. И владельцы ресурсов спокойны, т.к. знают, что никакого криминала не совершается.

Да, возможно для кого-то это и глупо, т.к. под рукой есть дорогие генераторы трафика.

Говорю что думаю. Положите наитупейший дырявый скрипт на MH и наблюдайте как их сканер там присылает вам респекты. Зачем людей вводить в заблуждение? Вторая тональность... со смехом. Просто есть области, которые они затрагивают, которые вводят людей в заблуждение. Ну это не совсем профессионально, т.к. если они специализируются на ИБ, то должны называть всё и своими именами. Это даже про сертификации там... это маркетинговые лозунги, чистейшей воды PR по каким-то позициям... людям это как-то расшифровать надо, а то как-то думают совсем не про то, а воспринимают это как панацею.

Ну и специализация у них слегка другая, т.к. они специализируются на уязвимостях, на каких-то дырах там. Смотрят скрипты на XSS, на SQL injection и т.д. и т.п. Но это всё не настолько серьезно. Они же сертификат только недавно по гостайне получили... может через какое-то время совсем будут серьезными, но им тогда уже не до этого рынка будет... который копеечный. Там цены уже вышли на другой уровень... ну а эта PR манера "Программному продукту "Битрикс: Управление сайтом 4.0" присвоена категория "Безопасное веб-приложение" и выдан сертификат соответствия.". Вы посмотрите фиксы для 4рки, там же какие-то моменты интересные были... уже после выдачи этого ярлыка.

Да нет компаний которые бы за разумные деньги на этом специализировались бы. Зайдите в IBS, там за хитрую автономку 1000у.е. в месяц предложат... оперативность как и у любых других крупных компаний. Любят рисовать солюшены, а потом от них отказываться. Т.е. это тоже такая манера крупных компаний, которая иногда проскакивает. Не совсем отказываться, а как бы какие-то моменты умалчивать, т.е. они как-то сами собой подразумевались, но за дополнительные деньги. От части это правильно, т.к. с клиента надо зарабатывать, но как бы не надо его в заблуждение вводить и всё...

Зайдите в Зенон! Оч хорошо вопрос решают, но поднимают фильтр в Телии и забугорный ddos обламывается, но туда же и часть РФ попадает. Т.е. они все эти вопросы решают, но как-то со своей колоколни. Должен сервера к ним принести, должен договора с ними заключить.. Зенон вообще много от чего спасать может, но как бы в рамках своих возможностей. Там широкий спектр вопросов решается, но это как-то уже для тех у кого статика, т.к. номинально, будут просить клиента убрать динамику.

Где-то за паразитный трафик должен оплатить. MH некоторым в договора прописывает, что паразитный трафик оплачивается отдельно. У меня же всё дешево и со вкусом. Вообще могу ни к чему не прикасаться, а работать на уровне оперативных консультаций ваших специалистов...

Ваше право.

У меня немного другие цифры для людей выдаются, т.к. их специалисты на своих серверах это могут посмотреть сами. По каким-то позициям и без тестов ясно, что надо оптимизировать/прикрывать/рефакторить и т.д. и т.п.

Это лирика всё. Это никому не надо в реальности. Надо тестировать и обозначать сложности атак, какой-то их уровень, стоимость организации и т.д. и т.п. Специалисты заказчика уже сами делают вывод... если специалистов нет, то говорится прямым текстом - себестоимость 3$ в день... это как-то на свои места всё сразу ставит.

Есть серьезные компании, специалисты которых иногда вводят руководство в заблуждение. Это очень хорошо, заключить договор, что бы твой ресурс слегка потестировали и посмотреть как твои специалисты будут этот вопрос решать. Там же нормальные вопросы сразу всплывают... начиная от полной растеренности и продолжая историями про "флуд с бот-сетей", но руководство то получает полный отчет.

Всем, кто тут обращался эти узкие места были показаны. Был один человек с IIS и статическим контентом, но без каких-то бумаг, кидать ему пару тройку тыс запросов с изменяющихся IP это же уже DDOS получается. Да, он там заметил на сервер, кто-то там его "гнул". Ну человек спокойно спать может, т.к. что бы DDOSили его ресурс нужен бюджет... а бюджеты не бывают вечные, т.к. если заказчик не получает быстрого и гарантированного результата, то исполнители про этот ресурс как-то забывают... т.е. там уже другого рода провакации начинаются.

Да какой смыл тогда в этих проксиках то, если можно все с одного IP сделать? Логика? Задача стоит проверить с какими нагрузками может справится сервер, а с какими нет. Необязательно это может быть ддос. Один раз на меня ссылку поставили на slashdot.com. Так за день пришло >100.000 человек. Сервер утух, просто ресурсов не хватило их всех нормально обработать.

Вот да, недавно kompromat.ru ушел из зенона в мастерхост как раз из за того, что зенон не смог справится с ддос атакой.

Блин, гениальный вывод, основанный на том, что тебе не нравится как они скрипты проверяют. По поводу маркетинга - посмотри как пиарятся другие компании, в т.ч. и по ИБ - это бизнесс, маркетинг направлен на руководителей прежде всего, а не на технических специалистов. Если ты директору начнешь обьяснять "как правильно" он тебя быстро пошлет.

Скажи просто что у тебя к ним предубеждение.

Типа он не верил что от пару тысяч коннектов его сайт тормозить начнет, а ты ему это показал? :) Ну тут очевидно полная неграмотность того кто спрашивал и не более.

Вообще факт демонстрации того что все плохо очень часто работает, это называется вобщем "тесты на проникновение", в принципе демонстрация ддос атаки это в чем то вроде таких тестов. Но если про тесты еще совсем не очевидно, то факт того что сайт ляжет при ддос лежит на поверхности.

Я для защиты от ддос предпочитаю правильную настройку веб сервера-веб приложения + IPS в комбинации с пакетным фильтром. Работает на УРА.

Мне не нравится то, что людей вводят в заблуждение.

Да, конечно, есть примеры, но есть и идеалы. Есть очень старые игроки на этом рынке на самом-то деле. Джет-Инфосистемс, к примеру. Там же совсем другой уровень. Они никогда не будут вешать ярлык - "безопасное приложение...". Т.е. там же есть какие-то стандарты, какие-то методики и т.д... всё называется своими именами.

Поясните мне пожалуйста, как человеку считающему, что он в ИБ не совсем копенгаген(тм)... как приложение с программным кодом, который можно изменять, может считаться безопасным? Может я совсем там полный ноль в этой теме?

Да всё нормальным языком поясняется, человеческим. Всё переводится в деньги и раставляются приоритеты... это для людей принимающих решение и подписывающих счета как-то более приемлимо.

Если там код проверяется, то заранее говорится по каким позициям он там проверяется и какие ситуации будут исключаться... какие там тесты для этого применялись и т.д. и т.п... и все прекрасно понимают, что при желании можно найти еще что-то... но это уже на кого какие пдонки нападают, т.к. у некоторых и после рекламной компании сайт загибается... ну т.е. с потоком посетителей не справляется.

Все это как-то планомерно нужно решать, но не всегда для этого надо и код переписывать, т.к. можно и железа докинуть, какие-то кэширующие сервера сверху поставить и т.д... нет предела совершенству.

Если нужно что бы сайт был виден всегда, а атакующие затрагивали только свои зеркала по географии, так что бы с гарантией. То могу размножить автономочку и анонсировать её как раз из мест установки зеркал, тогда как-то все атаки будут касаться только конкретных зеркал. Это на уровне маршрутизации гарантируется.

Да какое там. Какие-то продукты приходилось использовать, но оно как-то надо понимать для чего можно, а для чего не имеет смысла.