Нагрузочное тестирование информационных систем
DESCRIPTION
Author: Denis Makrushin Positive Hack Days 2012 http://defec.ru/ http://cload.ruTRANSCRIPT
![Page 1: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/1.jpg)
Нагрузочное тестирование информационных систем
Денис Макрушин
Positive Technologies
![Page 2: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/2.jpg)
Это было громко
cia.gov, www.soca.gov.uk
PlayStationNetwork.com
Chronopay
LiveJournal.com
2
![Page 3: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/3.jpg)
Распределение атакованных ресурсов по категориям Интернет-деятельности
Ботнеты растут, конкуренты наглеют
3
![Page 4: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/4.jpg)
Зачем грузить?
Определение пиковой нагрузки для внешних ИТ-ресурсов
Оценка эффективности существующих средств защиты
Повышение устойчивости внешних ИТ-ресурсов кDDoS-атакам
Повышение эффективности мер противодействия данному типу угроз и осведомленности сотрудников в части взаимодействия в ходе атаки
4
![Page 5: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/5.jpg)
Нагрузочное тестирование = DDoS?
тестирование реальной инфраструктуры, находящейся в процессе функционирования;
сценарии проведения тестов включают в себя нагрузку, которая имитирует действия злоумышленников;
использование системы нагрузочного тестирования;
планирование и учет аспектов проведения процедуры тестирования с владельцем целевой инфраструктуры:
• «Только не урони» - определение порогового значения нагрузки на реально функционирующей ИС (прогноз);
• «Ломай меня полностью!» - определение порогового значения ИС или тестового стенда.
5
![Page 6: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/6.jpg)
Объекты тестирования
Уровень приложений
• Веб-приложения или любой из их компонентов (СУБД, сервер аутентификации);
• Сервисы, обеспечивающие работы прикладного уровня инфраструктуры (например, DNS);
• Приложения, обеспечивающие бизнес-процессы.
Сетевой и транспортный уровни
• IP;
• ICMP;
• TCP;
• UDP.
6
![Page 7: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/7.jpg)
Нагрузочное тестирование
Увеличение нагрузки
Анализ реакции целевой
инфраструктуры
Фиксирование результатов
• Выбор базового значения нагрузки(probe)
• Выбор текущего значения нагрузки относительно базового
• Анализ состояния системы при probe-нагрузке
• Анализ состояния системы при текущей нагрузке
Прогноз
7
![Page 8: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/8.jpg)
Система нагрузочного тестирования
реализация DDoS/DoS-атак (наличие базы знаний);
обеспечение функционирования в реальном времени распределенных компонентов системы (распределенная архитектура);
наличие механизмов мониторинга состояния ИС и предотвращения ее выхода за пределы пиковой нагрузки;
формирование статистической информации в процессе нагрузочного тестирования (исходные данные для прогнозирования);
8
![Page 9: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/9.jpg)
Архитектура системы нагрузочного тестирования
9
![Page 10: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/10.jpg)
Демонстрация
10
<текущий слайд содержит видео-демонстрацию процесса нагрузочного тестирования>
![Page 11: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/11.jpg)
Мониторинг
11
![Page 12: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/12.jpg)
Прогнозирование отказа в обслуживании
12
Цель: оценка возможных путей развития нагрузки на информационную инфраструктуру и последствий тех или иных сценариев развития нагрузочного тестирования.
Этапы:1. сбор и подготовка статистических данных;2. получение функциональной (однофакторной)зависимости (МНК);3. экстраполяция.
![Page 13: Нагрузочное тестирование информационных систем](https://reader031.vdocuments.pub/reader031/viewer/2022020123/5593f60b1a28aba96b8b45cb/html5/thumbnails/13.jpg)
Нет ботнета? Не вопрос: найди багу, устрой DoS!
Предварительное сканирование инфраструктуры на уязвимости
Определение уязвимостей, результат эксплуатации которых производит манипуляции с ресурсами ИС
Множественная эксплуатация уязвимостей
13