Меню

Тест мощности ddos атаки

DoS и DDoS атаки на Web сервера. Стресс-тестирование

Сегодня мы рассмотрим варианты нагрузочного стресс-тестирования серверов и имитацию DoS (или DDoS, если тестировать с нескольких серверов) для Web серверов. Для чего это может быть полезно: для проверки собственных серверов и хостинг-провайдеров на данные типы уязвимостей.
DoS атаки будем использовать L3/4 и L7 уровней OSI.

dstIP — это IP адрес или FQDN имя атакуемой машины.

Первой будет утилита hping версии 3.
Начнем с атаки на превышение максимального количества полуоткрытых сессий (SYN-flood):

hping3 —flood -S -p 80 192.168.232.7

используемые параметры:
—flood — отправлять столько пакетов, сколько возможно.
-S — использовать SYN пакеты
-p 80 — пакеты отправляются на порт 80 (HTTP).

Вторым типом атаки будет ICMP-flood. Его лучше использовать вместе с большим размером пакетов, чтобы попробовать исчерпать входящий канал атакуемого сервера.

hping3 —flood —icmp -d 1000 dstIP

используемые параметры:
—icmp — используем пакеты ICMP
-d 1000 — указываем размер пакета

Теперь попробуем UDP-flood. Эта атака так же насыщает полосу пропускания.

hping3 —flood —udp -s 53 —keep -p 68 192.168.232.36

используемые параметры:
—udp — используем UDP
-s 53 — отправляем с порта 53
—keep — фиксируем порт отправления, иначе он будет увеличиваться на 1 для каждого следующего пакета
-p 68 — отправляем пакеты на порт 68

Теперь перейдем к атакам непосредственно на сам Web сервер.
Первой будет атака на медленные подключения. Смысл данной атаки в том, что у любого Web сервера есть лимит на количество одновременных подключений, но когда мы подключаемся и очень медленно запрашиваем страницу — соединение не сбрасывается, а количество параллельных подключений у сервера ограниченно.

slowhttptest -c 1000 -H -i 20 -r 200 -t GET -u http://dstIP -x 24 -p 3

используемые параметры:
-c — общее суммарное количество подключений
-i — пауза между сессиями для загрузкой части страницы (в рамках одного подключения)
-r — количество подключений в секунду
-t GET — использовать GET запросы (так же можно POST)
-uURL. Поддерживает HTTP и HTTPS ссылки
-x — количество загружаемых байт из части страницы за одну сессию (в рамках одного подключения)
-p — время ожидания при проверке подключения. Если ответ от сервера не получен за это время, то сервер считается недоступным
-H — атака slow headers a.k.a. Slowloris
Так же доступные типы атак:
-B — атака slow body a.k.a R-U-Dead-Yet
-R — атака range attack a.k.a Apache killer
-X — атака Slow Read

И последний тип рассматриваемых атак. Утилита siege, которая просто запрашивает, в огромное количество потоков, страницы сайта, после чего происходит исчерпание либо ресурсов сервера (если запрашиваем тяжелые станицы) либо ресурсов исходящего канала (если запрашиваем тяжелые файлы).

siege -i -c 2000 https://dstIP/page

используемые параметры:
-i — симулировать обычного пользователя
-c — количество подключений
page — запрашиваемая страницы. тип атаки зависит от выбранной страницы.
Так же можно данной утилите передать флагом -R файл с перечислением страниц

Вот мы и рассмотрели набор для стресс-тестирования Web серверов. Более подробные параметры каждой из утилит можно посмотреть в Man’е.

Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктуры

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Источник



Нагрузочное тестирование сайта. Как фильтровать DDoS-атаки?

Что это и как работает?

Меняются инструменты, способы обхода защиты и блокировки, любые другие параметры, кроме одного, основного принципа атаки: сотни и тысячи разных рабочих станций по всему миру одновременно начинают отправлять запросы на атакуемый сервер, после чего он начинает испытывать перегрузку и не может своевременно обрабатывать запросы от легитимных пользователей. В итоге, после достижения определенного порога, происходит отказ сервера в обслуживании всем пользователям, чего и добивались злоумышленники. Бомбардировка сервера такими запросами (каждый из которых может оказаться легитимным) продолжается достаточно долгое время, и в течение всего этого периода пользователи не смогут на сервер зайти. Если объект атаки – крупный интернет-магазин, то он понесет значительные убытки и репутационные издержки. Клиенты, вероятно, закажут в другом месте и в будущем откажутся от использования этого онлайн-магазина. Любопытно, что ваш ПК может также принимать участие в DDoS атаке, а вы даже не будете об этом знать — так работают ботнеты.

С другой стороны, DDoS атаки не приводят к воровству данных и утечке персональной информации в том случае, если они не являются ширмой для других атак, нацеленных на проникновение в систему. Иначе, DDoS атаки могут выступать в некотором роде дымовой завесой для более опасных махинаций, например, таких, как блокировка взаимодействия банка и его клиента при краже денег, что позволяет атакующим выиграть время и успешно завершить нападение.

Читайте также:  Определение альфа фетопротеина имеет диагностическое значение при тест

Как проверить устойчивость вашего сайта к DDoS атакам?

Защититься от DDoS атак непросто, но вы можете прямо сейчас проверить устойчивость сайта к множественным запросам — это называется нагрузочное или стресс-тестирование. Такие программы, как JMeter и Load Impact позволяют имитировать одновременное подключение к сайту удаленных хостов, от считанных единиц до многих тысяч, что позволяет вычислить реальную нагрузку, которую может выдержать сайт.

Некоторые варианты защиты

Защита от DDoS-атак основывается на фильтрации запросов и отсеве множественных попыток соединения с одного IP-адреса. В частности, применяется фильтрация некорректных запросов, целью которых является вызов отказа в обслуживании и эксплуатация известных уязвимостей, функция выполняется межсетевыми экранами и\или IDS на основе известных сигнатур.

Если все запросы корректные, можно запретить все соединения с IP-адресов других регионов. К примеру, интернет-магазину цветов в Новосибирске вряд ли будут интересны клиенты из США, и наоборот. Однако, это может подойти лишь как временное решение, потому что пользователи активно используют анонимные прокси и прочие средства сокрытия реальных IP-адресов.

Для чего нужно нагрузочное тестирование?

Вряд ли вы задаетесь вопросом, зачем вообще нужно тестирование. Тестирование — это проверка, которая необходима после любого процесса разработки ПО. Нагрузочное тестирование позволяет понять, как будет себя вести сайт в боевой обстановке при подключении множества реальных пользователей. Вы можете столкнуться с особенностями отклика сайта, даже если в исходном коде нет никаких проблем. Что нужно изменить/добавить для того, чтобы увеличить пропускную способность сайта и время отклика на запросы. Использовать ли собственные фильтры или всецело положиться на защиту хостинг-провайдера? Можно разместить вышеуказанные утилиты на нескольких удаленных хостах, либо воспользоваться готовыми решениями типа BlazeMeter.

Все еще недостаточно? Закажите DDoS атаку у хакеров с реального ботнета. Это стоит 15-20 USD за час и позволяет однозначно подтвердить устойчивость сайта, либо отправить его обратно на доработку.

Хотите стать программистом? Рекомендуем профессию «Веб-разработчик».

DDoS-атаки (Distributed Denial of Service) являются одними из самых простых. «Принять участие» в них может любой пользователь, с помощью, например этой доступной утилиты.

Что это и как работает?

Меняются инструменты, способы обхода защиты и блокировки, любые другие параметры, кроме одного, основного принципа атаки: сотни и тысячи разных рабочих станций по всему миру одновременно начинают отправлять запросы на атакуемый сервер, после чего он начинает испытывать перегрузку и не может своевременно обрабатывать запросы от легитимных пользователей. В итоге, после достижения определенного порога, происходит отказ сервера в обслуживании всем пользователям, чего и добивались злоумышленники. Бомбардировка сервера такими запросами (каждый из которых может оказаться легитимным) продолжается достаточно долгое время, и в течение всего этого периода пользователи не смогут на сервер зайти. Если объект атаки – крупный интернет-магазин, то он понесет значительные убытки и репутационные издержки. Клиенты, вероятно, закажут в другом месте и в будущем откажутся от использования этого онлайн-магазина. Любопытно, что ваш ПК может также принимать участие в DDoS атаке, а вы даже не будете об этом знать — так работают ботнеты.

С другой стороны, DDoS атаки не приводят к воровству данных и утечке персональной информации в том случае, если они не являются ширмой для других атак, нацеленных на проникновение в систему. Иначе, DDoS атаки могут выступать в некотором роде дымовой завесой для более опасных махинаций, например, таких, как блокировка взаимодействия банка и его клиента при краже денег, что позволяет атакующим выиграть время и успешно завершить нападение.

Как проверить устойчивость вашего сайта к DDoS атакам?

Защититься от DDoS атак непросто, но вы можете прямо сейчас проверить устойчивость сайта к множественным запросам — это называется нагрузочное или стресс-тестирование. Такие программы, как JMeter и Load Impact позволяют имитировать одновременное подключение к сайту удаленных хостов, от считанных единиц до многих тысяч, что позволяет вычислить реальную нагрузку, которую может выдержать сайт.

Некоторые варианты защиты

Защита от DDoS-атак основывается на фильтрации запросов и отсеве множественных попыток соединения с одного IP-адреса. В частности, применяется фильтрация некорректных запросов, целью которых является вызов отказа в обслуживании и эксплуатация известных уязвимостей, функция выполняется межсетевыми экранами и\или IDS на основе известных сигнатур.

Если все запросы корректные, можно запретить все соединения с IP-адресов других регионов. К примеру, интернет-магазину цветов в Новосибирске вряд ли будут интересны клиенты из США, и наоборот. Однако, это может подойти лишь как временное решение, потому что пользователи активно используют анонимные прокси и прочие средства сокрытия реальных IP-адресов.

Для чего нужно нагрузочное тестирование?

Вряд ли вы задаетесь вопросом, зачем вообще нужно тестирование. Тестирование — это проверка, которая необходима после любого процесса разработки ПО. Нагрузочное тестирование позволяет понять, как будет себя вести сайт в боевой обстановке при подключении множества реальных пользователей. Вы можете столкнуться с особенностями отклика сайта, даже если в исходном коде нет никаких проблем. Что нужно изменить/добавить для того, чтобы увеличить пропускную способность сайта и время отклика на запросы. Использовать ли собственные фильтры или всецело положиться на защиту хостинг-провайдера? Можно разместить вышеуказанные утилиты на нескольких удаленных хостах, либо воспользоваться готовыми решениями типа BlazeMeter.

Читайте также:  Такие новости бублик тест

Все еще недостаточно? Закажите DDoS атаку у хакеров с реального ботнета. Это стоит 15-20 USD за час и позволяет однозначно подтвердить устойчивость сайта, либо отправить его обратно на доработку.

Хотите стать программистом? Рекомендуем профессию «Веб-разработчик».

Источник

Оценка защищенности к DDoS-атакам. Колонка Дениса Макрушина

Содержание статьи

Такой разный «отказ в обслуживании»

Сре­ди огромно­го количес­тва сце­нари­ев DDoS-атак «трен­дом» в пос­леднее вре­мя ста­новит­ся метод уси­ления ата­ки пос­редс­твом некор­рек­тно нас­тро­енных ресур­сов Сети. Нап­ример, зло­умыш­ленник может отпра­вить 100 байт (условно) спе­циаль­ным обра­зом сфор­мирован­ного зап­роса к DNS-резол­веру, и тот, в свою оче­редь, отпра­вит 1 Кб отве­та на ресурс жер­твы. Мож­но толь­ко пред­ста­вить, что будет, если зло­умыш­ленник отпра­вит подоб­ные зап­росы от сво­его неболь­шого бот­нета к огромно­му спис­ку DNS-резол­веров. Кста­ти, дан­ный бот­нет не обя­затель­но может сос­тоять из заражен­ных стан­ций — в него так­же могут вхо­дить инстан­сы какого‑нибудь пуб­лично­го обла­ка. Добавим сюда пуб­личные веб‑сер­висы наг­рузоч­ного тес­тирова­ния, с помощью которых мож­но реали­зовать ата­ку типа SaaS Amplification (о ней мы писали в статье «Любой стресс за ваши день­ги», выпуск #175), и получим доволь­но уве­сис­тую «кувал­ду» для веб‑при­ложе­ния.

DDoS = Облако + DNS Amplification + SaaS AmplificationDDoS = Обла­ко + DNS Amplification + SaaS Amplification

Точка отказа

За­дача вла­дель­ца любого веб‑про­екта, успешность которо­го пря­мо зависит от его аптай­ма, — опре­делить точ­ку отка­за веб‑при­ложе­ния. Зна­ние дан­ного зна­чения поз­волит подоб­рать соот­ветс­тву­ющие защит­ные решения и выделить для это­го нуж­ный бюд­жет. Для поис­ка точ­ки отка­за необ­ходимо пери­оди­чес­ки про­водить про­цеду­ру стрес­сового тес­тирова­ния. Или, дру­гими сло­вами, DDoS’ить себя.

Ус­ловно про­цеду­ры опре­деле­ния реак­ции информа­цион­ной сис­темы на ту или иную наг­рузку мож­но раз­делить на три вари­анта:

  • наг­рузоч­ное тес­тирова­ние (load-testing) — опре­деле­ние реак­ции сис­темы и ее работос­пособ­ности при некото­рой заранее задан­ной (пла­ниру­емой, рабочей) наг­рузке;
  • тес­тирова­ние отка­зоус­той­чивос­ти (stress-testing) — ана­лиз поведе­ния информа­цион­ной сис­темы при ано­маль­ной наг­рузке (нап­ример, при DDoS-ата­ках);
  • тес­тирова­ние про­изво­дитель­нос­ти (performance testing) — ком­плексный под­ход, сочета­ющий в себе два пре­дыду­щих метода тес­тирова­ния.

Дан­ная клас­сифика­ция весь­ма условна, поэто­му под тер­мином «стрес­совое тес­тирова­ние» будет понимать­ся про­цеду­ра про­вер­ки отка­зоус­той­чивос­ти информа­цион­ной сис­темы при DDoS-ата­ках.
Клю­чевая осо­бен­ность дан­ной про­цеду­ры, в отли­чие от типич­ной DDoS-ата­ки, — обя­затель­но дол­жна быть методи­ка про­веде­ния тес­тов. Кро­ме того, у стрес­сового тес­тирова­ния есть нес­коль­ко важ­ных нюан­сов:

  • тес­ты про­водят­ся на информа­цион­ной сис­теме, ком­понен­ты которой находят­ся в Сети и дос­тупны ее поль­зовате­лям;
  • сце­нарии про­веде­ния тес­тов вклю­чают в себя наг­рузку, которая ими­тиру­ет дей­ствия наруши­теля;
  • пла­ниро­вание и учет аспектов про­веде­ния про­цедур тес­тирова­ния выпол­няют­ся до эта­па реали­зации сце­нари­ев атак. Тес­ты про­водят­ся сери­ями, с пос­тепен­но нарас­тающей наг­рузкой (10, 25, 50, 75%) от пред­полага­емо­го пре­дель­ного уров­ня наг­рузки (обра­щений в секун­ду). В ходе тес­тирова­ния изме­ряет­ся вре­мя откли­ка тес­тиру­емых ресур­сов, поз­воля­ющее опре­делить, как работы вли­яют на информа­цион­ную сис­тему.

Процесс стрессового тестированияПро­цесс стрес­сового тес­тирова­ния

Система стрессового тестирования

Средс­тво реали­зации методи­ки мы назовем сис­темой стрес­сового тес­тирова­ния и поп­робу­ем дать ей слег­ка «ака­деми­чес­кое» опре­деле­ние, что­бы не путать ее с бот­нетом.
Сис­тема стрес­сового тес­тирова­ния (ССТ) — прог­рам­мный ком­плекс, обес­печива­ющий про­вер­ку информа­цион­ной сис­темы на устой­чивость к ата­кам типов «отказ в обслу­жива­нии» и «рас­пре­делен­ный отказ в обслу­жива­нии» с целью выявить пре­дель­ную наг­рузку, которую спо­соб­на при­нять на себя дан­ная сис­тема от легитим­ных поль­зовате­лей, а так­же от потен­циаль­ных наруши­телей.
Наш прог­рам­мный ком­плекс дол­жен решать сле­дующие задачи:

  1. Ре­али­зация DDoS-сце­нари­ев. С целью ком­плексной оцен­ки отка­зоус­той­чивос­ти ИС в пол­ной мере дол­жны быть реали­зова­ны сце­нарии рас­пре­делен­ных атак для исчерпа­ния каналь­ных и вычис­литель­ных ресур­сов.
  2. Цен­тра­лизо­ван­ное управле­ние. По ана­логии с бот‑сетями: кли­енты получа­ют задание из еди­ного цен­тра, что очень удоб­но. Не нуж­но бес­поко­ить­ся о сво­евре­мен­ном получе­нии коман­ды кон­крет­ным кли­ентом. Фак­ты получе­ния, выпол­нения, успешно­го или неус­пешно­го завер­шения задачи лег­ко фик­сиру­ются, что поз­воля­ет вес­ти деталь­ную ста­тис­тику.
  3. Рас­пре­делен­ная архи­тек­тура. Рас­пре­делен­ная архи­тек­тура поз­волит фак­тичес­ки раз­делить фун­кци­ональ­ные роли сис­темы и соот­ветс­тву­ющим обра­зом орга­низо­вать уста­нов­ку и нас­трой­ку каж­дого ком­понен­та с уче­том осо­бен­ностей кон­крет­ной вычис­литель­ной сре­ды.
  4. Под­дер­жка модуль­нос­ти архи­тек­туры ПО. Воз­можность рас­ширения фун­кци­ональ­нос­ти ком­понен­тов, непос­редс­твен­но отве­чающих за реали­зацию сце­нари­ев атак, при помощи модулей поз­воля­ет сох­ранять акту­аль­ность базы сце­нари­ев про­веде­ния атак.
  5. На­личие механиз­мов монито­рин­га сос­тояния целевой информа­цион­ной сис­темы и пре­дот­вра­щения ее выхода за пре­делы пиковой наг­рузки. Для при­нятия соот­ветс­тву­ющих мер при оцен­ке текуще­го уров­ня наг­рузки и пос­тро­ения прог­нозов раз­вития ата­ки необ­ходимо получать акту­аль­ную информа­цию о сос­тоянии целевой ИС от инди­като­ра наг­рузки, ком­понент которо­го дол­жен быть частью СНТ.
  6. Фор­мирова­ние ста­тис­тичес­кой информа­ции в про­цес­се стрес­сового тес­тирова­ния. С целью оцен­ки фун­кци­они­рова­ния средств защиты целевой ИС на раз­личные типы сце­нари­ев стрес­сового тес­тирова­ния ССТ дол­жна обла­дать механиз­мами ведения ста­тис­тики в про­цес­се про­веде­ния тес­тов.
Читайте также:  Тесты казахского турецкого лицея

Те­перь перей­дем к ком­понен­там ССТ.

Ком­понент наг­рузки (Load Component) — кли­ент­ская часть сис­темы, основная фун­кция которой — генери­ровать наг­рузку в соот­ветс­твии с получен­ной задачей. Задачи пос­тупа­ют от адми­нис­тра­тив­ного цен­тра сети, а соот­ветс­твен­но, ком­понент наг­рузки дол­жен обла­дать средс­тва­ми перекон­фигури­рова­ния в реаль­ном вре­мени, то есть иметь воз­можность:

  • за­пус­тить задачу;
  • пе­редать свое текущее сос­тояние адми­нис­тра­тив­ному цен­тру;
  • прек­ратить выпол­нение задачи.

Ком­понент адми­нис­три­рова­ния/рас­пре­деле­ния (Distribution Component) — адми­нис­тра­тив­ная часть сети, выпол­няющая сле­дующие фун­кции:

  • по­луче­ние команд от опе­рато­ра;
  • при­ем дан­ных о текущем сос­тоянии ком­понен­тов заг­рузки;
  • фор­мирова­ние задачи на осно­ве дан­ных, пос­тупа­ющих от опе­рато­ра и ком­понен­тов наг­рузки;
  • пе­реда­ча заданий ком­понен­там наг­рузки;
  • де­монс­тра­ция опе­рато­ру резуль­татов выпол­нения заданий.

Ин­дикатор — ком­понент ССТ, который отве­чает за сбор и ана­лиз ста­тис­тичес­кой информа­ции о тес­тиру­емой информа­цион­ной сис­теме и выпол­няет сле­дующие дей­ствия:

  • фор­мирова­ние ста­тис­тичес­кой информа­ции в про­цес­се стрес­сового тес­тирова­ния;
  • при­веде­ние ста­тис­тичес­кой информа­ции в удо­бочи­таемый вид;
  • пе­реда­ча ста­тис­тичес­кой информа­ции опе­рато­ру;
  • оп­ределе­ние реак­ции целевой ИС на попыт­ки ее легитим­ного исполь­зования;
  • пе­реда­ча ком­понен­ту рас­пре­деле­ния зап­роса на оста­нов­ку текущей задачи, в слу­чае приб­лижения наг­рузки целевой ИС к пиковым показа­телям.

Сис­тема име­ет в осно­ве кли­ент‑сер­верную архи­тек­туру с так называ­емым «тол­стым» кли­ентом — то есть кли­ент­ская часть берет на себя все необ­ходимые дан­ные для рас­четов у сер­вера и затем обра­щает­ся к нему толь­ко с опре­делен­ным резуль­татом. Задача сер­вера: кор­рек­тно обра­ботать зап­росы кли­ентов и син­хро­низи­ровать име­ющиеся дан­ные меж­ду ними, при этом пра­виль­но демонс­три­ровать резуль­таты адми­нис­тра­тору сети.

Схема работы ССТСхе­ма работы ССТ

Сог­ласно перечис­ленным тре­бова­ниям и опи­сан­ной кон­цепции была раз­работа­на сис­тема стрес­сового тес­тирова­ния и успешно показа­ла себя в ходе тес­тирова­ния веб‑при­ложе­ния круп­ного спор­тивно­го мероп­риятия. К сожале­нию, мас­шта­бы колон­ки не поз­воля­ют рас­ска­зать о прак­тичес­кой час­ти дан­ного иссле­дова­ния, поэто­му мы под­готови­ли видео, на котором зафик­сирован про­цесс «поис­ка точ­ки отка­за». Видео, а так­же ком­мента­рии к нему ты най­дешь по ссыл­кам.

Процесс стрессового тестирования моего блогаПро­цесс стрес­сового тес­тирова­ния моего бло­га

Денис Макрушин

Денис Макрушин

Специализируется на исследовании угроз и разработке технологий защиты от целевых атак. #InspiredByInsecure

Источник

Проверяем нагрузку на сервер и определяем DDoS атаки

Веб-сервер

Виды ДОС-атак (условия для DOS/DDos атак)

1. Недостаточная фильтрация данных может привести повышенному потреблению ресурсов, к длительному или бесконечному циклу, выделению огромного объема оперативной памяти.
2. Недостаточная фильтрация данных
3. Атака второго рода — подобные атаки приводят к срабатыванию системы защиты, что приводит к недоступности сервера
4. Флуд — Думаю тут все ясно. Большое количество ресурсоемких запросов, обращенных к серверу.

В интернете были найдены полезные команды для проверки нагрузки на сервер, а так же для анализа и определения ДДОС (DDoS) атаки.

Что делать?
Во-первых, посмотрим число процессов Апача:

Либо в случае ОС CentOS5/RHEL:

Если их более 20-30, то это уже повод для беспокойства.

Далее обязательно просмотреть глобальные логи Апача на предмет наличия аномалий (например, запросов без указания вихоста):

Далее, стоит просмотреть логи всех сайтов и обратить особое внимание на самые большие из них.

Если «большой» лог найден, то его стоить проанализировать на предмет аномалий следующим образом:

Эта команда укажет число запросов до сайта с уникальных айпи, вывод ее будет в виде:

Таким образом, если какой-то IP / блок айпи заваливает сайт запросами, это будет видно по резко уходящим в верх значениям запросов для IP злоумышленников.

Полезные команды:
Число процессов Apache:

Число коннектов на 80 порт:

То же, в статусе SYN

Посмотреть много ли разных IP:

На какой домен чаще всего идут запросы:

Посмотреть откуда IP или Domain:

С какого IP сколько запросов:

Количество соединений с сервером:

Вывод информации в реальном времени, IP которые соединены с сервером и какое количество соединений по каждому IP

Проверка нагрузки на сайт
Порой все же хочется знать кукую нагрузку потянет вновь написанный сайт, или сам хостинг. Сможет ли сайт нормально функционировать при наплыве посетителей в час пик? Ответить конечно можно (теоретически, взвесив совокупность всех ресурсов доступных сайту), но хотелось бы видеть конкретные цифры.

Для тестирования сайта на нагрузку можно использовать онлайн сервис – loadimpact.com сервис к сожалению платный, но есть и бесплатный режим тестирования, на 50 человек онлайн. Думаю этого достаточно, чтобы проверить блог или небольшой сайт на нагрузку. И если ваш сайт завалится, например вы увидите ошибку Internal Server Error или страница просто не будет открываться, значит тест завален. Идем капать конфиги apache, nginx, скрипты php и запросы к серверу sql, возможно наш вновь испеченный сайт на собственной cms не так уж и хорош, как на хотелось бы)

По мимо простого теста, сервис сохраняет результаты проверки сайта, и предоставляет специальную ссылку для просмотра статистики. это очень удобно, например тогда, когда результаты нужно показать заказчику.

Источник