DDoS-Simulation, Sizing- und Stresstests

DDoS-Simulation, Sizing- und Stresstests?

Als Betreiber einer Webanwendung ist Lastsimulation aus verschiedenen Szenarien heraus immer wichtiger.

  • Sizingtest: Kann meine Anwendung für eine definierte Anzahl Anwender deren Verhalten ich abschätzen kann performant bereitgestellt werden?
  • Stresstest: Ab wie vielen Anwendern kommt es zu Leistungseinbrüchen?
  • DDoS-Simulation: Wenn ich von vielen Rechnern aus angegriffen werde (Distributed Denial-of-Service), kann ich mich des Angriffs erwehren?

Wie geht das?

Oft werden intern Lasttests gefahren. Allerdings wird dabei nicht die Zielstruktur getestet, da die tatsächlichen Zugriffe über das Internet erfolgen. Eine entsprechende Infrastruktur vorzuhalten ist aufwändig. Wir nutzen die Infrastruktur von Cloudprovidern und können so die definierten Testszenarien unter Echtbedingungen prüfen.

Für ein aussagekräftiges Ergebnis müssen die Prüfungen auf Anwendungsebene stattfinden. Im Gegensatz zu auf die Auslastung der Bandbreite abziehlenden Prüfungen werden dabei echte HTTP bzw. HTTP/S-Verbindungen in Form von Szenarien definiert. Diese Szenarien werden von einer vorab definierten Anzahl automatisierter Testnutzer aufgerufen. Im Regelfall wird dabei nur ein Bruchteil der auf Serverseite zur Verfügung stehenden Bandbreite benötigt. Vielmehr werden die Frontendserver oder Backendsysteme stark belastet.

Lasttests Schematische Darstellung

Wie hoch ist das Risiko?

Das Risiko ist bei diesen Prüfungen der Ausfall. Insbesondere bei Stress- und DDoS ist der Ausfall sogar das Ziel der Prüfung. Aber: Die Tests werden persönlich durch unsere Prüfer betreut und können jederzeit abgebrochen werden. Bei anderen Überlastsituationen können Sie das nicht. Meist erholen sich die Systeme von alleine, manchmal ist ein Neustart erforderlich.

Wie ist der Testablauf?

Folgende Elemente müssen je Testszenario festgelegt werden:

  • die aufzurufenden URLs,
  • die Anzahl der Quell-IP-Adressen,
  • die Dauer der Testläufe und
  • die Anzahl der Zielsessions.

Im nächsten Schritt wird der Testzeitraum vereinbart. Die Tests werden im Regelfall mehrfach bei je Prüflauf steigender Last durchgeführt, um Performanceprobleme rasch zu erkennen und optimal eingrenzen zu können. Durch die mehrfache Duchführung identischer Testszenarien können auch Änderungen in der Konfiguration z. B. Parameter an Loadbalancern oder Servern auf deren Wirksamkeit geprüft werden.

Was kosten die Prüfungen?

Ein Testszenario entspricht vier Stunden effektiver Prüfzeit. In dieser Prüfzeit werden die Testparameter Testlänge, sowie Anzahl Zielsessions verändert und die Prüfungen durchgeführt. In den Paketpreisen sind die Rüstzeiten, Dokumentation, Testdurchführung und Kosten für die Infrastruktur enthalten.

Folgende Leistungen sind bei jedem Paket inklusive:

  • Persönliche Betreuung und Beratung vor, während und nach den Tests
  • Individueller Bericht
  • Ein Rechner je IP-Adresse mit 1 GBit/s Bandbreite
  • auf Wunsch verschiedene User-Agents innerhalb eines Tests
  • URLs sowohl HTTP-GET, als auch HTTP-POST (POST-Parameter definierbar)

Folgende Pakete bieten wir an:

PaketgrößeTest aus US, Asien oder SüdamerikaQuell-Adressenmaximale SessionsAnzahl URLsPreis (netto)
Kleinicon-not-includedbis zu 2*bis zu 100.000*bis zu 10*2.300 €
Mittelicon-not-includedbis zu 10*bis zu 500.000*bis zu 50*4.500 €
Großicon-includedbis zu 50*bis zu 2.500.000*unlimitiert8.200 €
Mehr?icon-includedbeliebigbeliebigunlimitiertprojektspezifisch

* „bis zu“ bedeutet, dass die angegebene Anzahl Quell-Adressen bzw. Sessions ohne Aufpreis im gebuchten Paket genutzt werden kann.