Как правильно ддосить wordpress - Форум успешных вебмастеров - GoFuckBiz.com

chesser · 08.03.2015, 00:22

Сразу оговорюсь, текст ниже не нарушает правил форума и подобная формулировка названия топика создана лишь для привлечения внимания сообщества, которое до сих пор почему-то продолжает использовать Wordpress без соответствующих защит, несмотря на мои многократные предупреждения за последние 3-4 года

Ниже описана опасность эксплуатации WP, которой подвержены 99,99% сайтов. Причем, ей может воспользоваться любой новичок. Что самое интересное, это не дыра, не баг, не какая-то доп.настройка или плагин....это документированная фича ядра вордпресса!

Я с ней работал несколько лет...имею ввиду, дорабатывал вордпрессы так, чтобы эта фича перестала быть настолько уязвимой, какой она является в дистрибутиве по умолчанию. Сейчас решил поделиться опытом с публикой, а она поможет "распространить" эту информацию до владельцев сайтов

DoS (Denial Of Service) = "отказ в обслуживании", т.е. это ряд мероприятий над сервером или сайтом, а в нашем случае - над вордпрессом, целью которых являются доставление проблемы с работоспособностью веб-ресурса.

DDoS - тоже самое, только действия направлены не из одного источника, а из множества. Именно DDoS отдельно рассматривать не будем, т.к. для защит от распределенных атак нужно:
1) понять алгоритм или характер DoS-а
2) отфильтровать плохие источники запросов. Если ддос не такой сильный, то,возможно, поможет этот топик.

Кстати говоря, понятия нагрузочное тестирование и стресс-тестирование имеют общее с DoS, а именно: их цель - протестировать систему (в том числе) на противостояние DoS- и DDos-атакам. Поэтому, можно сказать, ниже описан способ стресс-тестирования вашего сайта на Wordpress

Описание метода. Теория.

Мой метод тестирования (или доса, как вам удобнее) основан на встроенной возможности вордпресса сортировать объекты(посты, тайтлы, теги - все что угодно) в произвольном порядке, т.е. с помощью random. Сама фича описана на сайте вордпресса тут. Казалось бы, это удобно добавлять к любому URL вордпресса orderby=rand и содержимое списка (например, списка постов) выдается каждый раз в случайном порядке. Тоже самое касается и разработки плагинов, в классах вордпресса есть похожие механизмы получения рандомизированного списка каких-либо объектов, что тоже кажется удобным на первый взгляд и школьники с удовольствием это используют в своих плагинах, многие из которых находятся в топах на сайте wordpress.org

Но ведь каждый программист, имеющий опыт программирования (а не ковыряния пальцем в жопе), знает, что рандом - это иногда плохо, а чем ближе распределение вероятности случайной величины к нормальному ("идеальный рандом"), тем еще хуже и сложнее. Архитекторы нашего "любимого" вордпресса, почему-то решили, что посты нужно сортировать именно методом, близким к идеальному, т.е. используя функцию rand(), которая присутствует в языках программирования или sql.

А теперь подумаем, что такое сортировка в порядке беспорядка? это ведь не просто взяли первые попавшиеся элементы и выдали как есть. Нужно взять элементы и принудительно их все разложить в произвольном порядке, согласно сгенерированной последовательности случайных чисел. Во время сортировки мы всегда будем получать наихудшие расклады, т.е. сложность будет стремится к O(x*x), что очень накладно по использованию ресурсов. Вывод: сортировка данных в произвольном порядке - это очень затратная операция, которую нужно избегать как огня. И, когда нужно, опытные программисты это избегают, о чем делятся своими решениями: раз, два, три, четыре, пять ищите в гугле. Но в случае доса или стресс-тестирования сайта такая сортировка очень хорошо подходит!

То, что процессор будет чего-то делать с данными во время бесконечных сравниваний - это понятно, но как у нас обстоят дела с памятью? Тут многое будет зависеть от количества сортируемых данных: если их много, значит и памяти нужно много, если мало - то мало, но любом случае (внимание!!!) мы никак не можем закешировать данные, кеш бессилен, потому что бессмысленно кешировать бесконечно случайные наборы данных.

Возвращаясь к механизмам оперирования данных именно в вордпрессе, узнаем, что random-сортировка там делается через (my)SQL-запрос с помощью конструкции ORDER BY RAND(). Поэтому далее углубляемся в технические особенности MySQL:

1) чтобы в mysql отсортировать выбранные select-ом данные, необходимо оперировать сразу всеми данными, даже если из них нужна только малая часть. Например, если в БД 1000 постов и нужно на главной показать рандомно первые 10, mysql все равно выберет, потом отсортирует все 1000 постов и лишь затем отсечет нужные 10 элементов. Поэтому происходит оперирование всеми данными одновременно(!)

2) в mysql есть опция в настройках(my.cnf), которая определяет размер временных таблиц в памяти, превышая который, временная таблица перемещается на диск. О существовании этой переменной начинающие админы или владельцы сайтов могут и не знать, и, скорее всего, там установлено какое-то стандартное значение.
А теперь представьте, что и без того не быстрая сортировка перемещается из памяти на диск - это плохо, очень. Временные затраты по железным причинам автоматически возрастают на 1-2 порядка. Выходит, чтобы создать такую ситуацию, нужно сортировать много данных, чтобы они не уместились в памяти во временной таблице и весь процесс ушел в диск.

3) возвращаемся к выборке из 1000 постов...в mysql есть такая неприятная особенность, которая состоит в том, что чем ближе к концу нужны данные из выборки, тем дольше нужно ждать ответа от БД, т.е. запрос первых 10 постов из 1000 (LIMIT 0,10) будет намного быстрее и легче, чем последние 10 (LIMIT 990,10)

4) ну и напоследок сама выборка может быть с условиями, при которых, например затрудняется работ индексов или вообще они отсутствуют. Например, это выборка функции поиска на сайте, т.к. в mysql она будет представляться как-то так WHERE...LIKE '%key%' , а чтобы в ее результате было побольше объектов, искать следует то, что встречается в каждом объекте/посте, например: точку "." - WHERE...LIKE '%.%'

Вывод: нужно выбирать последние элементы из большой выборки, основанной на результате поиска, отсортированном рандомом.

Выполнения таких запросов можно добиться как через URI, так и через просмотр кривых плагинов, которые также не брезгают пользоваться стандартным рандомом вордпресса.

Реальный пример такого URL: http://chesser.ru/blog/ page/8/ ? s=. & orderby=rand

У меня в блоге записей мало, поэтому в диск процесс не уходит, но все равно результат невозможно кешировать, поэтому алгоритм отрабатывает ОТ и ДО. Наибольший эффект получится на вордпресс-сайтах с большим количеством постов.

Практическая часть.

Первоисточником этой команды пусть будет этот адрес: http://wiki.chesser.ru/CMS_Wordpress , постараюсь обновлять там информацию, если придумаю чего-нибудь еще интересное.

Способы решения проблемы:

1) основной способ решения проблемы - это не использовать Wordpress, потому что я пока молчу о других его архитектурных проблемах, которые также удобны в использовании для подобного тестирования, а кто-то наверняка уже использует

В качестве альтернативы предлагаю использовать, например, Drupal 1, Drupal 2 или какие-то другие платформы, созданные разработчиками, которые хотя бы закончили школу.

2) Если от вордпресса избавиться нельзя, то проблему нужно решать либо полным удалением возможностей использования, либо модификацией функции сортировки, смысл которой заключается в том, чтобы а) уйти от стандартного качественного рандома к какому-то сильно упрощенному псевдо-рандому, б) либо кешированием результатов сортировки (рандом выборка всегда будет состоять из одного и того же набора данных) в) либо сокращением размеров выборок.

3) Также можно пытаться ловить и фильтровать такие подозрительные запросы, но их структура может меняться и в эти периоды сервер будет спать, что неприятно.

mr.Charlie · 08.03.2015, 13:29

Цитата:

Сообщение от xanxy

mr.Charlie, если ты выбираешь все записи, без лимита, то почему бы не перемешать их уже средствами php и прочего. Там на много быстрее

Дело в том, что id - это автоинкремент. Линки удаляются, и образуются большие дыры между айдишками, поэтому рандом приходится делать выборкой mysql.

chesser · 08.03.2015, 13:43

Цитата:

Сообщение от xanxy

Проблемы с oreder by rand() начинаются только при более менее вминяемом кол-ве записей.

именно с order by - да, но вкупе с беспомощьностью кеша проблемы присутствуют изначально. Пример - мой блог, там не более 100 постов, валится 10-ю потоками (правда хостинг за 5 долларов, но это все равно не повод)

Цитата:

Сообщение от xanxy

Мне кажется что разрабы вп изначально для себя ставили задачу разработать CMS для "домохозяек".

да, соглашусь...пусть все и страдают

Цитата:

Сообщение от Sultan

varnish софт, 500km норм не лажает

Цитата:

Сообщение от Sultan

вот норм плагин - w3 total cache

я писал, что кеширующие плагины бессильны.
нельзя закешировать бесконечность.
если ты умеешь это делать - ок, пользуйся

Цитата:

Сообщение от Matt Cutts

Для тех, кому не хочется читать много букв, решение для nginx бесплатно-без смс:

PHP код:
if ($args ~ orderby=rand) {
return 403;
}

не будет работать, уже пояснял гектору почему

Цитата:

Сообщение от Matt Cutts

ps Да, и то, что Drupal заруливает Wordpress - очень толсто.

мой опыт сайтовладения и разработки на вордпрессе и на друпале - 8 и 5 лет соответственно. Собственно, поэтому считаю, что я имею права их сравнивать между собой и рекомендовать другим.

Цитата:

Сообщение от Matt Cutts

Лень писать простыню, где wp проводит шершавым по губам друпалу, уже исписано тысячи раз.

вот тут согласен, ибо это не интересный холивар.

Цитата:

Сообщение от mr.Charlie

Дело в том, что id - это автоинкремент.

в твою проблему не вдумывался, но эта фраза меня сразу передернула )) хайлоад и автоинкремент также редко совместимы без значительной потери производительности, как и пресловутый рандом. Выход: переход на хеши, либо UUID и его аналоги.

Sultan · 08.03.2015, 14:01

chesser, дак пользуюсь все норм 99/100 по гуглу
ранд у меня отключен

chesser · 08.03.2015, 14:04

Цитата:

Сообщение от Sultan

ранд у меня отключен

с этого и надо было начинать, а не предлагать решения, про которые и так уже многие знают, и которые бесполезны для описанной "уязвимости" вордпрессов

Sultan · 08.03.2015, 14:15

chesser, хорошо директор, а в дополнение можно? а про твои решения ни кто не знает значит, форум ведь епт
и вообще эти меры большинству здешних нах не нужны, так как не того объема трафа, чтоб упереться в потолок

chesser · 08.03.2015, 14:33

Цитата:

Сообщение от Sultan

чтоб упереться в потолок

практика использования моего метода показывает и доказывает, что этот потолок не такой высокий на большом количестве сайтов, тем более, где не выключали рандом.

Если тебе это не пригодилось, удали топик из своей ленты

Цитата:

Сообщение от Sultan

и вообще эти меры большинству здешних нах не нужны

значит этот топик для меньшинства

Sultan · 08.03.2015, 14:47

chesser, не гоношись. я против твоих методов ничего не имею, но это не предел оптимизации

можно массу всего отключить remove_action
а на блоге у себя ты их что то не пользуешь, и почему вп, раз ты так каплю любишь..

chesser · 08.03.2015, 14:47

еще вариант для упомянутого меньшинства:

Код:

bash> echo 's=.&orderby=rand'>post.txt
bash> ab -n 100 -c 10 -p post.txt -T application/x-www-form-urlencoded http://chesser.ru/

правда тут уже без UA

Sultan · 08.03.2015, 14:51

Цитата:

Сообщение от chesser

еще вариант для упомянутого меньшинства:

к чему это брюзжание?

chesser · 08.03.2015, 14:53

Цитата:

Сообщение от Sultan

а на блоге у себя ты их что то не пользуешь, и почему вп, раз ты так каплю любишь..

да это ж блог домохозяйки )) он там с 2007 года и существует в основном для экспериментов и в качестве формы для контакта, лень переезжать на друпал, хотя попытки были. Все, что надо было, давно перенес на друпал или на mediawiki