Эксперты «Лаборатории Касперского» пришли к неутешительному прогнозу, представив несколько вариантов использования злоумышленниками стрессового тестирования интернет-порталов.
Стрессовое тестирование — это процедура оценки характеристик работоспособности системы, проводимая за рамками предельного значения нагрузки. Стресс-тесты в большинстве случаев ведут к аномальному поведению системы или ее отказу в обслуживании аналогично DDoS-атакам. Тест определяет показатели предельной нагрузки системы и проверяет ее устойчивость к некоторым сценариям DDoS-атак.
С ростом потребности подобных оценок появилось немало онлайн-сервисов, позволяющих без настройки сложных систем тестирования и подготовки облачной инфраструктур, задать параметры нагрузки и оплатить вычислительные мощности, ожидая затем отчет о поведении ресурса. При этом некоторые службы для ознакомления бесплатно предлагают короткий тест без регистрации. Злоумышленники могут воспользоваться им в своих целях. Дело в том, что большинство сервисов нагрузочного тестирования не требуют подтверждения того, что процедуру заказывает его владелец — нет никаких дополнительных привязок к телефонному номеру или кредитной карте. Из шести рассмотренных специалистами «Лаборатории Касперского» сервисов только один запросил разместить на тестируемом ресурсе специальный файл — его наличие означало гарантию того, что администратор сервера уведомлен о процедуре. Более того, два сервиса позволили осуществить нагрузочное тестирование вообще без регистрации — достаточно было ввести URL ресурса.