vServer und Performance (2)

Wie kann man denn nun mit einfachsten Mitteln die Leistung von vServern vergleichen? Ich habe mich da nur wenig mit befasst, aber interessant differierende Werte findet man schnell mit dem guten alten

hdparm -t /dev/sd(a).

Während das bei dem einen Hoster Werte von knapp 200 MB/s ergibt (das landet offenbar im RAM oder einem SSD-Cache), findet man beim unten besprochenen Hoster einen Plattendurchsatz von 30 MB/s, und das stark schwankend. Das ist manchmal so wenig, dass sogar vi bei großen Dateien ruckelt.

Wenn es um Webhosting geht, gibt es ein simples Tool, mit dem man den wichtigsten Benchmark sehr einfach durchführen kann: Wie schnell werden Seiten ausgeliefert?

Das geht mit httping:

httping -G -B -c 50 -A -U username -P password hostname.net

Obiger Befehl führt ein GET auf hostname.net aus und misst über 50 Requests die durchschnittliche Antwortzeit und den Durchsatz. Dadurch, dass mit -B Kompression aktiviert wird, spielt die Leistung der CPU des vServers eine gewisse Rolle. Mit -A -U -B kann man auch .htaccess-geschützte Seiten testen, sodass das Tool auch im Prototypen-Stadium einer Web-Anwendung eingesetzt werden kann.

vServer und Performance

Server

In der letzten Zeit habe ich mich bei einigen Hostern, bzw. bei den jeweiligen vServer-Produkten umgesehen. Neben harten Fakten wie Preis und garantiertem RAM mangelt es in diesem Bereich leider an objektiv vergleichbaren Parametern: Einen standardisierten Benchmark hierfür gibt es nicht und selbst wenn, wüsste man nicht, ob die Ergebnisse auf das eingene Nutzungsprofil übertragbar wären.

So bleibt einem nur das Ausprobieren. Und da findet man schnell heraus, dass die Setups der Provider offenbar noch lange nicht so ausgereift sind, wie die Marketing-Tools.

Bei einem Hoster – übrigens einem mit gutem Ruf – habe ich einen kleinen Debian-vServer laufen, der durchaus bemerkenswerte Ecken und Kanten hat. So blieb die Instanz innerhalb der ersten drei Wochen gleich dreimal einfach stehen. Ein Verhalten, dass man von Debian so nicht erwartet. Im Log fanden sich seltsame Fehlermeldungen, die auf einen bekannten Timer-Bug hinwiesen, der im Zusammenhang mit vServern gelegentlich auftritt. Da habe ich natürlich erstmal recherchiert und Workarounds getestet.

Als ich beim dritten Crash und einem nicht wiederzubelebenden Server den Support kontaktierte, stellte sich heraus, dass gar nicht das Debian schuld war, sondern dass dem Hostsystem offenbar regelmäßig (?) das Filesystem abhanden kommt. Wen wundert es, dass die Guests seltsames Verhalten zeigen?

Hinzu kommt, dass das Hostsystem gefühlt massiv von Gamern genutzt wird. Während die Performance tagsüber ausreichend ist, fängt es abends an zu haken und man merkt, dass die Maschine an ihre Grenzen stößt. Ein CMS ist so nur schlecht zu bedienen.

Das einzig Gute dort war der Support, der jederzeit im Chat zur Seite stand. Aber das Setup ist noch im Beta-Stadium und für professionelle Nutzung definitiv ungeeignet. Wer die Erfahrungen nicht selbst machen will, kann mich gerne nach dem Hoster-Namen fragen.

Fortsetzung: Digitales Debakel

Der Herr Comodohacker alias Ichsun behauptet, dass er GlobalSign und noch drei weitere CAs gehackt hat (Zitat). Wenn das stimmt, ist das möglicherweise der Anfang vom Ende von aktuell genutzten PKI-Strukturen. Das betrifft dann Homebanking genauso wie jede Menge elektronische Geschäftsanwendungen und staatliche Projekte.

Klassischer “Single Point of Failure”.

Ich hätte zudem erwartet, dass eine CA wie DigiNotar seine Systeme besser sichert, als das der Fall war. Die Zertifikate lagen wohl auf ungepatchten Windows-Systemen ohne Virenschutz, die Domäne war mit bruteforcebarem Passwort gesichert. Zudem konnte Herr Comodohacker anschließend die Logfiles löschen, wie es eben Hackertradition ist. Jetzt weiß man hat nicht so ganz genau, was er alles getrieben hat. Irgendwie kann ich kaum glauben, dass das alles wahr ist.

Digitales Debakel

Dank des DigiNotar-Debakels fällt nun so manchem auf, dass SSL/TLS am seidenen Faden einiger recht willkürlich gewählter CAs hängt. *Irgendjemand* war offenbar in der Lage, sich selbst für Domains u.a. von Twitter, Google, Mossad, CIA, MI6 aber auch so netten Dingen wie windowsupdate.com zu erstellen. Letzteres ist besonders delikat, wenn man das Codesigning noch hinbekommt.

*Irgendjemand* kann damit nun, sofern er einen MITM-Angriff schafft, den DNS oder die host-Liste manipuliert, die von/zu den in dieser Liste genannten Domains vermeintlich sicher übertragenen Daten mitlesen oder verändern.

CAs sind ein Single Point of Failure der Internetsicherheit. Und Browser vertrauen diesen CAs recht blind. Es ist höchste Zeit, über strukturelle Änderungen in diesem Bereich nachzudenken.

Philosophie der Preise

Heute aufgeschnappt. Situation: Diskussion um Preise von Tablets und Laptops:

Es gibt kaum etwas auf dieser Welt, das nicht irgend jemand ein wenig schlechter machen und etwas billiger verkaufen könnte, und die Menschen, die sich nur am Preis orientieren, werden die gerechte Beute solcher Machenschaften.

Es ist unklug, zu viel zu bezahlen, aber es ist noch schlechter, zu wenig zu bezahlen.

Wenn Sie zu viel bezahlen, verlieren Sie etwas Geld. Das ist alles. Wenn Sie dagegen zu wenig bezahlen, verlieren Sie manchmal alles, da der gekaufte Gegenstand die ihm zugedachte Aufgabe nicht erfüllen kann.

Das Gesetz der Wirtschaft verbietet es, für wenig Geld viel Wert zu erhalten. Nehmen Sie das niedrigste Angebot an, müssen Sie für das Risiko, das Sie eingehen, etwas hinzurechnen. Und wenn Sie das tun, dann haben Sie auch genug Geld, um für etwas Besseres zu bezahlen.

Zugeschrieben John Ruskin (1819-1900)

Schön gesagt, Ruskin.

Microsokia

Jetzt muss ich mir mal selbst ausnahmsweise Recht geben. Am 15. Oktober hatte ich darüber spekuliert. Heute ist es soweit. Microsoft und Nokia verbünden sich.

Ich finde es schade.

Ein wenig mehr Konkurrenz hätte Android und Apple gut getan. Den Erfolg dieser Partnerschaft sehe ich nicht. Sie löst kein Problem: Windows Phone ist, wenn man Vertrieblern glauben darf, ein Ladenhüter und Nokia-Phones gehen auch nicht mehr wie geschnitten Brot. Ich verstehe nicht, warum sich eine Kombination der beiden besser verkaufen lassen sollte. Sicher, das ist nur kurz angedacht. Ich lasse mich jedoch gerne positiv überraschen.

Ich hätte mich über eine Konzentration auf MeeGo gefreut. Oder Android auf richtig innovativer Hardware.

Malta: 50 points — EU-Statistik über Installationen von Sicherheits-Software und Infektionshäufigkeit

EUROSTAT hat im Rahmen des gestrigen “Safer Internet Day” eine interessante Statistik veröffentlicht. Man hat dabei unter anderem den Prozentsatz der Rechner mit Sicherheitssoftware der Häufigkeit des Malware-Befalls gegenübergestellt.

Ich war so frei, diese Daten grob aufzubereiten, um mögliche Zusammenhänge erkennbar zu machen. Hier ist das Ergebnis:

Die rote Kurve zeigt den Prozentsatz der Befragten, deren Rechner mindestens eine Infektion erleben musste. Danach habe ich die Werte aufsteigend sortiert. Interessant ist, dass es dabei offenbar erhebliche Unterschiede zwischen den Ländern gibt.

Interessanter finde ich allerdings, dazu im Vergleich die grüne Kurve zu betrachten: Das Vorhandensein von Sicherheits-Software wie z.B. Antivirus-Software und Firewalls. Wie man unschwer erkennt, gibt es kaum einen Zusammenhang zwischen den beiden Kurven, nur mit Mühe kann man sich vorstellen, dass die Infektionshäufigkeit mit der Installation von Sicherheits-Software abnimmt.

Ich sehe da hauptsächlich zwei Erklärungsansätze:

  1. Viren und Trojaner sind in einigen Ländern erfolgreicher gegen Sicherheits-Software als in anderen.
  2. Sicherheits-Software bietet keinen nennenswerten Schutz gegen erfolgreiche Angriffe.

Zu 1: Da Malware wohl keine Landesgrenzen kennt und meist global funktioniert, dürfte es hier keine allzu relevanten Unterschiede geben. Möglicherweise gibt es allerdings Unterschiede im Sicherheitsbewusstsein der Anwender zwischen den Ländern. Aber sind diese Unterschiede z.B. zwischen Frankreich und Österreich wirklich so groß?

Zu 2: Mir fällt es schwer, die Zahlen alleine mit Punkt 1 zu erklären. Wenn z.B. in Malta 91% der Befragten angeben, Sicherheitssoftware zu nutzen, muss man sich fragen, warum trotzdem 50% infiziert wurden.

Zugegeben, das ist rein spekulativ und ein wirklicher Nachweis ist so nicht führbar. Aber die Scheinkausalität entbehrt nicht eines gewissen Reizes.

Neue Zahlen zu Smartphones

Laut einer Analyse von Canalys steigert Android seine Marktanteil in einem Jahr von 8,7% auf 32,9%. Im selben Zeitraum stagnierte der Anteil der verkauften iPhones bei ca. 16% und Microsoft fiel von 7,2% auf 3,1%. MS ist der einzige Anbieter, bei dem die absoluten Verkaufszahlen gefallen sind. Das mag der Einfluss von Windows Mobile 7 sein — möglicherweise haben viele Kunden den Verkaufsstart in Q4 abgewartet. Für Symbian wurde die letzte Runde eingeläutet. Sein Marktanteil fiel von satten 44,4% auf 30,6%. Nokia muss meines Erachtens kurzfristig eine klare, erfolgversprechende Strategie vorstellen, ansonsten ist der Smartphone-Zug final abgefahren.

Wie Ägypten das Internet ausknipste

Die Medien sprechen ja schon von der Facebook-Revolution und ja, ich vermute auch, dass die Social Networks im Fall Ägypten eine Rolle gespielt haben. Sie eignen sich ideal zur Kanalisierung, Kommunikation und Koordination von großen Gruppen — und das ad-hoc, quasi in Echtzeit. Was seinerzeit Flashmobs meist als Spaß demonstriert haben, war der Proof-of-Concept für die spontane Massenmobilisierung.

Offenbar hatten die aktuell unter Druck geratenen bzw. gestürzten Regimes diesen Angriffsvektor (hier wohl im positiven Sinne) nicht auf dem Radar, denn sie haben nur reagiert statt hier präventiv zu handeln. Ich fürchte, dass das anderen Regierungen eine Lehre ist und dass wir nun eine Welle von Internetzensur- und -überwachungsinitiativen rund um den Globus erleben werden. Man sollte das Thema in den kommenden Wochen und Monaten auf dem Schirm haben.

In Tunesien wurden Facebook-Konten gehackt, in Ägypten hat man direkt das Internet abgeschaltet. Aber wie macht man Letzteres?

Wie zu erwarten war, hat Ägypten die Achillesferse des Internet genutzt: BGP. BGP ist und bleibt das schwächste Glied in der globalen Kommunikation. Es ermöglicht das gezielte Umleiten von Traffic, wie es damals Pakistan mit Youtube versucht hat (und auf die Nase gefallen ist) und auch das Ausklinken ganzer Staaten aus dem Netz. Für Netzprovider sind diese Manipulationen von außen leicht zu beobachten, da sich in diesen Fällen die sonst eher zäh-stabile Vernetzung der Autonomen Systeme dann schlagartig ändert.

Einen interessanten Bericht darüber findet man bei Renesys. Wer sich nicht von technischen Details erschrecken lässt, kann auch direkt in die BGP-Updatelogs z.B. bei potaroo.net sehen. Dort sieht man schön, dass z.B. der Ägyptische Provider AS Data (einen Link dorthin spare ich mir, denn AS Data hat sich mit der Aktion natürlich selbst aus dem Netz geschossen) für die fünftstärkste Änderung weltweit in den letzten sieben Tagen verantwortlich ist (zum aktuellen Zeitpunkt). Vom 27. auf den 28. Januar 2011 wurden 2576 ägyptische Routen zurückgezogen. Fast ausschließlich das Netz von Noor ist noch erreichbar. Darüber läuft die Ägyptische Börse. Interessant ist auch, dass SaudiNet schon an Position sieben folgt. Das mag eine politische, kann aber auch rein technische Gründe haben, dass sie hier reagieren mussten.

Ah, wie ich gerade sehe, hat Ripe eine Statusseite zum Thema aufgemacht.

Update: Jetzt fahren sie in Ägypten anscheinend das Fidonet wieder hoch (warning: visual hazard!). Hoffentlich hat noch jemand die Nummern.

Mein SheevaPlug hat aufgegeben

Nachdem das Serverchen geschlagene 14 Monate weitgehend 24/7 ohne weiteres Murren als Experimentier-, Musik- und allgemeiner Fileserver durchlief, häuften sich in letzter Zeit die Zipperlein. Immer öfter gab es spontane Reboots, die ohne jegliche Vorwarnung in den Logs passierten. Die Hardware ist schuld. Inzwischen gibt er nur noch das GBoD, das Green Blinking of Death von sich: Die grüne Status-LED sowie der GBit-Port blinken im Gleichtakt grün und sonst geht nichts mehr.

Das war zu erwarten. Das Netzteil. Das Gerät ist aus einer frühen Serie, bei der Globalscale schlechte Netzteile verbaut hat. Irgendwann knallt es dann und einer der Glättungskondensatoren lässt mal ordentlich Dampf ab.

Dabei hinterlässt er ein ziemlich hässliches Schlachtfeld:

Das ist ärgerlich, aber wie es sich gehört, ersetzt der Distributor NewIT die Netzteile umgehend. Ich bin gespannt. Angeblich lässt sich der Plug auch einfach per USB powern — das werde ich jetzt erst einmal ausprobieren.

© Copyright schulten.net