㈠ 怎樣正確做 Web 應用的壓力測試
你好,一個完整的壓力測試需要關注三個方面:如何正確產生壓力、如何定位瓶頸、如何預估系統的承載能力
(1)
首先說一下如何產生壓力,產生壓力的方法有很多,通常可以寫腳本產生壓力機器人對伺服器進行發包和收包操作,也可以使用現有的工具(像jmeter、LoadRunner這些),所以說產生壓力其實並不難,難點在於產生的壓力是不是真實地反映了實際用戶的操作場景。舉個例子來說,對游戲來說單純的並發登陸場景在整個線上環境中的佔比可能並不大(新開服等特殊情況除外),相反「登陸-開始戰斗-結束戰斗」、不同用戶執行不同動作這種「混合模式」佔了更大的比重。所以如何從實際環境中提煉出具體的場景比重,並且把這種比重轉化成實際壓力是一個重要的關注點。
(2)
產生壓力之後,通常我們可以拿到TPS、響應時延等性能數據,那麼如何定位性能問題呢?TPS、響應時延只能告訴你伺服器是否存在問題,但不能幫助你定位問題。這些表面背後是整個後台處理邏輯綜合作用的結果,這時候可以先關注系統的CPU、內存、IO、網路,對比在tps、時延達到瓶頸時這些系統數據的情況,確定性能問題是系統哪一部分造成的,然後再回到代碼的邏輯中逐個優化這些點。
(3)
當伺服器的整體性能就可以相對穩定下來,這時候就需要對自己伺服器的承載能力有一個預估,通過產生真實壓力、對比系統數據,大致可以對單套系統的處理能力有個真實的評價,然後結合業務規模配置伺服器數量。
㈡ 關於Web系統的壓力測試
壓力測試沒有一個固定的數值,一般憑經驗或客戶要求。
壓力測試不達標一般是2種情況。
1.程序出現異常,大量數據的讀寫可能會出現代碼或資料庫的異常。根據異常的不同修改就是了。
2.效率低下。就是程序不會有問題就是執行時間太長了,這個需要改善就麻煩了,一般從SQL語句上節省資料庫訪問次數,再就是從邏輯上避免多重循環等方法解決。
-------------------------------------------
大公司的話一般設有專門的測試人員,現在這個領域還沒有專門的書籍或標准,基本都時憑借經驗。
㈢ web壓力測試 要測試哪些方面
web壓力測試通過產生真實壓力來發現問題需要關注以下方面:
1、對要測試的系統進行分析,明確需要對哪一塊做壓力測試。比如:淘寶網站雙十一期間,秒殺跟支付,此模式用戶操作中佔比比較大
再比如:游戲,登錄--開始戰斗--結束戰斗這種混合模式在用戶操作中佔比較大
那麼就可以針對這種佔比比較大的模式進行壓力測試
2、明確了要測試的點後,如何對這些測試點進行施壓呢?
第一種方式可以通過寫腳本產生壓力機器人對伺服器進行發包收包操作;
第二種方式就是藉助一些壓力測試工具如:JMeter或LoadRunner
3、如何對這些測試點進行正確的施壓呢?
那麼就需要用壓力測試工具或者其它方法來錄制腳本,模擬用戶的操作
4、對測試點該施加多大的壓力比較合適?該施加多少的數據才能找出系統的瓶頸?
那麼就需要明確壓力測試所限制的數量,即用戶並發量,這里分3種情況來明確:
1)根據上級的明確規定數量,來設定最確大值,然後根據情況往上或往下增減
2)上級未規定,由自己判斷,從1開始慢慢遞增。如:1,5,10,20等等
3)若做過壓力測試,則可以根據上次的壓力測試結果為基數進行測試
5、測試完之後,如何通過這些數據來定位性能問題呢?
雖然通過這些測試結果我們可以得到TPS(吞吐量),平均響應時間等這些數據,可判斷出伺服器是否存在問題,但卻不能定位問題。
㈣ 壓力測試是什麼原理
壓力測試的原理是:
給軟體不斷加壓,強制其在極限的情況下運行,觀察它可以運行到何種程度,從而發現性能缺陷,是通過搭建與實際環境相似的測試環境,通過測試程序在同一時間內或某一段時間內,向系統發送預期數量的交易請求、測試系統在不同壓力情況下的效率狀況,以及系統可以承受的壓力情況。
然後做針對性的測試與分析,找到影響系統性能的瓶頸,評估系統在實際使用環境下的效率情況,評價系統性能以及判斷是否需要對應用系統進行優化處理或結構調整。並對系統資源進行優化。
(4)web壓力測試原理擴展閱讀:
軟體壓力測試是一種基本的質量保證行為,它是每個重要軟體測試工作的一部分。軟體壓力測試的基本思路很簡單:不是在常規條件下運行手動或自動測試,而是在計算機數量較少或系統資源匱乏的條件下運行測試。通常要進行軟體壓力測試的資源包括內部內存、CPU 可用性、磁碟空間和網路帶寬。
負載測試是通過逐步增加系統負載,測試系統性能的變化,並最終確定在滿足性能指標的情況下,系統所能承受的最大負載量的測試。其中還有一種特定類型的負載測試,它是通過逐步增加軟體系統的負載,測試系統性能的變化,並最終確定在什麼負載條件下系統性能處於失效狀態,以此來獲得系統提供的最大服務級別。
並發性能測試通過逐漸增加並發用戶數負載,直到系統的瓶頸或者不能接收的狀態,綜合分析交易執行指標、資源監控指標等來確定系統並發性能的過程。並發性能測試是負載壓力測試的重要內容。
㈤ 如何正確的做WEB端的壓力測試
1、對要測試的系統進行分析,明確需要對哪一塊做壓力測試。比如:淘寶網站雙十一期間,秒殺跟支付,此模式用戶操作中佔比比較大
再比如:游戲,登錄--開始戰斗--結束戰斗這種混合模式在用戶操作中佔比較大
那麼就可以針對這種佔比比較大的模式進行壓力測試
2、明確了要測試的點後,如何對這些測試點進行施壓呢?
第一種方式可以通過寫腳本產生壓力機器人對伺服器進行發包收包操作;
第二種方式就是藉助一些壓力測試工具如:J
㈥ 怎樣正確做 Web 應用的壓力測試
可以看下騰訊wetest的這個壓測工具http://wetest.qq.com/gaps/
通過產生真實壓力來發現問題、結合系統性能來解決問題
㈦ 壓力測試的軟體的基本工作原理是什麼
比較有代表性的一個工具,Loadrunner。
LoadRunner是 Mercury Interactive的一款 性能測試 工具,也是目前應用最為廣泛的性能測試工具之一。該工具通過模擬上千萬用戶實施並發負載,實時性能監控的系統行為和性能方式來確認和查找問題。
一、 LoadRunner 工具組成
1、虛擬用戶腳本生成器:捕獲最終用戶業務流程和創建自動性能測試腳本,即我們在以後說的產生測試腳本;
2、壓力產生器:通過運行虛擬用戶產生實際的負載;
3、用戶代理:協調不同負載機上虛擬用戶,產生步調一致的虛擬用戶;
4、壓力調度:根據用戶對場景的設置,設置不同腳本的虛擬用戶數量;
5、監視系統:監控主要的性能計數器;
6、壓力結果分析工具:本身不能代替分析人員,但是可以輔助測試結果的分析。
二、LoadRunner工具原理
代理(Proxy)是客戶端和伺服器端之間的中介人,LoadRunner就是通過代理方式截獲客戶端和伺服器之間交互的數據流。
1)虛擬用戶腳本生成器通過代理方式接收客戶端發送的數據包,記錄並將其轉發給伺服器端;接收到從伺服器端返回的數據流,記錄並返回給客戶端。
這樣伺服器端和客戶端都以為在一個真實運行環境中,虛擬腳本生成器能通過這種方式截獲數據流;虛擬用戶腳本生成器在截獲數據流後對其進行了協議層上的處理,最終用腳本函數將數據流交互過程體現為我們容易看懂的腳本語句。
2)壓力生成器則是根據腳本內容,產生實際的負載,扮演產生負載的角色。
3)用戶代理是運行在負載機上的進程,該進程與產生負載壓力的進程或是線程協作,接受調度系統的命令,調度產生負載壓力的進程或線程。
4)壓力調度是根據用戶的場景要求,設置各種不同腳本的虛擬用戶數量,設置同步點等。
5)監控系統則可以對 資料庫 、應用伺服器、伺服器的主要性能計數器進行監控。
6)壓力結果分析工具是輔助測試結果分析。
QQ:695210708
㈧ 網站壓力測試原理
壓力測試就是這樣啊,直到測試到系統崩潰就是多少人同時登錄的上限
㈨ 怎樣正確做 Web 應用的壓力測試
一個完整的壓力測試需要關注三個方面:如何正確產生壓力、如何定位瓶頸、如何預估系統的承載能力
(1) 首先說一下如何產生壓力,產生壓力的方法有很多,通常可以寫腳本產生壓力機器人對伺服器進行發包和收包操作,也可以使用現有的工具(像jmeter、LoadRunner這些),所以說產生壓力其實並不難,難點在於產生的壓力是不是真實地反映了實際用戶的操作場景。舉個例子來說,對游戲來說單純的並發登陸場景在整個線上環境中的佔比可能並不大(新開服等特殊情況除外),相反「登陸-開始戰斗-結束戰斗」、不同用戶執行不同動作這種「混合模式」佔了更大的比重。所以如何從實際環境中提煉出具體的場景比重,並且把這種比重轉化成實際壓力是一個重要的關注點。
(2) 產生壓力之後,通常我們可以拿到TPS、響應時延等性能數據,那麼如何定位性能問題呢?TPS、響應時延只能告訴你伺服器是否存在問題,但不能幫助你定位問題。這些表面背後是整個後台處理邏輯綜合作用的結果,這時候可以先關注系統的CPU、內存、IO、網路,對比在tps、時延達到瓶頸時這些系統數據的情況,確定性能問題是系統哪一部分造成的,然後再回到代碼的邏輯中逐個優化這些點。
(3) 當伺服器的整體性能就可以相對穩定下來,這時候就需要對自己伺服器的承載能力有一個預估,通過產生真實壓力、對比系統數據,大致可以對單套系統的處理能力有個真實的評價,然後結合業務規模配置伺服器數量。
㈩ 白帽子講Web安全的前言
在2010年年中的時候,博文視點的張春雨先生找到我,希望我可以寫一本關於雲計算安全的書。當時雲計算的概念正如日中天,但市面上關於雲計算安全應該怎麼做卻缺乏足夠的資料。我由於工作的關系接觸這方面比較多,但考慮到雲計算的未來尚未清晰,以及其他的種種原因,婉拒了張春雨先生的要求,轉而決定寫一本關於Web安全的書。 我對安全的興趣起源於中學時期。當時在盜版市場買到了一本沒有書號的黑客手冊,其中coolfire 的黑客教程令我印象深刻。此後在有限的能接觸到互聯網的機會里,我總會想方設法地尋找一些黑客教程,並以實踐其中記載的方法為樂。
在2000年的時候,我進入了西安交通大學學習。在大學期間,最大的收獲,是學校的計算機實驗室平時會對學生開放。當時上網的資費仍然較貴,父母給我的生活費里,除了留下必要的生活所需費用之外,幾乎全部投入在這里。也是在學校的計算機實驗室里,讓我迅速在這個領域中成長起來。
大學期間,在父母的資助下,我擁有了自己的第一台個人電腦,這加快了我成長的步伐。與此同時,我和一些互聯網上志同道合的朋友,一起建立了一個技術型的安全組織,名字來源於我當時最喜愛的一部動漫:「幻影旅團」。歷經十餘載,「幻影」由於種種原因未能得以延續,但它卻曾以論壇的形式培養出了當今安全行業中非常多的頂尖人才。這也是我在這短短二十餘載人生中的最大成就與自豪。
得益於互聯網的開放性,以及我親手締造的良好技術交流氛圍,我幾乎見證了全部互聯網安全技術的發展過程。在前5年,我投入了大量精力研究滲透測試技術、緩沖區溢出技術、網路攻擊技術等;而在後5年,出於工作需要,我把主要精力放在了對Web安全的研究上。 發生這種專業方向的轉變,是因為在2005年,我在一位摯友的推薦下,加入了阿里巴巴。加入的過程頗具傳奇色彩,在面試的過程中主管要求我展示自己的能力,於是我遠程關閉了阿里巴巴內網上游運營商的一台路由設備,導致阿里巴巴內部網路中斷。事後主管立即要求與運營商重新簽訂可用性協議。
大學時期的興趣愛好,居然可以變成一份正經的職業(當時很多大學都尚未開設網路安全的課程與專業),這使得我的父母很震驚,同時也更堅定了我自己以此作為事業的想法。
在阿里巴巴我很快就嶄露頭角,曾經在內網中通過網路嗅探捕獲到了開發總監的郵箱密碼;也曾經在壓力測試中一瞬間癱瘓了公司的網路;還有好幾次,成功獲取到了域控伺服器的許可權,從而可以以管理員的身份進入任何一位員工的電腦。
但這些工作成果,都遠遠比不上那厚厚的一摞網站安全評估報告讓我更有成就感,因為我知道,網站上的每一個漏洞,都在影響著成千上萬的用戶。能夠為百萬、千萬的互聯網用戶服務,讓我倍感自豪。當時,Web正在逐漸成為互聯網的核心,Web安全技術也正在興起,於是我義無返顧地投入到對Web安全的研究中。
我於2007年以23歲之齡成為了阿里巴巴集團最年輕的技術專家。雖未有官方統計,但可能也是全集團里最年輕的高級技術專家,我於2010年獲此殊榮。在阿里巴巴,我有幸見證了安全部門從無到有的建設過程。同時由於淘寶、支付寶草創,尚未建立自己的安全團隊,因此我有幸參與了淘寶、支付寶的安全建設,為他們奠定了安全開發框架、安全開發流程的基礎。 當時,我隱隱地感覺到了互聯網公司安全,與傳統的網路安全、信息安全技術的區別。就如同開發者會遇到的挑戰一樣,有很多問題,不放到一個海量用戶的環境下,是難以暴露出來的。由於量變引起質變,所以管理10台伺服器,和管理1萬台伺服器的方法肯定會有所區別;同樣的,評估10名工程師的代碼安全,和評估1000名工程師的代碼安全,方法肯定也要有所不同。
互聯網公司安全還有一些鮮明的特色,比如注重用戶體驗、注重性能、注重產品發布時間,因此傳統的安全方案在這樣的環境下可能完全行不通。這對安全工作提出了更高的要求和更大的挑戰。
這些問題,使我感覺到,互聯網公司安全可能會成為一門新的學科,或者說應該把安全技術變得更加工業化。可是我在書店中,卻發現安全類目的書,要麼是極為學術化的(一般人看不懂)教科書,要麼就是極為娛樂化的(比如一些「黑客工具說明書」類型的書)說明書。極少數能夠深入剖析安全技術原理的書,以我的經驗看來,在工業化的環境中也會存在各種各樣的問題。
這些問題,也就促使我萌發了一種寫一本自己的書,分享多年來工作心得的想法。它將是一本闡述安全技術在企業級應用中實踐的書,是一本大型互聯網公司的工程師能夠真正用得上的安全參考書。因此張春雨先生一提到邀請我寫書的想法時,我沒有做過多的思考,就答應了。
Web是互聯網的核心,是未來雲計算和移動互聯網的最佳載體,因此Web安全也是互聯網公司安全業務中最重要的組成部分。我近年來的研究重心也在於此,因此將選題范圍定在了Web安全。但其實本書的很多思路並不局限於Web安全,而是可以放寬到整個互聯網安全的方方面面之中。
掌握了以正確的思路去看待安全問題,在解決它們時,都將無往而不利。我在2007年的時候,意識到了掌握這種正確思維方式的重要性,因此我告知好友:安全工程師的核心競爭力不在於他能擁有多少個0day,掌握多少種安全技術,而是在於他對安全理解的深度,以及由此引申的看待安全問題的角度和高度。我是如此想的,也是如此做的。
因此在本書中,我認為最可貴的不是那一個個工業化的解決方案,而是在解決這些問題時,背後的思考過程。我們不是要做一個能夠解決問題的方案,而是要做一個能夠「漂亮地」解決問題的方案。這是每一名優秀的安全工程師所應有的追求。 然而在當今的互聯網行業中,對安全的重視程度普遍不高。有統計顯示,互聯網公司對安全的投入不足收入的百分之一。
在2011年歲末之際,中國互聯網突然捲入了一場有史以來最大的安全危機。12月21日,國內最大的開發者社區CSDN被黑客在互聯網上公布了600萬注冊用戶的數據。更糟糕的是,CSDN在資料庫中明文保存了用戶的密碼。接下來如同一場盛大的交響樂,黑客隨後陸續公布了網易、人人、天涯、貓撲、多玩等多家大型網站的資料庫,一時間風聲鶴唳,草木皆兵。
這些數據其實在黑客的地下世界中已經輾轉流傳了多年,牽扯到了一條巨大的黑色產業鏈。這次的偶然事件使之浮出水面,公之於眾,也讓用戶清醒地認識到中國互聯網的安全現狀有多麼糟糕。
以往類似的事件我都會在博客上說點什麼,但這次我保持了沉默。因為一來知道此種狀況已經多年,網站只是在為以前的不作為而買單;二來要解決「拖庫」的問題,其實是要解決整個互聯網公司的安全問題,遠非保證一個資料庫的安全這么簡單。這不是通過一段文字、一篇文章就能夠講清楚的。但我想最好的答案,可以在本書中找到。
經歷這場危機之後,希望整個中國互聯網,在安全問題的認識上,能夠有一個新的高度。那這場危機也就物有所值,或許還能藉此契機成就中國互聯網的一場安全啟蒙運動。
這是我的第一本書,也是我堅持自己一個人寫完的書,因此可以在書中盡情地闡述自己的安全世界觀,且對書中的任何錯漏之處以及不成熟的觀點都沒有可以推卸責任的借口。
由於工作繁忙,寫此書只能利用業余時間,交稿時間多次推遲,深感寫書的不易。但最終能成書,則有賴於各位親朋的支持,以及編輯的鼓勵,在此深表感謝。本書中很多地方未能寫得更為深入細致,實乃精力有限所致,尚請多多包涵。 在安全圈子裡,素有「白帽」、「黑帽」一說。
黑帽子是指那些造成破壞的黑客,而白帽子則是研究安全,但不造成破壞的黑客。白帽子均以建設更安全的互聯網為己任。
我於2008年開始在國內互聯網行業中倡導白帽子的理念,並聯合了一些主要互聯網公司的安全工程師,建立了白帽子社區,旨在交流工作中遇到的各種問題,以及經驗心得。
本書名為《白帽子講Web安全》,即是站在白帽子的視角,講述Web安全的方方面面。雖然也剖析攻擊原理,但更重要的是如何防範這些問題。同時也希望「白帽子」這一理念,能夠更加的廣為人知,為中國互聯網所接受。 全書分為4大篇共18章,讀者可以通過瀏覽目錄以進一步了解各篇章的內容。在有的章節末尾,還附上了筆者曾經寫過的一些博客文章,可以作為延伸閱讀以及本書正文的補充。
第一篇 我的安全世界觀是全書的綱領。在此篇中先回顧了安全的歷史,然後闡述了筆者對安全的看法與態度,並提出了一些思考問題的方式以及做事的方法。理解了本篇,就能明白全書中所涉及的解決方案在抉擇時的取捨。
第二篇 客戶端腳本安全就當前比較流行的客戶端腳本攻擊進行了深入闡述。當網站的安全做到一定程度後,黑客可能難以再找到類似注入攻擊、腳本執行等高風險的漏洞,從而可能將注意力轉移到客戶端腳本攻擊上。
客戶端腳本安全與瀏覽器的特性息息相關,因此對瀏覽器的深入理解將有助於做好客戶端腳本安全的解決方案。
如果讀者所要解決的問題比較嚴峻,比如網站的安全是從零開始,則建議跳過此篇,先閱讀下一篇「伺服器端應用安全」,解決優先順序更高的安全問題。
第三篇 伺服器端應用安全就常見的伺服器端應用安全問題進行了闡述。這些問題往往能引起非常嚴重的後果,在網站的安全建設之初需要優先解決這些問題,避免留下任何隱患。
第四篇 互聯網公司安全運營提出了一個大安全運營的思想。安全是一個持續的過程,最終仍然要由安全工程師來保證結果。
在本篇中,首先就互聯網業務安全問題進行了一些討論,這些問題對於互聯網公司來說有時候會比漏洞更為重要。
在接下來的兩章中,首先闡述了安全開發流程的實施過程,以及筆者積累的一些經驗。然後談到了公司安全團隊的職責,以及如何建立一個健康完善的安全體系。
本書也可以當做一本安全參考書,讀者在遇到問題時,可以挑選任何所需要的章節進行閱讀。 感謝我的妻子,她的支持是對我最大的鼓勵。本書最後的成書時日,是陪伴在她的病床邊完成的,我將銘記一生。
感謝我的父母,是他們養育了我,並一直在背後默默地支持我的事業,使我最終能有機會在這里寫下這些話。
感謝我的公司阿里巴巴集團,它營造了良好的技術與實踐氛圍,使我能夠有今天的積累。同時也感謝在工作中一直給予我幫助和鼓勵的同事、上司,他們包括但不限於:魏興國、湯城、劉志生、侯欣傑、林松英、聶萬全、謝雄欽、徐敏、劉坤、李澤洋、肖力、葉怡愷。
感謝季昕華先生為本書作序,他一直是所有安全工作者的楷模與學習的對象。
也感謝博文視點的張春雨先生以及他的團隊,是他們的努力使本書最終能與廣大讀者見面。他們的專業意見給了我很多的幫助。
最後特別感謝我的同事周拓,他對本書提出了很多有建設性的意見。
吳翰清
2012年1月於杭州