http://www.symantec.com/connect/articles/detection-sql-injection-and-cross-site-scripting-attacks
在这两年中,安全专家应该对网l应用层的攻?yn)L加重视。因为无Z有多强壮的防 火墙规则讄或者非常勤于补漏的修补机制Q如果你的网l应用程序开发者没有遵循安全代码进行开发,d者将通过80端口q入你的pȝ。广泛被使用的两个主 要攻?yn)L术是SQL注入[ref1]和CSS[ref2]d。SQL注入是指Q通过互联|的输入区域Q插入SQL meta-charactersQ特D字W? 代表一些数据)(j)和指令,操纵执行后端的SQL查询的技术。这些攻M要针对其他组l的WEB服务器。CSSd通过在URL里插入script标签Q然? 诱导信Q它们的用L(fng)d们,保恶意Javascript代码在受害h的机器上q行。这些攻d用了(jin)用户和服务器之间的信dp,事实上服务器没有对输 入、输?gu)行检,从而未拒绝javascript代码?/p>
q篇文章讨论SQL注入和CSSd漏洞的检技术。网上已l有很多关于q两U基于WEBd的讨论,比如如何实施dQ他们的影响Q怎样更好的编 制和设计E序防止q些d?然? 对如何检这些攻dƈ没有_的讨论。我们采用流行的开源的IDS Snort[ref 3],l徏Ҏ(gu)?hu)(g)这些攻ȝ规则的正则表辑ּ。附带,Snort默认规则讑֮包含(g)CSS的方法,但是q些Ҏ(gu)被避开(g)。比如大多通过hexq制~? ??3C%73%63%72%69%70% 74%3E代替<script>避开(g)?/p>
依赖level of paranoial织的能力,我们已经~写?jin)多U检相同攻ȝ规则。如果你希望(g)各U可能的SQL注入dQ那么你需要简单的留意M现行的SQL meta-charactersQ如单引P分号和双重破折号。同L(fng)一个极端检CSSd的方法,只要单地提防HTML标记的角括号。但q样?x)检? 出很多错误。ؓ(f)?jin)避免这些,q些规则需要修改它检更_? 当仍然不能避免错误?/p>
在Snort规则中用pcre(Perl Compatible Regular Expressions)[ref4]关键字,每个规则可以带或不带其他规则动作。这些规则也可以被公用Y件如grep(文档搜烦(ch)工具)使用Q来审阅|络 服务器日志?但是,需要警惕的是,用户的输入只有当以GET提交hӞW(xu)EB服务器才?x)记录日?如果是以POST提交的请求在日记中是不会(x)记录的?/p>
2. SQL注入的正则表C式
? 你ؓ(f)SQL注入d选择正则表示式的时候,重点要记住攻击者可以通过提交表单q行SQL注入Q也可以通过Cookie区域。你的输入检逻辑应该考虑用户 l织的各cd输入(比如表单或Cookie信息)。ƈ且如果你发现许多警告来自一个规则,L(fng)意单引号或者是分号Q也怺字符是你的Web应用E序创造的 合法的在CookieS中的输入。因? (zhn)需要根据你的特D的WEB应用E序评估每个规则?/p>
依照前面提到Q一个琐l的(g)SQL入d的正则表辑ּ要留意SQLҎ(gu)的meta-characters 譬如单引?’)双重扩则?--),Z(jin)查出q些字符和他们hex{值数, 以下正则表达式适用:
2.1 (g)SQL meta-characters的正则表辑ּ
/(\%27)|(’)|(--)|(\%23)|(#)/ix
解释:
?们首先检查单引号{值的hexQ单引号本n或者双重扩折号。这些是MS SQL Server或Oracle的字W? 表示后边的ؓ(f)评论,
随后的都被忽略?另外Q如果你使用MySQL,你需要留?’#’和它{值的hex的出现。注意我们不需要检查双重破折号{值的hex,
因ؓ(f)q不是HTML meta-character, 览器不?x)进行编码?q且,
如果d者设法手工修改双重破折号为它的hex?2D(使用代理像Achilles[ref 5]), SQL注入失败?
加入上述正则表达式的新的Snort规则如下:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - Paranoid"; flow:to_server,established;uricontent:".pl";pcre:"/(\%27)|(’)|(--)|(%23)|(#)/i"; classtype:Web-application-attack; sid:9099; rev:5;)
在本讨Z, uricontent关键字的gؓ(f)".pl ", 因ؓ(f)在我们的试环境? CGI E序是用Perl写的。uricontent关键字的值取决于(zhn)的Ҏ(gu)应用, q个g许是".php ", ? .asp ", ? .jsp ", {?从这点考虑, 我们不显C对应的Snort 规则, 但是我们?x)给出创造这些规则的正则表达式? 通过q些正则表达式你可以很简单的创造很多的Snort规则.在前面的正则表达式里, 我们(g)双重破折号是因为:(x)即便没有单引L(fng)存在那里也可能是SQL入点[ref 6]?例如, SQL查询条目只包含数|如下:
select value1, value2, num_value3 from database
where num_value3=some_user_supplied_number
q种情况Q攻击者可以执行额外的SQL查询, C提交如下输入:
3; insert values into some_other_table
最? pcre的修饰符’ i’ ?#8217; x ’ 是用于分别匹配大写和忽略空白处的? 上面的规则也可以另外扩展来检查分L(fng)存在。然而,分号很可以是正常HTTP应答的一部分。ؓ(f)?jin)减这U错误,也是Z(jin)M正常的单引号和双重扩折号的出 玎ͼ上面的规则应该被修改成先(g)=L(fng)存。用戯入会(x)响应一个GET或POSThQ一般输入提交如下:(x)
username=some_user_supplied_value&password=some_user_supplied_value
因此, SQL 注入试导致用L(fng)输入出现在a = h它等效的hexg后?/p>
2.2 修正(g)SQL meta-characters的正则表辑ּ
/((\%3D)|(=))[^ ]*((\%27)|(’)|(--)|(\%3B)|(:))/i
解释:
q个规则首先留意 = h它的hex?%3D)Q然后考虑零个或多个除换行W以外的L字符Q最后检单引号Q双重破折号或分受?/p>
典型的SQL注入?x)尝试围l单引号的用途操作原来的查询Q以便得到有用的价倹{讨个攻M般?’or’1’=’1字符? 但是, q个串的侦查很容易被逃避Q譬如用1’or2>1 --. 然而唯一恒定的部分是最初的字符的|跟随一单引P再加’or’。随后的布尔逻辑可能在一定范围上变化Q可以是普通样式也可能是非常复杂的。这些攻d 以相当精被侦测Q通过以下的正则表辑ּ?.3章节讲解?/p>
2.3 典型?SQL 注入d的正则表辑ּ
/w*((\%27)|(’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix
解释:
w* - 零个或多个字W或者下划线?
(\%27)|’ - 单引h它的hex{倹{?
(\%6 F)|o|(\%4 F))((\%72)|r|-(\%52) Q?#8216;or’的大写以及(qing)它的hex{倹{?/p>
union’SQL 查询在SQL注入各种数据库中d中同h很常见的。如果前面的正则表达式仅仅检单引号或则其他的SQL meta characters Q会(x)造成很多的错误存在。你应该q一步修Ҏ(gu)询,(g)单引号和关键字‘union’。这同样可以q一步扩展其他的SQL关键字,?#8217;select’, ’insert’, ’update’, ’delete’, {等?/p>
2.4 (g)SQL注入QUNION查询关键字的正则表达?/strong>
/((\%27)|(’))union/ix
(\%27)|(’) - 单引号和它的hex{?
union - union关键?/p>
可以同样为其他SQL查询定制表达式,?>select, insert, update, delete, drop, {等.
如果Q到q个阶段Q攻击者已l发现web应用E序存在SQL注入漏洞Q他尝试利用它。如果他认识到后端服务器式MS SQL serverQ他一般会(x)试q行一些危险的储存和扩展储存过E。这些过E一般以‘sp’?#8216;xp’字母开头。典型的Q他可能试q行 ‘xp_cmdshell’扩展储存q程Q通过SQL Server执行W(xu)indows 命o(h)Q。SQL服务器的SA权限有执行这些命令的权限。同样他们可以通过xp_regread, xp_regwrite{储存过E修Ҏ(gu)册表?/p>
2.5 (g)MS SQL Server SQL注入d的正则表辑ּ
/exec(s|+)+(s|x)pw+/ix
解释:
exec - h执行储存或扩展储存过E的关键?
(s|+)+ - 一个或多个的空白或它们的http{值编?
(s|x) p- ‘sp’?#8216;xp’字母用来辨认储存或扩展储存过E?
w+ - 一个或多个字符或下划线来匹配过E的名称
3. 跨站脚本(CSS)的正则表辑ּ
当发动CSSd或检一个网站漏z的时? d者可能首先ɽ单的HTML标签?lt;b>(_体),<i>(斜体)?lt;u>(下划U?Q或者他可能试单的 script标签?lt;script>alert("OK")</script>. 因ؓ(f)大多数出版物和网l传播的(g)网站是否有css漏洞都拿q个作ؓ(f)例子。这些尝试都可以很简单的被检出来? 然而,高明点的d者可能用它的hex值替换整个字W串。这?lt;script>标签?x)?3C%73%63%72%69%70%74%3E? 现? 另一斚wQ攻击者可能用web代理服务器像Achilles?x)自动{换一些特D字W如<换成%3C?gt;换成%3E.q样d发生ӞURL 中通常以hex{g替角括号?/p>
下列正则表达式将(g)Q何文本中包含的html?lt;?gt;。它?yu)捉住试图?lt; b>?lt;u>、或<script>。这正则表达式应该忽略大写。我们需要同时检角括号和它的hex{?% 3C|<)。检hexq制转化的整个字W串Q我们必L用戯入的数字?P即用[a-z0-9%] 。这可能?x)导致一些错误出玎ͼ不是大部分会(x)(g)到真实d的?/p>
3.1 一?CSS d的正则表辑ּ
/((\%3C)|<)((\%2F)|/)*[a-z0-9\%]+((\%3E)|>)/ix
解释:
((\%3C)|<) Q检?lt;和它hex{?
((\%2F)|/)*Q结束标{?或它?hex{?
[a-z0-9\%]+ Q检查标{N的字母或它hex{?
((\%3E)|>) Q检?gt;或它的hex{?/p>
Snort 规则:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"NII
Cross-site scripting attempt"; flow:to_server,established;
pcre:"/((\%3C)|<)((\%2F)|/)*[a-z0-9\%]+((\%3E)|>)/i";
classtype:Web-application-attack; sid:9000; rev:5;)
跨站脚本同样可以使用<img src=>技术。现行默认的snort规则可以被轻易避开?/p>
3.2章节提供?jin)防止这U技术的Ҏ(gu)?/strong>
3.2 "<img src" CSS d正则表达?/p>
/((\%3C)|<)((\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47))[^ ]+((\%3E)|>)/I
解释:
(\%3 C)|<) -<或它的hex{?
(\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47)
-’img’字母或它的大写hex{值的变化l合
[^ ]+ -除了(jin)换行W以外的M跟随<img的字W?
(\%3E)|>) ->或它的hex{?/p>
3.3 CSS d的极端的正则表达?/p>
/((\%3C)|<)[^ ]+((\%3E)|>)/I
解释:
q个规则单寻?lt;+除换行符外的M字符+>。由于你的web服务器和web应用E序的构Ӟq个规则可能产生一些错误。但它能保证 捉住MCCS或者类似CSS的攻凅R?/p>
ȝ:
? q篇文章中,我们提出?jin)不同种cȝ正则表达式规则来(g)SQL注入和跨站脚本攻凅R有些规则简单而极端,一个潜在的d都将提高警惕。但q些极端的规则可 能导致一些主动的错误。考虑到这点,我们修改?jin)这些简单的规则Q利用了(jin)另外的样式,他们可以(g)查的更准些。在q些|络应用成的d(g)中Q我们推荐将q? 些作试你I(yng)DS或日志分析方法的L(fng)。再l过几次修改后,在你Ҏ(gu)常网交易部分的非恶意应答q行评估以后Q你应该可以准备的检那些攻M(jin)?strong>
q篇是翻译老外的文章,css 跨站d只需qo(h)掉html括号即可,擦,又被专家们忽(zhn)了(jin)Q网上盛传的
完整的XSS wrom安全(g)实例示范,W一ơ就把标记对都过滤了(jin)Q下面竟然还用标记测试,啥逻辑Q我只想知道是怎么成功的,搞笑Q误?/p>
]]>
]]>
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/**
* 用于的 Browser 不缓存页面的qo(h)?br />
*/
public class ForceNoCacheFilter implements Filter {
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException
{
((HttpServletResponse) response).setHeader("Cache-Control","no-cache");
((HttpServletResponse) response).setHeader("Pragma","no-cache");
((HttpServletResponse) response).setDateHeader ("Expires", -1);
filterChain.doFilter(request, response);
}
public void destroy()
{
}
public void init(FilterConfig filterConfig) throws ServletException
{
}
}
二、检用h否登陆的qo(h)?/p>
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.util.List;
import java.util.ArrayList;
import java.util.StringTokenizer;
import java.io.IOException;
/**
* 用于(g)用h否登陆的qo(h)器,如果未登录,则重定向到指的登录页?lt;p>
* 配置参数<p>
* checkSessionKey 需(g)查的?Session 中保存的关键?lt;br/>
* redirectURL 如果用户未登录,则重定向到指定的面QURL不包?ContextPath<br/>
* notCheckURLList 不做(g)查的URL列表Q以分号分开Qƈ?URL 中不包括 ContextPath<br/>
*/
public class CheckLoginFilter
implements Filter
{
protected FilterConfig filterConfig = null;
private String redirectURL = null;
private List notCheckURLList = new ArrayList();
private String sessionKey = null;
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException
{
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
HttpSession session = request.getSession();
if(sessionKey == null)
{
filterChain.doFilter(request, response);
return;
}
if((!checkRequestURIIntNotFilterList(request)) && session.getAttribute(sessionKey) == null)
{
response.sendRedirect(request.getContextPath() + redirectURL);
return;
}
filterChain.doFilter(servletRequest, servletResponse);
}
public void destroy()
{
notCheckURLList.clear();
}
private boolean checkRequestURIIntNotFilterList(HttpServletRequest request)
{
String uri = request.getServletPath() + (request.getPathInfo() == null ? "" : request.getPathInfo());
return notCheckURLList.contains(uri);
}
public void init(FilterConfig filterConfig) throws ServletException
{
this.filterConfig = filterConfig;
redirectURL = filterConfig.getInitParameter("redirectURL");
sessionKey = filterConfig.getInitParameter("checkSessionKey");
String notCheckURLListStr = filterConfig.getInitParameter("notCheckURLList");
if(notCheckURLListStr != null)
{
StringTokenizer st = new StringTokenizer(notCheckURLListStr, ";");
notCheckURLList.clear();
while(st.hasMoreTokens())
{
notCheckURLList.add(st.nextToken());
}
}
}
}
三、字W编码的qo(h)?/p>
import javax.servlet.*;
import java.io.IOException;
/**
* 用于讄 HTTP h字符~码的过滤器Q通过qo(h)器参数encoding指明使用何种字符~码,用于处理Html Formh参数的中文问?br />
*/
public class CharacterEncodingFilter
implements Filter
{
protected FilterConfig filterConfig = null;
protected String encoding = "";
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException
{
if(encoding != null)
servletRequest.setCharacterEncoding(encoding);
filterChain.doFilter(servletRequest, servletResponse);
}
public void destroy()
{
filterConfig = null;
encoding = null;
}
public void init(FilterConfig filterConfig) throws ServletException
{
this.filterConfig = filterConfig;
this.encoding = filterConfig.getInitParameter("encoding");
}
}
四、资源保护过滤器
package catalog.view.util; import javax.servlet.Filter; import javax.servlet.FilterConfig; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.util.Iterator; import java.util.Set; import java.util.HashSet; // import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactory; /** * This Filter class handle the security of the application. ** It should be configured inside the web.xml. * * @author Derek Y. Shen */ public class SecurityFilter implements Filter { //the login page uri private static final String LOGIN_PAGE_URI = "login.jsf"; //the logger object private Log logger = LogFactory.getLog(this.getClass()); //a set of restricted resources private Set restrictedResources; /** * Initializes the Filter. */ public void init(FilterConfig filterConfig) throws ServletException { this.restrictedResources = new HashSet(); this.restrictedResources.add("/createProduct.jsf"); this.restrictedResources.add("/editProduct.jsf"); this.restrictedResources.add("/productList.jsf"); } /** * Standard doFilter object. */ public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { this.logger.debug("doFilter"); String contextPath = ((HttpServletRequest)req).getContextPath(); String requestUri = ((HttpServletRequest)req).getRequestURI(); this.logger.debug("contextPath = " + contextPath); this.logger.debug("requestUri = " + requestUri); if (this.contains(requestUri, contextPath) && !this.authorize((HttpServletRequest)req)) { this.logger.debug("authorization failed"); ((HttpServletRequest)req).getRequestDispatcher(LOGIN_PAGE_URI).forward(req, res); } else { this.logger.debug("authorization succeeded"); chain.doFilter(req, res); } } public void destroy() {} private boolean contains(String value, String contextPath) { Iterator ite = this.restrictedResources.iterator(); while (ite.hasNext()) { String restrictedResource = (String)ite.next(); if ((contextPath + restrictedResource).equalsIgnoreCase(value)) { return true; } } return false; } private boolean authorize(HttpServletRequest req) { //处理用户d /* UserBean user = (UserBean)req.getSession().getAttribute(BeanNames.USER_BEAN); if (user != null && user.getLoggedIn()) { //user logged in return true; } else { return false; }*/ } }
]]>
1、通过跨站漏洞Cַ?jin)几个管理员Q获得JIRAQ一个项目管理程序)(j)后台理权限Qƈ修改相关讄Q上传jsp木马?br />
2、在后台看到其他用户的帐P通过登陆入口暴力跑密码,破解?jin)几百个帐号?br />
官方说是“At the same time as the XSS attack”Q我不这么认为,我认为是获取后台之后Q能看到帐号?jin),才可以高效率的破解密码。如果不通过后台可以破解几百个帐号Q那q个事情早就发生?jin)?br />
3、部|了(jin)一个JARQ可以记录登陆帐号及(qing)密码Q然后用JIRA的系l发邮glapache的管理h员说Q?#8220;JIRA出现故障?jin),请你使用邮g里的临时密码登陆Qƈ修改密码”Q相关h员登陆了(jin)Qƈ把密码修Ҏ(gu)自己常用的密码,当然Q这些密码都被记录下来了(jin) Q)(j)
4、正如黑客所计的,上述被记录的密码中,有密码可以登陆brutus.apache.orgQ更让黑客开?j)和省?j)的是Q这个可以登陆的帐号竟然具备完全的sodu权限Q提权都不用提了(jin)Q直接就是rootQ真是爽的一塌糊涂啊。而这个被root的brutus.apache.org上面跑着JIRA、Confluence和Bugzilla?br />
5、brutus.apache.org上的部分用户保存?sh)(jin)subversion的密码,黑客用这些密码登陆了(jin)people.apache.orgQ但是ƈ没获得其他权限。这个people.apache.org可是apache的主服务器之一Q如果root?jin)这个机器,那基本可以获得所有apache主要人员的密码了(jin)。可惜,黑客们功亏一?br />
整个故事到此l束Q下面说说Apache是如何发现自p入R的?br />
Ҏ(gu)a(chn)pache官方的描q?#8220;About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”Q我猜测apache是因为黑客重设了(jin)用户密码q个行ؓ(f)才发现被入R的?br />
如果说的是黑客重讄是JIRA的密码,那么是因ؓ(f)黑客做戏没做_套导致的Q可能apache理人员?sh)去看之后,发现没啥问题Q被忽?zhn)了(jin)?br />
如果说的是黑客重讑օ他密码,我想不到整个q程中还需要重设什么其他的密码?br />
我还是对apache的安全措施非常好奇,到底是如何发现的Q到底是相关人员安全敏感度高呢,q是黑客留下?jin)一些痕q被安全(g)查措施发C(jin)。如果是后者的话,(g)查周期又是多长呢Q?4时Q?br />
l验教训Q?br />
回头再看看黑客的整个dq程Q素包子怿在细节上?x)有很多可以吸取教训的地斏V从长远来看Q可以加强安全意识培训、实施SDL安全开发生命周期、日志集中分析、主机入侉|系l等{,q些都是需要企业的安全部门长期投入d的事情;相对短^快的Ҏ(gu)是要求重要的人员、重要的应用、重要的pȝ使用双因素动态密码认证?br />
]]>
目前没有证据表明有Gmail用户的密码被盗。Google公司斚w表示Q在受到d数小时后Q公司就ȀzM(jin)Gmail新的加密层,而且加强?jin)数?中心(j)的安全性,q进一步加Z(jin)其网上服务与用户计算Z间通信q接的安全。但是,有安全分析h员指出,d者在d?jin)内部密码系l之后,有可能在Gaia pȝ和Google全球数据中心(j)中安装木马,只不q在Google的安全专家获知受d之后Q这变得非常困难。另外,d者在获取?jin)系l的源代码ƈ?jin)解?pȝq作机理之后Q也有可能(虽然可能性不大)(j)发现Googleq(sh)知道的安全漏z,q种隐?zhn)很o(h)安全专家头痛?/p>
文中q解释了(jin)此次Google所受攻ȝ详细q程Q?/p>
1. d者首先通过微YMSNl一个Google中国的员工A发去一条即时消息?/p>
2. q个员工在不知情的情况下点击?jin)其中的|址Qƈ讉K?#8220;已污染的”|站Qd者获得了(jin)讉KA使用的计机的权限?/p>
3. d者由此访问了(jin)Google公司的内部目录系l(名ؓ(f)MomaQ,其中保存着所有Google员工的工作情况,包括具体员工的信息?/p>
4. 在查扑ֈ?jin)位于Google国总部的Gaia软g开发者的名字之后Q他们而首先尝试访问开发者的工作?sh)脑?/p>
5. 然后使用?jin)一q串复杂的技术获取了(jin)Gaiapȝ源代码库的访问权限?/p>
6. 接下来,他们把偷到的软g传输C计算服务提供商Rackspace的计机上,此后再传到哪里,׃再ؓ(f)人所知?/p>
文中_(d)Gaiapȝ目前仍然在用,现在的正式名U被UCؓ(f)Single Sign-On?/p>
本周一Google的高拒l对此进行评论,说其中暴露的安全问题早已l解冟?/p>
有安全专家表C,新的dl节很可能增加h们对云计安全的担心(j)。由于v量的信息现在被相寚w中存攑֜一些计机pȝ中,单点被攻破就可能带来N 性的损失?/p>
//在测试会(x)话中所执行的请求个数。默认时Q仅执行一个请?/font>
-c concurrency Number of multiple requests to make
//一ơ生的h个数。默认是一ơ一个?
-t timelimit Seconds to max. wait for responses
//试所q行的最大秒数。其内部隐含值是-n 50000。它可以使对服务器的试限制在一个固定的L间以内。默认时Q没有时间限制?br /> -p postfile File containing data to POST
//包含?jin)需要POST的数据的文g.
-T content-type Content-type header for POSTing
//POST数据所使用的Content-type头信息?/font>
-v verbosity How much troubleshooting info to print
//讄昄信息的详l程?- 4或更大g(x)昄头信息, 3或更大值可以显C响应代?404, 200{?, 2或更大值可以显C告和其他信息?-V 昄版本号ƈ退出?br /> -w Print out results in HTML tables
//以HTML表的格式输出l果。默认时Q它是白色背景的两列宽度的一张表?br /> -i Use HEAD instead of GET
// 执行HEADhQ而不是GET?/font>
-x attributes String to insert as table attributes
//
-y attributes String to insert as tr attributes
//
-z attributes String to insert as td or th attributes
//
-C attribute Add cookie, eg. 'Apache=1234. (repeatable)
//-C cookie-name=value 对请求附加一个Cookie:行?其典型Ş式是name=value的一个参数对。此参数可以重复?/font>
-H attribute Add Arbitrary header line, eg. 'Accept-Encoding: gzip'
Inserted after all normal header lines. (repeatable)
-A attribute Add Basic WWW Authentication, the attributes
are a colon separated username and password.
-P attribute Add Basic Proxy Authentication, the attributes
are a colon separated username and password.
//-P proxy-auth-username:password 对一个中转代理提供BASIC认证信Q。用户名和密码由一?隔开Qƈ以base64~码形式发送。无论服务器是否需?? 是否发送了(jin)401认证需求代?Q此字符串都?x)被发送?/font>
-X proxy:port Proxyserver and port number to use
-V Print version number and exit
-k Use HTTP KeepAlive feature
-d Do not show percentiles served table.
-S Do not show confidence estimators and warnings.
-g filename Output collected data to gnuplot format file.
-e filename Output CSV file with percentages served
-h Display usage information (this message)
//-attributes 讄 属性的字符? ~陷E序中有各种?rn)态声明的固定长度的缓冲区。另外,对命令行参数、服务器的响应头和其他外部输入的解析也很单,q可能会(x)有不良后果。它没有完整地实现HTTP/1.x; 仅接受某?预想'的响应格式?strstr(3)的频J用可能会(x)带来性能问题Q即, 你可能是在测试ab而不是服务器的性能?
参数很多,一般我们用 -c ?-n 参数可以了(jin). 例如:
./ab -c 1000 -n 1000 http://127.0.0.1/index.php
q个表示同时处理1000个请求ƈq行1000ơindex.php文g.
#/usr/local/xiaobai/apache2054/bin/ab -c 1000 -n 1000 http://127.0.0.1/index.html.zh-cn.gb2312
This is ApacheBench, Version 2.0.41-dev <$Revision: 1.121.2.12 $> apache-2.0
Copyright (c) 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Copyright (c) 1998-2002 The Apache Software Foundation, http://www.apache.org/
Benchmarking 127.0.0.1 (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Completed 400 requests
Completed 500 requests
Completed 600 requests
Completed 700 requests
Completed 800 requests
Completed 900 requests
Finished 1000 requests
Server Software: Apache/2.0.54
//q_apache 版本2.0.54
Server Hostname: 127.0.0.1
//服务器主机名
Server Port: 80
//服务器端?/font>
Document Path: /index.html.zh-cn.gb2312
//试的页面文?/font>
Document Length: 1018 bytes
//文档大小
Concurrency Level: 1000
//q发?br />
Time taken for tests: 8.188731 seconds
//整个试持箋(hu)的时?/font>
Complete requests: 1000
//完成的请求数?/font>
Failed requests: 0
//p|的请求数?/font>
Write errors: 0
Total transferred: 1361581 bytes
//整个场景中的|络传输?/font>
HTML transferred: 1055666 bytes
//整个场景中的HTML内容传输?br />
Requests per second: 122.12 [#/sec] (mean)
//大家最兛_(j)的指标之一Q相当于 LR 中的 每秒事务?/span> Q后面括号中?/span> mean 表示q是一个^均?/span>
Time per request: 8188.731 [ms] (mean)
//大家最兛_(j)的指标之二,相当?/span> LR 中的 q_事务响应旉 Q后面括号中?/span> mean 表示q是一个^均?/span>
Time per request: 8.189 [ms] (mean, across all concurrent requests)
//每个h实际q行旉的^均?/font>
Transfer rate: 162.30 [Kbytes/sec] received
//q_每秒|络上的量Q可以帮助排除是否存在网l流量过大导致响应时间g长的问题
Connection Times (ms)
min mean[+/-sd] median max
Connect: 4 646 1078.7 89 3291
Processing: 165 992 493.1 938 4712
Waiting: 118 934 480.6 882 4554
Total: 813 1638 1338.9 1093 7785
//|络上消耗的旉的分解,各项数据的具体算法还?sh)是很清?/span>
Percentage of the requests served within a certain time (ms)
50% 1093
66% 1247
75% 1373
80% 1493
90% 4061
95% 4398
98% 5608
99% 7368
100% 7785 (longest request)
//整个场景中所有请求的响应情况。在场景中每个请求都有一个响应时_(d)其中50Q的用户响应旉于1093 毫秒Q?0Q?的用户响应时间小?247 毫秒Q最大的响应旉于7785 毫秒
׃对于q发hQcpu实际上ƈ不是同时处理的,而是按照每个h获得的时间片逐个轮{处理的,所以基本上W一个Time per request旉U等于第二个Time per request旉乘(sh)q发h?/font>
]]>