The Will Will Web

使用 ApacheBench 進行網站的壓力測試

ApacheBench 工具程式是 Apache 網站伺服器軟體的一個附帶的工具軟體，專門用來執行網站伺服器的運行效能，特別是針對 Apache 網站伺服器的效能分析。這支程式原本是用來檢測 Apache 網站伺服器(Web Server) 所能夠提供的效能，特別是可以看出 Apache 網站伺服器能提供每秒能送出多少網頁，當然的，也可以用在任何其他的網站伺服器，例如說：IIS 或 lighttpd。

你可以到 Apache HTTP Server 網站下載最新版，如果你要在 Windows 的環境執行 ApacheBench 可以直接下載 Win32 Binary 的版本就好，由於線上所提供的版本是 MSI 的封裝檔，安裝好之後也等同於在你的電腦內安裝了一套 Apache HTTP Server，如果你不需要多執行一套 Apache HTTP Server 的話，你可以在安裝好之後進入 C:\Program Files\Apache Group\Apache2\bin 目錄，找到 ab.exe 執行檔，複製出來後再移除 Apache 安裝即可，因為 ab.exe 是可以獨立執行的，不需要任何關連的 dll 檔。

底下是 ab.exe 的使用參數摘要說明，若要看詳細說明可以看這裡（或中文翻譯）：

C:\>ab -h
Usage: ab [options] [http://]hostname[:port]/path
Options are:
    -n requests     Number of requests to perform
    -c concurrency  Number of multiple requests to make
    -t timelimit    Seconds to max. wait for responses
    -p postfile     File containing data to POST
    -T content-type Content-type header for POSTing
    -v verbosity    How much troubleshooting info to print
    -w              Print out results in HTML tables
    -i              Use HEAD instead of GET
    -x attributes   String to insert as table attributes
    -y attributes   String to insert as tr attributes
    -z attributes   String to insert as td or th attributes
    -C attribute    Add cookie, eg. 'Apache=1234. (repeatable)
    -H attribute    Add Arbitrary header line, eg. 'Accept-Encoding: gzip'
                    Inserted after all normal header lines. (repeatable)
    -A attribute    Add Basic WWW Authentication, the attributes
                    are a colon separated username and password.
    -P attribute    Add Basic Proxy Authentication, the attributes
                    are a colon separated username and password.
    -X proxy:port   Proxyserver and port number to use
    -V              Print version number and exit
    -k              Use HTTP KeepAlive feature
    -d              Do not show percentiles served table.
    -S              Do not show confidence estimators and warnings.
    -g filename     Output collected data to gnuplot format file.
    -e filename     Output CSV file with percentages served
    -h              Display usage information (this message)

而我經常使用的參數摘要如下：

1. 同時 10 個連線，連續點擊 10000 次 ( 每個 Request 執行完畢後都會自動斷線，然後再重新連線 )

ab -n 10000 -c 10 http://www.example.com/index.aspx

2. 同時 10 個連線，連續點擊 10000 次，並且使用 Keep-Alive 方式連線（當 Web Server 有支援 Keep-Alive 功能時 ApacheBench 會在同一個連線下連續點擊該網頁）

ab -n 10000 -c 10 -k http://www.example.com/index.aspx

3. 將測試的效能原始資料匯出成 CSV 檔

ab -e output.csv -n 10000 -c 10 http://www.example.com/index.aspx

匯出的 output.csv 內容如下：

Percentage served,Time in ms
0,6.200000e+001
1,6.200000e+001
2,6.200000e+001
3,6.200000e+001
4,6.200000e+001
5,6.200000e+001
6,6.200000e+001
7,6.200000e+001
8,6.200000e+001
9,6.200000e+001
10,6.200000e+001
11,6.200000e+001
12,6.200000e+001
13,6.200000e+001
14,6.200000e+001
......

上表所代表的每一列代表送出的百分比，第二個欄位是當下的 "Time per request" (每個要求所花費的時間)，單位是豪秒(millisecond)。

如何有效的檢視結果

壓力測試的核心在於如何分析結果，底下我用一個測試的結果說明每個欄位所代表的意義。如果你只要看重點的話，可以看 Failed requests、Requests per second、與 Time per request 這三個參數也就差不多夠了。其中的 Failed requests 的數量太高的話，很有可能代表你的 Web Application 的穩定度不夠，而導致使用大量要求時無法回應需求。而 Request per second 代表你每表可送出的回應數有多少，代表你 Web Application 的承載量有多少（在不考慮頻寬限制的情況下）。

C:\>ab -d -e a.csv -v 1 -n 1000 -c 3 http://www.example.com/index.aspx
This is ApacheBench, Version 2.0.41-dev <$Revision: 1.121.2.12 $> apache-2.0
Copyright (c) 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Copyright (c) 2006 The Apache Software Foundation, http://www.apache.org/

Benchmarking www.m-taoyuan.tw (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Completed 400 requests
Completed 500 requests
Completed 600 requests
Completed 700 requests
Completed 800 requests
Completed 900 requests
Finished 1000 requests


Server Software:        Microsoft-IIS/6.0
Server Hostname:        www.m-taoyuan.tw
Server Port:            80

Document Path:          /index.aspx
Document Length:        25986 bytes

Concurrency Level:      3
Time taken for tests:   25.734375 seconds
Complete requests:      1000
Failed requests:        0
Write errors:           0
Total transferred:      26372000 bytes
HTML transferred:       25986000 bytes
Requests per second:    38.86 [#/sec] (mean)
Time per request:       77.203 [ms] (mean)
Time per request:       25.734 [ms] (mean, across all concurrent requests)
Transfer rate:          1000.72 [Kbytes/sec] received

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        0    1   4.4      0      15
Processing:    62   75   9.1     78     109
Waiting:       46   64   8.0     62     109
Total:         62   76   9.3     78     109

如上表顯示的結果來說明，我一個欄位一個欄位的講解如下：

Server Software: Web主機的作業系統與版本(若Web主機設定關閉此資訊則無)
Server Hostname: Web主機的IP位址(Hostname)
Server Port: Web主機的連接埠(Port)
Document Path: 測試網址的路徑部分
Document Length: 測試網頁回應的網頁大小
Concurrency Level: 同時進行壓力測試的人數
Time taken for tests: 本次壓力測試所花費的總秒數
Complete requests: 完成的要求數(Requests)
Failed requests: 失敗的要求數(Requests)
Write errors: 寫入失敗的數量
Total transferred: 本次壓力測試的總數據傳輸量(包括 HTTP Header 的資料也計算在內)
HTML transferred: 本次壓力測試的總數據傳輸量(僅計算回傳的 HTML 的資料)
Requests per second: 平均每秒可回應多少要求
Time per request: 平均每個要求所花費的時間(單位: 豪秒)
Time per request: 平均每個要求所花費的時間，跨所有同時連線數的平均值(單位: 豪秒)
Transfer rate: 從 ab 到 Web Server 之間的網路傳輸速度

最後的 Connection Times (ms) 指的是壓力測試時的連線處理時間：

橫軸欄位的部分：

min: 最小值
mean: 平均值(正、負標準差)
median: 平均值(中間值)
max: 最大值

縱軸欄位的部分：

Connect: 從 ab 發出 TCP 要求到 Web 主機所花費的建立時間。
Processing: 從 TCP 連線建立後，直到 HTTP 回應(Response)的資料全部都收到所花的時間。
Waiting: 從發送 HTTP 要求完後，到 HTTP 回應(Response)第一個 Byte 所等待的時間。
Total: 等於 Connect + Processing 的時間（因為 Waiting 包含在 Processing 時間內了）

壓力測試的基本觀念

排除頻寬的限制
- 做壓力測試通常不會考量「頻寬的限制」，所以一般來說不會將測試的主機擺在遠端機房、然後測試程式擺在公司內部的主機，而是會將壓力測試的 Client 跟 Web 主機擺在同一個網段下進行壓力測試。
- 因為「頻寬」只要花錢就會有了，但是主機的承載量卻是有限的，從遠端進行壓力測試主要的限制是在「頻寬」而非「效能」，所以從遠端單點進行壓力測試毫無任何意義可言，這樣是測不出主機的效能極限的。
- 如果你有能力與資源進行大規模（多點）壓力測試的話，透過遠端進行壓力測試才有意義。
壓力要循序漸進
- 你不要一下字就執行同時連線數 100 人，而是要循序漸進的慢慢加同時連線數上去，才不會讓 Web Application 一下字承受過大的負載而導致效能的數據不正確（例如說 Failed requests 過高），但這只是建議，你也可以一下子操死你的主機，反正你在測主機的極限嘛！

參考網址：

ApacheBench
ab - Apache HTTP server benchmarking tool
ab - Apache HTTP服务器性能测试工具 (簡體中文 GB2312 編碼)

此文章由 will 發表於 2008/6/30 下午 07:46:05

永久連結 | 評論 (7) | 此文章的RSS RSS comment feed |

分類: Linux | Web | 介紹好用工具

標籤: apache, apachebench, ab

收藏:

解說 FTP Protocol 的運作原理

我想 FTP 可能有人每天都在用，但卻很少人知道 FTP 運作原理，更尤其是在連不上 FTP 的時候常常都是一頭霧水，在問別人時也可能會發現有人可以連、有人不能連，有的人連的上可以登入成功但是卻無法列出檔案清單，種種的問題只要能了解 FTP 的運作原理就可以很輕易的了解問題出在哪裡，進而解決問題。

基本觀念

使用 FTP 傳輸時，至少會使用到兩個 Port 來建立連線通道：

一個為指令通道(Command Channel)，預設使用 Port 21 建立連線，用來傳輸 FTP 指令，例如：列出檔案清單(LIST)、變更目錄(CWD)、取得目前的目錄(PWD)、......等。
另一個為資料通道(DATA Channel)，預設使用 Port 20，但是會因 FTP Client 選擇使用的「連線模式」不同而有所不同。

一般來說，指令通道的連線與下指令都沒有什麼問題，有問題的通常是在資料通道的建立，而資料通道的建立方式是由 FTP Client 所下的指令決定的，以 FileZilla 設定為例（如下圖）：

FTP Client (e.g. FileZilla) 每次建立連線時都會下 PORT 或 PASV 指令，如下範例：

指令:    PASV
回應:    227 Entering Passive Mode (59,37,124,43,158,251)

而每次下指令傳輸資料時，都會建立一次 data connection，包括取得遠端的檔案清單(LIST)時回傳的檔案列表、下載檔案、或上傳檔案。

連線模式

FTP 的連線模式分兩種：主動模式 ( Active mode ) 與被動模式 ( Passive mode )

主動模式 ( Active mode )

FTP Client 跟 FTP Server 連線後，會主動利用 PORT 指令提出 DATA Channel 連線的要求，如下：
指令:    PORT 10,18,53,171,17,114
回應:    200 Port command successful.
這裡的 PORT 指令是由 FTP Client 送出的，當需要建立 DATA Channel 時，FTP Server 會主動利用 Server 主機的 Port 20 發出連線到 FTP Client 的主機，而 PORT 指令後的參數說明如下：

前四個數字是 FTP Client 的 IP 位址：10.18.53.171
後兩個數字是 FTP Client 接受連線的 Port 埠號，埠號的計算方式是 (第五個數字 * 256 + 第六個數字)，以此範例來說，FTP Client 接受的連線埠號是 17 * 256 + 114 = 4,466

由此可知，如果 FTP Client 處於 NAT 的環境下的話，FTP Server 幾乎無法正常的連線到 FTP Client 的主機，所以現在大部分的連線模式幾乎都建議使用者使用被動模式(Passive mode)。

被動模式 ( Passive mode )

FTP Client 跟 FTP Server 連線後，會主動利用 PASV 指令提出 DATA Channel 連線的要求，如下：
指令:    PASV
回應:    227 Entering Passive Mode (59,37,124,43,158,251)
你可以看到由 FTP Client 送出的 PASV 指令並沒有送出其他的參數，而是在 FTP Server 回應的時候出現了 (59,37,124,43,158,251) 字串，當需要建立 DATA Channel 時，這時就會由 FTP Client 主動連接至 FTP Server 動態開放的 Port 供 FTP Client 連接，其中 (59,37,124,43,158,251) 的說明如下：

前四個數字是 FTP Server 的 IP 位址：59.37.124.43
後兩個數字是 FTP Server 接受連線的 Port 埠號，埠號的計算方式是 (第五個數字 * 256 + 第六個數字)，以此範例來說，FTP Server 可接受的連線埠號是 158 * 256 + 251 = 40,699

由此可知，使用被動模式(Passive mode)對 FTP Server 的系統管理員來說，可掌控的部分是比較多的，因為 FTP Server 無法決定使用者是否可使用主動模式連線，但若改使用被動模式連線的話，就幾乎能讓所有人正常的使用 FTP 服務。

其他資訊

在 IIS 的 FTP 服務中，當使用 Passive mode 時，IIS FTP 會自動開啟短暫的 Port 用以建立 DATA Channel 供 FTP Client 連接，IIS 預設會動態使用 Port 1024 ~ 65535 進行 DATA Channel 的連線，若要修改預設的 Port Range 可以參考我昨天的文章：如何調整 IIS FTP 在 Passive mode 使用的 Port Range。
在 Linux kernel 中，若有設定 MASQ 的話，Kernel 已經支援「動態開啟 FTP DATA PORT」功能，也就是說在 FTP Client 端在 NAT 內部也能以 Active mode 使用 FTP，這就是為什麼有些人在公司內部使用虛擬 IP 也能夠使用主動模式(Active mode)傳輸檔案的情形。

相關連結

此文章由 will 發表於 2008/6/29 下午 11:55:41

永久連結 | 評論 (2) | 此文章的RSS RSS comment feed |

分類: IIS | Linux | 心得分享 | 系統管理

標籤: ftp, iis

收藏:

如何調整 IIS FTP 在 Passive mode 使用的 Port Range

FTP 有兩種傳輸模式，一種是主動模式(Active mode)，另一種是被動模式(Passive mode)，不過由於許多公司都是透過 IP 分享器上網，所以不是所有人都能透過 Active mode 傳輸檔案。而現在的 Server 環境也通常有架設防火牆阻擋沒在使用的 Ports，這種情況下也會讓 Passive mode 無法正常運作，因為當 FTP Server 在使用 Passive mode 傳輸資料時，Server 端會動態的使用 Port 1024 ~ 65535 來進行檔案的傳輸，這樣就很有可能被防火牆阻擋掉正常的連線。

所以我今天要教各位如何修改 IIS FTP 在 Passive mode 資料傳輸的 Port Range，這樣你就可以設定好 Firewall 讓這些 Port 開放給 FTP Server 使用。由於各版本的 IIS 設定的方式都不一樣，我假設要開放的 Port Range 從 5000 ~ 5100，以下是修改的方法：

IIS 5.0

開啟 regedit.exe
找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Msftpsvc\ParametersPassivePortRange
修改內容為 5000-5100 即可。

IIS 6.0

開啟「命令提示字元」
進入 C:\Inetpub\AdminScripts 目錄
執行 adsutil.vbs set /MSFTPSVC/PassivePortRange "5000-5100"

此文章由 will 發表於 2008/6/28 下午 11:40:18

永久連結 | 評論 (2) | 此文章的RSS RSS comment feed |

分類: IIS | 系統管理

標籤: ftp, iis

收藏:

改用精簡版的 MSDN 查詢資料吧

我想很多習慣用線上版的 MSDN 查詢資料的人都知道每次要開啟一頁都要等好久，最主要是左側的目錄(TOC)資料很多，每次讀一個頁面大約要下載 1MB 左右的資料，又慢又浪費頻寬，微軟最近推出了個 LOBAND (低頻寬) 的版本，讓你在看線上 MSDN 文件時速度會快很多喔。

以 GridView Class 頁面為例，其網址為 http://msdn.microsoft.com/en-us/library/system.web.ui.webcontrols.gridview.aspx，如果你要進入此頁的「精簡版」只要在 .aspx 前面加上 (loband) 就可以進入了，也就是 http://msdn.microsoft.com/en-us/library/system.web.ui.webcontrols.gridview(loband).aspx，不止英文版能用，中文版也是可以使用的，你只要將 en-us 改成 zh-tw 就可以了，所以我之前說的自動將 MSDN 英文文件翻譯成繁體中文版一樣也是可以用的。

所以原本的「完整版」（如下圖）

切換過去之後就會變成「精簡版」（如下圖）

如果你以後都要保持用「精簡版」查看文件的話，只要按下上圖右上方的 "Persist low bandwidth view" 之後就不用再手動加上 (loband) 到網址上了。

相關網址

MSDN Low-Bandwidth Rendering Option

此文章由 will 發表於 2008/6/27 下午 05:08:34

永久連結 | 評論 (0) | 此文章的RSS RSS comment feed |

分類: Tips

標籤: msdn

收藏:

介紹幾款好用的 SQL Injection 偵測與防禦工具

微軟最近推出了兩套 SQL Injection 偵測與防禦工具，分別是 Microsoft Source Code Analyzer for SQL Injection (MSCASI) 與 URLScan 3.0。

其中 Microsoft Source Code Analyzer for SQL Injection (MSCASI) 是專門用來分析早期 Active Server Pages (ASP) 程式中的 SQL Injection 漏洞，他會直接分析你的 ASP 原始碼並明確點出你的程式中潛在的 SQL Injection 漏洞在哪裡、潛在的風險、第幾行有問題等（如下圖）。如果你曾經寫過的 ASP 網站年久失修，建議你用這套工具執行看看是否有哪一段程式是有 SQL Injection 漏洞的。另外，微軟在前幾週也發表了一篇關於如何在 ASP 程式中防禦 SQL Injection 的建議（ Preventing SQL Injections in ASP），而這套工具就是依據這篇文章中所寫的幾個規則進行 ASP 原始碼分析的。

由於 Microsoft Source Code Analyzer for SQL Injection 是指令列程式，你下載後只要解壓縮就能用了，用法很簡單，你只要執行 msscasi_asp.exe 就會出現使用說明了。

G:\asp>msscasi_asp.exe
Microsoft (R) Source Code Analyzer for SQL Injection Version 1.3.30601.30622
Copyright (C) Microsoft Corporation.  All rights reserved.

Usage: msscasi_asp.exe [/nologo] [/quiet] [/suppress=num;..;num] [/GlobalAsaPath=
path] [/IncludePaths=path;..;path] /Input=file.asp

 ** msscasi_asp failure: no input file specified.

一次只能掃瞄一個檔案，底下是一個範例的用法：

msscasi_asp.exe /nologo /Input="c:\web1\test.asp"

你如果要掃瞄整個網站的 asp 程式你可以寫個批次檔來處理。

另一套軟體 URLScan 3.0 有別於已經推出五年之久的 UrlScan 2.5 版，功能多出了許多，他比較能夠主動偵測 SQL Injection 的攻擊，且目前也完整支援 IIS 7.0，不過未來這些掃瞄功能應該會直接整合進 IIS 7.0 中。

URLScan 3.0 版新增的功能有：

Support for query string scanning, including an option to scan an unescaped version of the query string.
Change notification for configuration (no more restarts for most settings.)
UrlScan can be installed as a site filter. Different sites can have their own copy, with their own configuration.
Escape sequences can be used in the configuration file to express CRLF, a semicolon (normally a comment delimiter) or unprintable characters in rules.
Custom rules can be created to scan the URL, query string, a particular header, all headers or combination of these. The rules can be applied based on the type of file requested.
Support for 64 bit IIS worker processes.

另外還有一套由 HP Web Security Research Group 發展出來的一個 SQL injection 偵測工具，叫做 Scrawlr 1.0，我覺得還挺酷的，用一個比較視覺化的方式偵測你的網站是否包含 SQL Injection 漏洞，只要輸入要檢測的網址，再按下 Start 按鈕就會開始跑了，非常的直覺、好用。如果你的網站被他抓到有漏洞的話，他還可以猜出你的資料庫名稱與相關資訊。