http线程并发测试-化无为有的漏洞挖掘 jmter

来源：互联网发布：python 函数传入list 编辑：程序博客网时间：2024/06/05 14:27

https://bbs.ichunqiu.com/thread-24241-1-1.html

前言：
其实很早的时候就想研究这个HTTP线程并发测试了，但是一直在做其他的事情就给耽搁了。

一个坑：
为什么我要科普下面的东西呢？因为笔者在搞这些东西的时候也给搞混淆了，所以还是要理清自己的思路，稍微看看这些东西就行，不需要你们去细懂，随便你们自己也可以直接忽略这一段。

并发：
在操作系统中，是指一个时间段中有几个程序都处于已启动运行到运行完毕之间，且这几个程序都是在同一个处理机上运行。其中两种并发关系分别是同步和互斥

按照我们的生活案例来解释就是：
正常请求：用户A在一个网站上提款，发送了提款请求，后台显示一条提款请求，审核了然后顺利提到了。
并发请求：用户A在一个网站上提款，同步发送了多个提款请求，后台显示多条提款请求，审核了然后顺利的提到了几倍的bounty。

Concurrency，是并发的意思。并发的实质是一个物理CPU(也可以多个物理CPU) 在若干道程序（或线程）之间多路复用，并发性是对有限物理资源强制行使多用户共享以提高效率。

微观角度：所有的并发处理都有排队等候，唤醒，执行等这样的步骤，在微观上他们都是序列被处理的，如果是同一时刻到达的请求（或线程）也会根据优先级的不同，而先后进入队列排队等候执行。

宏观角度：多个几乎同时到达的请求（或线程）在宏观上看就像是同时在被处理。

通俗点讲，并发就是只有一个CPU资源，程序（或线程）之间要竞争得到执行机会。图中的第一个阶段，在A执行的过程中B，C不会执行，因为这段时间内这个CPU资源被A竞争到了，同理，第二个阶段只有B在执行，第三个阶段只有C在执行。其实，并发过程中，A，B，C并不是同时在进行的（微观角度）。但又是同时进行的（宏观角度）。

互斥：

进程间相互排斥的使用临界资源的现象，就叫互斥。

同步：

进程之间的关系不是相互排斥临界资源的关系，而是相互依赖的关系。进一步的说明：就是前一个进程的输出作为后一个进程的输入，当第一个进程没有输出时第二个进程必须等待。具有同步关系的一组并发进程相互发送的信息称为消息或事件。其中并发又有伪并发和真并发，伪并发是指单核处理器的并发，真并发是指多核处理器的并发。

并行：

Parallelism，即并行，指两个或两个以上事件（或线程）在同一时刻发生，是真正意义上的不同事件或线程在同一时刻，在不同CPU资源呢上（多核），同时执行。

并行，不存在像并发那样竞争，等待的概念。

图中，A，B，C都在同时运行（微观，宏观）。

多线程：

在了解线程之前，要先知道进程这个概念。进程是一个具有独立功能的程序关于某个数据集合的一次运行活动。简单点说，进程就是执行中的程序活动，是一个活动的实体。

多进程，就好比同时打开了Word，Excel和Visio，他们都是不同的程序运行活动，即多个进程同时启动而已，这个概念比较好理解。

线程，是一个执行中的程序活动（即进程）的多个执行路径，执行调度的单位。线程依托于进程存在，在进程之下，可以共享进程的内存，而且还拥有一个属于自己的内存空间，这段内存空间也叫做线程栈，是在建立线程时由系统分配的，主要用来保存线程内部所使用的数据。

多线程，指在一个进程下有多个线程。各个线程执行自己的任务，这些线程可以”同时进行“（这里加了双引号，下面会讲述到加双引号的原因）。

那多线程有什么好处？多线程应用在生活中随处可见，Word文档就是一个很好的例子。Word有“后台打印”的功能，用户点击打印按钮后，如果发现可以对当前文本进行修改，可以在打印过程中回到主界面进行修改、保存等操作。如果没有应用多线程，不妨假设用户要打印的文本很长很长，那么用户要等打印操作执行完后，才可以对文本进行修改编辑保存等，这样用户体验就不如多线程的好。还有迅雷，有没有发现迅雷是可以同时下载东西的？例如同时下载A，B，A下载进度到53.4%，B下载进度到47.1%，有时A速度快些，有时B速度快些，反正能确定的是A，B都在下载内容，而不是一定要等A下载完后，B才可以开始下载，这也是多线程的作用。因此，多线程强调”同时，一起进行“，而不是单一的顺下操作。

异步：

异步和同步是相对的，同步就是顺序执行，执行完一个再执行下一个，需要等待、协调运行。异步就是彼此独立,在等待某事件的过程中继续做自己的事，不需要等待这一事件完成后再工作。线程就是实现异步的一个方式。异步是让调用方法的主线程不需要同步等待另一线程的完成，从而可以让主线程干其它的事情。异步和多线程并不是一个同等关系,异步是最终目的,多线程只是我们实现异步的一种手段。异步是当一个调用请求发送给被调用者,而调用者不用等待其结果的返回而可以做其它的事情。实现异步可以采用多线程技术或则交给另外的进程来处理。

举个例子：普通B/S模式（同步）AJAX技术（异步）

同步：提交请求->等待服务器处理->处理完毕返回这个期间客户端浏览器不能干任何事，例如：你叫我去吃饭，我听到了就和你去吃饭；如果没有听到，你就不停的叫，直到我告诉你听到了，才一起去吃饭。

异步: 请求通过事件触发->服务器处理（这是浏览器仍然可以作其他事情）->处理完毕。例如：你叫我，然后自己去吃饭，我得到消息后可能立即走，也可能等到下班才去吃饭。

所以，要我请你吃饭就用同步的方法，要请我吃饭就用异步的方法，这样你可以省钱。

请求方式，分为GET与POST：

GET方式：

最为常见的HTTP请求，普通上网浏览页面就是GET。GET方式的参数请求直接跟在URL后，以问号开始。（JS中用 window.location.search获得）。参数可以用encodeURIComponent进行编码，使用方式:
var EnParam = encodeURIComponent(param);
URL只支持大约2K的长度，即2048字符数；使用GET进行AJAX请求时候会缓存导致出现的页面不是正确的，一般方法加random参数值；ajax.send(null)。

POST方式：

向服务器提交数据用到。
需要将form表单中的值先取出转换成字符串，用&符号连接，（同GET传参数一样）；提交数据量2GB ；使用ajax.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded')，处理提交的字符串;ajax.send(strings)，这个 strings表示form中需要提交的内容，例如a=1&b=2类似这样的字符串。

挖掘方法

那么了解完这些东西，我们注重点是并发。

如何挖掘并发呢？

据我所知的测试工具有两款：JMeter与LoadRunner

JMeter视图：