就是利用客户端和服务器之间的资源消耗差值,专门挑服务器耗费资源大,而客户端消耗资源小的业务去攻击.
弱一些的服务器架构上面的正常业务就能有这样的效果
攻击请求验证码的业务,也能把验证码生成的服务器打挂.
攻击手机\邮箱等找回密码的功能,批量扫数字帐号等等,也能把服务器发送业务的队列打挂.
甚至攻击一些正常的业务超过频次了,也能打挂服务器,比如有些业务需要做的sql查询比较多,又没有利用好缓存和索引.

非正常业务的构造就更多技巧了.就是打差值,这个资源消耗的差值越大,效果越明显.

攻击的发起源是什么不要紧,任何能构造请求发送的语言都可以.重要的是要有这个计算资源消耗差值的思维方式.

以下我说的单位都是以港币为标准.港币目前和人民币大概是0.8:1

香港最近还在讨论一万五月薪以下的岗位要设置最高工作时间,超时要补津贴,不允许压迫低收入人群.
http://hk.apple.nextmedia.com/news/art/20150527/19162033
1w-1.5w是一个本科应届毕业生的平均收入水平.

2w-3w是一个应届毕业刚刚获得律师学历的入行薪资.实际上这个薪资在香港是很紧吧吧的,因为香港的生活消费特别高,两三万收入如果在香港没有住房,是很惨的,因为房租特别贵.

房租可以看这里:http://www.28hse.com/
一个月四千起的房租,当然条件没什么可以挑的了,只能说有得住.有合租的话可以便宜一点.在律师楼里,午饭必然是要吃外卖的了,50-100这样.碰上加班晚餐也要在公司解决的话,一天花掉200的伙食也很正常.这样吃住水电算下来,差不多要一万.
如果不怕累,住深圳去香港上班,吃住可以便宜一些.

做律师还有一个大额支出是着装,香港的职场极其讲究这个,没有几千块一套的正装是穿不出去干活的.跟着应季的服饰走一走,月薪基本都要被掏空了.

税率方面,律师这个收入还是不要考虑税率和买保险的花费了.熬过见习期把执业律师证考下来,争取自己有能力接单拿分红,应该就有5w了,再熬熬资历争取爬上10w月薪才是正道.
关于香港的月薪,可以看这里的吐槽.
http://www.discuss.com.hk/viewthread.php?tid=23722729&extra=&page=1
http://forum14.hkgolden.com/view.aspx?type=FN&message=5818824&highlight_id=0&page=1&authorOnly=False

现在的情况就是这样
1.你的php5.6.9已经安装成功了
2.你的服务器还在跑着php5.5.3

所以你要做的是，关掉现在运行的php5.5.3，想办法把php5.6.9里面的php-fpm启动起来。
但是你还缺少一些上下文，比如你是用apache？nginx？或者其它方式代理的php服务，php使用的是sock？还是fast-cgi？
你原来的php5是如何启动的？
如果你能理清原来的php5是如何启动的，那你自然就知道如何去启动php5.6.9

个人觉得互联网+的模式适合这样的业务：
1.可以低价甚至免费提供给大多数用户
2.大量的用户之间可以享受到信息交流产生价值
3.基于2的基础上面加工用户信息提供增值服务

现在大部分喊概念的公司，也就是想着把设备联网而已，至于联网之后可以玩什么，根本没有概念。
比如电视联网，电视联网如果只是用来看电视，那意义不大。用户享受不到反馈。
哪怕加工一下信息反馈给用户：
1.xx个家庭和你共同欣赏了xx时段的xx节目，与此同时，欣赏了此时段节目的家庭，在下一个时段更喜欢看xx频道。
2.根据你的观看记录，猜测当前时段符合你喜欢的节目有xxx、xxx、xxx
3.根据你的关注事件，xx频道正在播放有关此事件的节目

简单的说就是你把/etc/init.d/php-fpm 启动了 然后把/etc/init.d/php5-fpm 关掉
用新版本的php-fpm去托管代码。
只要php 5.6.9的配置端口和 php 5.5.3的配置端口一致 应该是可以切过去的

已经三年php了，把php上面的经验迁移过来python就可以了，web思路都是一样的，看个语法就可以上手了吧，还需要特意去学习框架吗？

我也从学校教务处收集过学生的身份证，手机号，专业班级，学号，这类的信息，但是我知道这些都是违法获得的，即使我只做个人搜索信息使用，不发布到公开场合也一样属于作恶了。
像武大助手这种事情，只是发布部分警示学校加强网站安全处理，还可以说是恶作剧。用来恶意要挟别人关注他的微信公众号，并言行不一，没有按照约定删除资料，是作恶无疑。

首先作恶的是教务库的教务管理系统，这个漏洞是众多教务系统的黑坑，比如输入学号获取照片，构造链接绕过权限查询任意学号的成绩。这些坑各大校园微信公共号都多多少少有人在用。能利用算是基础扎实，算不上技术牛逼。
而学校教务处，做用于保存学生重要信息的服务器和系统，没有管理好权限，让学生资料泄露。需要负担最大的责任。
其次发布者利用漏洞获取资料并公开发布，这个性质和扎克不一样，扎克利用的是已经公开的校园社区资料，而这个事情上， 发布者是利用漏洞采集教务处没有发布到公开场合的资料，并且借此恶意要挟学生关注自己的微信公众号，发布者也要承担责任。

这是rmbp的问题
涂层是防眩光用的,但是很脆弱,沾水擦都有可能擦掉.大部分直营点都不保修,我去香港直营点购买的时候特意向店员问过这个问题,店员的回复是,这个涂层的掉落属于认为损坏,不在保修范围内.

不能贴膜,不能用清洁剂擦拭,不能用液体擦拭,不能用纸擦拭.这个问题就是这么无解.

1.没钱，不差时间。去地区贴吧、豆瓣租房组找合租。
2.没钱，很急。去城中村看好房子位置，直接上门问房东。
3.有钱，房产中介交钱，等安排看房。

网站上的房源基本被中介扫光了，很难找到靠谱的，去网站找和在线下找房产中介一个性质。

对外的接口就两种
无状态，无论如何都会返回相同结果。
有状态，根据用户请求提交的参数，返回不同的结果。

无状态的请求，不需要做任何限制，做好缓存策略
有状态的请求，做用户校验，只有符合校验的用户才返回正确的结果，有状态请求中的敏感操作，要做更严格的校验和约束。

做为服务器,应对着这种正常业务接口的请求,不应该做限制.在服务器能够处理的负载内,都不算攻击.
因为很多地区的小通信运营商是只有一个出口的,还有某些单位,只有同一个外网出口,高校校园网也是类似的只有少数几个外网出口.
服务器要做的是,保证正常业务没有漏洞可以钻,对可能带来高负载的接口做好缓存策略.比如重置密码业务必须有登录校验去约束,检测邮箱注册这种接口做好缓存策略即可.
要做限制次数的反而应该是业务上必须要限制的功能:
比如请求必须要带什么标识才会处理
比如限制一个ip单位时间内发送多少消息则触发请求内容检测,检测核实为垃圾内容则封禁帐号
比如敏感的登录功能多少次密码校验错误则锁定ip禁止登录一个帐号
比如找回密码功能一个ip只能申请多少次这类的

这个事情还是熟练度的问题，代码量积累多了。
细节实现的时候就不会耗费太多精力，自然就可以专注在整体逻辑上面，不会被琐碎的细节分散精力。

最简单的例子，假如代码量不够，初学的时候写一个冒泡排序，都要去检查循环逻辑和变量处理。一不小心就会报错。
当熟练之后，就不用在冒泡这个具体实现上面耗费精力，而可以专注在更上层的逻辑上面，比如这里我需要排个序，那就随手写个冒泡。

我推荐两本体育竞技类的网文：
我们是冠军
校园篮球风云

ab只是简单的测qps，如果想要模拟真实的用户访问，建议还是使用一些专门的压力测试工具。
HP的LoadRunner、IBM的Rational Performance Tester、Apache的Jmeter（免费开源）、还有Borland的SilkPerformer
通过模拟正常业务执行的方式去测试服务器负载的量。
最不济，自己写一些爬虫脚步去抓取自己的网站页面，检测页面返回时间。比如用tornado异步去执行httpclient生成大量的请求。

如果没有长链接或者ajax轮询这类的业务。实时用户在线是算不出来的。只能去估算，用户正常的业务几秒钟发一次web请求到后端，然后乘以2w的基数。去统计一个时间段的总数，再回来压qps。

要是我没钱没时间去用专业的压力测试工具。我会用tornado这么写。
import tornado
import tornado.gen
import tornado.httpclient
import time
class GenAsyncHandler(RequestHandler):
@gen.coroutine
def get(self):
http_client = AsyncHTTPClient()
response = yield http_client.fetch("http://example.com/step_1")
sleep(5)
response = yield http_client.fetch("http://example.com/step_2")
sleep(5)
response = yield http_client.fetch("http://example.com/step_3")
sleep(5)


这样的形式，一个handler就是一个完整的业务请求。然后调用2w次。做统计。

tornado这种轻量级的框架,适合有完整的web应用开发基础,能够理解一个web应用从接收到处理返回值整套流程的人,有基础的人,根据个人需求,自己去搭建顺手的web开发框架.

新手从tornado入手,要填的基础太多,很容易陷入配置开发框架的泥潭中.从集成数据库驱动,搭建model,handle,template结构一路走上去,要处理的事情太多,不利于新手快速学习理解web开发.

相对而言,django和flask,都有web应用常用的,database驱动,session,template这一系列的现成轮子开箱即用.会更方便一些.

www.webank.com也是腾讯的
看域名,腾讯打算以后的产品都走国际化路线了wexxx.com一类的.

这个还要看命中率的问题，就缓存处理效果来说
varnish可配置的参数非常多，纯内存处理非常快，用来做rest接口的反代非常好用，但是如果命中率太低热点数据不集中，会出现内存被挤满但是处理很慢的情况，因为内存满之后会反复清理掉数据，去后端重新获取数据。不适合做大数据缓存，比如图片请求处理的缓存，此外就是没有持久缓存磁盘的策略，重启服务之后需要做数据预热处理，才能上线使用，不然后端容易被请求堆满，有雪崩效应的风险。做纯反代
squid内存处理比varnish弱一些，但是优势在于本地存储策略可以配置的空间很大，用来做长时间不会变动的请求比较方便，比如静态html页面，图片。但是对于带参数请求的处理没有varnish的策略好，清理缓存的策略不太方便，用超时触发向后端确认请求是否失效的策略，需要设置时间的长度很微妙，需要根据实际情况去调整。重启服务只需要读取本地数据就能完成大部分数据的预热是优势。
nginx很轻量，基本功能就是反代，需要使用其它功能需安装扩展插件，缓存策略很弱，更新需要手动清理缓存，否则只能等超时重新缓存。
如果只有vps，建议nginx处理足矣，在请求量小内存也不是特别大的时候，nginx完全够用，varnish对内存需求太大，只做纯反代不缓存略显浪费。

认真招聘的公司都会看重应聘者的成长过程。
假如你真的这么坚持2年不停的输出高质量的blog，纪录自己的成长。自然会有公司给你抛橄榄枝。