TURNING POINT 
Burpタスク設定
Burpはタスクの設定で、リソースプールの設定として最大同時リクエスト数(Maximum concurrent requests)と遅延(Delay between requests)を設定することができます。
タスクはどのリソースプールを使うか決定する必要があり、リソースプールはその名の通り、タスクで共有されます。
例えば最大同時リクエスト数が1、遅延が1秒のリソースプールを5つのタスクが使っていた場合、それぞれのタスクから見ると5秒に1回リクエストが送られることになります。
最大同時リクエストの意味
最大同時リクエスト数が10だとしても、1つのURLに対しては1リクエストずつしか送信されません。
例えば遅延が1秒だった場合、最大同時リクエスト数が10でもスキャン対象が1URLだった場合、毎秒1リクエストしか送信されません。
実際に最大同時リクエスト数とURL数を変更して数パターン試してみた結果が以下です。
GET
| 実行リクエスト数 / 最大同時リクエスト | 100 Request | 200 Request |
|---|---|---|
| 3 /3 | 1分9秒 | 2分49秒 |
| 3 / 5 | 1分12秒 | 2分51秒 |
| 3 / 10 | 1分19秒 | 2分43秒 |
POST
| 実行リクエスト数 / 最大同時リクエスト | 100 Request | 200 Request |
|---|---|---|
| 3 /5 | 1分40秒 | 3分22秒 |
| 5 / 5 | 1分32秒 | 3分1秒 |
| 5 / 10 | 1分51秒 | 4分2秒 |
上記のように、最大同時リクエスト数を大きくしても、一定時間におけるリクエスト数に違いがないことが分かります。
理論上は最大同時リクエスト数以下で同時にスキャンしているURL数が多ければ、一定時間あたりのリクエスト数が最も大きくなるはずですが、結果からはそう受け取れないかもしれません。
全て同じリクエストで検証したわけではないのでそのブレもあると思いますが、同時リクエスト数が増えれば増えるほど検証端末自体のリソースが消費されていくので、単純にマシンスペック不足の可能性もありそうです。
