waf日志分析報告

1、精品資料可編輯修改WAF部署方式衡固 WE 師用安全網(wǎng)關日志分析報告10月1日-10月31日XXXXX科技發(fā)展有限公司2012年11月精品資料可編輯修改WAF 的部署方式有 3 種：串接，并接和雙機熱備。串接主要部署在快速部署的系統(tǒng)中，工作于透明模式，具有 bypass 的功能；并接主要針對不能中斷的系統(tǒng)；雙機熱備則具有更 高的安全性和可靠性，當一臺 waf 出現(xiàn)故障，另一臺會自動開啟防護功能。資源占用情況統(tǒng)計和分析*) EPU利用軍CPU利用率7 爼4F囂心IMd口440012-1001 10 141B - M - 2012-11-01 II 54:16)口陽宰；豈前直IB HI大值啊Tfl

2、平均值|4 J4禺后更新時間-2CIZ-11-01 13-55-4*內(nèi)存利用舉* 4Q 4rWMA4?口刎(2012-1001 10 fl4:1B - M - 201J-11-01 11 54:16)口內(nèi)弁值州豐當前值；剳，舁曙為值；旳，門平Z0. 73希后更硏時間：2012-11-Q1 13 55 +4精品資料可編輯修改圖 2-1 waf 的 CPU 和內(nèi)存使用率精品資料可編輯修改從上圖中可以看出，10 月 1 日到 10 月 31 日，waf 的 CPU 應用率平均 14.34% ,內(nèi)存 使用的平均利用率為 20.73%，總體資源耗費不大，但在不斷的流量監(jiān)控的過程中 CPU 的使 用會出現(xiàn)

3、較高的峰值。三、網(wǎng)站的訪問請求、應用流量和響應時間統(tǒng)計:B詁間請求統(tǒng)計訪問請求統(tǒng)計奘型當前世一帚丸苗一均值一加建訪冋雖000口 未如選坊問菱：11907251111S戟片切fit113072511119St?新時間.2012-11-01 13 50.17圖 3-1 訪問請求統(tǒng)計應用流屋統(tǒng)計帚后更新時聞：20IM1-G1 13:50.17類型如迷血金未加還詵蚩.總猱雖.當前直一4BH933最大值-1457 590000Q7495629371cIt# 7581061147 0 ike.O k$0 *4.0 Ik3.0 k(2012-0-01 10-6 46 - 201 2-11-01 13:E6:

4、4C)平均值一精品資料可編輯修改圖 3-2 應用流量統(tǒng)計精品資料可編輯修改舸應時間統(tǒng)計眾后更新時間:201Z-11-01 13 56 17圖 3-3 響應時間統(tǒng)計網(wǎng)站的平均總訪問量為 1119000 個，平均總應用流量為 106154KBytes ，網(wǎng)站的平均響應時間為 11 毫秒。.3 =類型勺口速響應時間：耒加速呢應時同:口平均駅應時間：當前値01最大值一09090均值一0111111edk聲42Week 43Wk. 442012-1CHD1 10:56 46-至I一2012-11-01精品資料可編輯修改四、WEB服務受攻擊與WAF網(wǎng)站防護對比分析爬主旺護DIZQSI攵白用口屆祠撿測201

5、2-1D-D3-2Q12-11-01歸匚精品資料可編輯修改2d12-1(M2012-11-C1萬本茁護吧屯防護D3睜誠護局咼椅刑 I圖 4-1 攻擊防護2012-10-03 OQDO W2D1J-1O-31 2J旳:M啪甜攻占如TUP1CI21鶴CU茁葛21&J0.1Cd 149LI20J 2QB6O229?0? 20*602 0113 10613 L3J22? 1010190211 L5S301382ia7OJll 67195.11141駛擊婁酣攻擊戰(zhàn)敕攻擊詼數(shù)比率21B.3O 103 454089M24ti21S 30 103.149171391叭3203 208 60 2283502%4

6、20J20S 50 229幻站話5JOJJOS W.230*2972o6113106 103 1381S84J%精品資料可編輯修改222 180 10 190J他l$o211 SB 1013115241%g21S70J29.11613441$0106? 195 111I?J 150精品資料可編輯修改2012-1C-D1 00 00:03-2Q12-10-32 25:59:59 WEbfrTCPlO序吁地來慷攻擊核數(shù)攻擊枚數(shù)比率Ch,12991托CllijLl. CbucLLiquiL.147929%4ChineL4ti69%Lnied向rnia呂iwwiyvrtk1&2G1%163.177.1

7、28.13 J10131%66L10%Ucited Sutn. XGdudik RJHH?U58S0%SH 1M.1 9124700%914.107J32,77436叫10ChkuL Stchuan. ChcnEcfcjS?50%圖 4-2 攻擊源統(tǒng)計從以上的攻擊防護與攻擊源的圖可以看出，絕大多數(shù)防護的是網(wǎng)絡爬蟲，而網(wǎng)絡爬蟲的作用是使網(wǎng)站在各大搜索引擎中更容易被找到，因此正常的網(wǎng)絡爬蟲沒有危害，若某些 IP 大量使用一種爬蟲而造成網(wǎng)站的訪問很緩慢的情況，則需要阻斷這些 IP 的訪問使得網(wǎng)站訪問正 常。另外，waf 防護的攻擊還有 SQL 注入，所謂的 SQL 注入，就是攻擊者通過欺騙數(shù)據(jù)庫 服

8、務器執(zhí)行非授權的任意查詢過程。攻擊者通過 SQL 注入可獲取管理員權限，進而操作后臺 數(shù)據(jù)，篡改網(wǎng)頁內(nèi)容。五、歷史同期的比較4.1 攻擊類型較上月分析，CC 攻擊、目錄遍歷、遠程文件包含攻擊在 10 月份均沒有出現(xiàn)，而且 SQL 注入攻擊也較上月的 52 次降到 38 次Qin也aefng, Beijing口 市帆Ctirngcing口Chmd加閔 Z 屮iMf (inn艸M161177128.114Olin碼ShdtighiL Sti dfigwUhiLMSidl紐前訕igdmAomeaH UJ111 112精品資料可編輯修改4.2 訪問流量下圖為 10 月份用戶訪問請求的流量圖2012 I

9、D (XLCKJ時-2012 11 01 2時瀏覽統(tǒng)討訪客IP訪問次數(shù)網(wǎng)頁訪間量文件請求數(shù)字節(jié)數(shù)-663829779124215546J.5MB非訓覽蠱流量-533303EO684OE245Sm訪問流量的對比將在下個月的分析報告中體現(xiàn)4.3 攻擊源地址精品資料可編輯修改2012-1C-01 00:00:00-2012-10-31 23:5:59TOPIC序號地址束源攻擊衣數(shù)攻擊次數(shù)比率1Chini Dcijii;Bcipn1299712匚hblN Chongqing. ChongqiifH7?23Chna146864Untfed States, Cilifoniia, Sunrale16J0i

10、%5皿1410131%6Cliha, S函圮城S血回皿6110%71. niteii States. XAichan. R.ortneoSS0iB14JU 1.112T7D0%914 07.232.774360%10ChuuL SichuEui Chengdu3950%攻擊的 IP 地址對應的地區(qū)絕大多數(shù)來自北京， 和上月相同。造成這種情況形成的原因可能是由于使用掃描器對網(wǎng)站進行掃描，使用不同的攻擊代碼對網(wǎng)站訪問時，waf 都會記錄攻擊信息，生成攻擊防護日志六、跟其他單位waf的比較人口信息中心商委教委質(zhì)監(jiān)局攻擊類型與次數(shù)SQL 注入 38 次SQL 注入 814SQL 注入 38 次SQL

11、注入 25 次China Beijing Beijingthin旦Cbionqing, Changc|ng罔ChinaUrited匚oliforniq Sunnyvale163 1771.114China Shatghai. iinghaiUr ited Mates, M dig an. RcmraH 14.111,111214.107.Z3Z77精品資料可編輯修改次跨站腳本 15 次跨站腳本 3 次目錄遍歷 43 次目錄遍歷 8 次遠程文件包含命令注入 1 次24 次平均訪問請求（個）1119792平均應用流量（KBytes ）10615466299攻擊次數(shù)最多來源210.30.103.45220.181.89.16220.181.158.21遼寧大連86北京電信北京電信七、改進措施1）開啟 DDOS 防護，防