waf日志分析報告

1、WA陪B署方式衡固WE應(yīng)用安全網(wǎng)關(guān)日志分析報告10月1日-10月31日XXXXX科技發(fā)展有限公司2012年11月WAF的部署方式有3種：用接，并接和雙機熱備。用接主要部署在快速部署的系統(tǒng)中，工作于透明模式，具有bypass的功能；并接主要針對不能中斷的系統(tǒng)；雙機熱備則具有更高的安全性和可靠性，當(dāng)一臺 waf出現(xiàn)故障，另一臺會自動開啟防護功能二、資源占用情況統(tǒng)計和分析® CPU利用率CPU利用率Vetk 占Nfea 43(2012-1001 10:94:1 G - H - 3012-11-01 13:54 16)圖2-1 waf的CPUW內(nèi)存使用率:削J用率；當(dāng)前值W 69 吊大值46

2、. 78 平均值H 34帚后更加時間 2012-11-01 13-55-4*內(nèi)存利用率(2012-KH1 10 54 16 - 1011-11-01 111 M 16)內(nèi)存使用率當(dāng)時值?I17M大值17平埼值ZO. TJ號后更新時間, 2OT2-11HJ1 13 55 44從上圖中可以看出，10月1日到10月31日，waf的CPU應(yīng)用率平均內(nèi)存使用的平均利用率為總體資源耗費不大，但在不斷的流量監(jiān)控的過程中 CPU勺使用會出現(xiàn)較高的峰值。三、網(wǎng)站的訪問請求、應(yīng)用流量和響應(yīng)時間統(tǒng)計>訪問請求統(tǒng)計訪問請求統(tǒng)計裝型 加速訪問置 未加速坊詞二: 息訪用置當(dāng)前信一 o11901130信大整一一平均勝

3、一0D7251111972511119第后更新時間.2012-11-01 13 50.17圖3-1訪問請求統(tǒng)計應(yīng)用流量統(tǒng)計HO12T0431 10:56 40 -到-2012-11-01 11:56:4桀型卯速流量.未加出液量.總流量.當(dāng)前登一一晶大值一 一平均值一4146713加93369500610175S749S5fi!S37106154房后更新時同：20R-I1-01 13:50.17圖3-2應(yīng)用流量統(tǒng)計®響應(yīng)時間統(tǒng)計響應(yīng)時間統(tǒng)計W«k. 44.S,2012-1CHD1 10:56 46 -到- 2012-11-01類蟹加強響底射間： 口未加速麗應(yīng)時間:平均洞應(yīng)時間

4、：當(dāng)前值01最大食09090均值一Q11111ft后更新時間:2012T1-01 13 56 J 7圖3-3響應(yīng)時間統(tǒng)計網(wǎng)站的平均響應(yīng)網(wǎng)站的平均總訪問量為1119000個，平均總應(yīng)用流量為106154KBytes, 時間為11毫秒。四、WEB艮務(wù)受攻擊與WA啊站防護對比分析苴對萬擴爬蟲防護口匚。315已由中局漏槍則if2012-1033*2312-11-01基士1方護括同核刑圖4-1攻擊防護2C12-1U-03 0000 00-291 -lC-31 2J 打巧鄉(xiāng) Weh發(fā)舌用 I W1 口U 21& 30.10345 21& 30_103 149 20J a»6OZ2

5、a 20j 2OB6O229 205 20160250 L1SLO6L：3L3S比Z居OMH* 2J115a 30138 aft 7023.116口 ai% m43序號攻擊類型攻擊貧效攻擊次數(shù)比率218301034540593羽£21F 30 103 149171391端3203.208 60 22S33072%420j.20£ 60 229品04說工303 20S fiO 23032972羯6113 1Ml031州1S£41*0222 180 10 1看蓊Bi£311 1 5H W B81*341%g21S.70.229.11613441%1067.1

6、5(5,111.43J 1501%2012-10-01 00 00:03-012-10-31 23:59;59WebTCPlO Chna Bet ng Qdjing口 Qm用 Chongqing Ctinngan Chmt LgitwI 片C* 311兩 L2iil4 Onh4 Shrilly j) Eh 1fli9” UhL討 SidlfMi山 igari,加mea 14. J 111 1L2 U1Q7232 Jin china. Mdiuan dtgdu.1a-一一一J序號地JI來源攻擊前敵攻擊放數(shù)比率1匚皿 Bri睡.后不面£12997J76%1Chtu典 Cbtu的zg Cl

7、ungqi嗎147929%3Chma146669%餐睚知而 Gimvvflk152Q1%f163.177.12S.13110131%6 Chili Shanidi. Shonghai6 L10%7 Uiited Sutes. XCdugoL Rotuc5SS0%SH 1H.1J124700%9J41074工了 74360%10ChkuL 甑huaiL ChaiE&3?50%圖4-2攻擊源統(tǒng)計從以上的攻擊防護與攻擊源的圖可以看出，絕大多數(shù)防護的是網(wǎng)絡(luò)爬蟲，而網(wǎng)絡(luò)爬蟲的 作用是使網(wǎng)站在各大搜索引擎中更容易被找到，因此正常的網(wǎng)絡(luò)爬蟲沒有危害，若某些IP大量使用一種爬蟲而造成網(wǎng)站的訪問很緩慢的

8、情況，則需要阻斷這些IP的訪問使得網(wǎng)站訪問正 常。另外，waf防護的攻擊還有SQL注入，所謂的SQL注入，就是攻擊者通過欺騙數(shù)據(jù)庫服 務(wù)器執(zhí)行非授權(quán)的任意查詢過程。攻擊者通過 SQL注入可獲取管理員權(quán)限，進而操作后臺數(shù) 據(jù)，篡改網(wǎng)頁內(nèi)容。五、歷史同期的比較攻擊類型較上月分析，CC攻擊、目錄遍歷、遠程文件包含攻擊在 10月份均沒有出現(xiàn)，而且 SQL 注入攻擊也較上月的52次降到38次。訪問流量下圖為10月份用戶訪問請求的流量圖2012 10 01。時 7012 11 01 2 3時瀏輟計訪客IP訪問次數(shù)網(wǎng)頁右同量文件請求數(shù)字節(jié)教冽覽器添重-663829779124215546J.5MB非冽覽器流

9、量-533303806840E24QSXIB訪問流量的對比將在下個月的分析報告中體現(xiàn)攻擊源地址 l-l口 2012-10-01 00:00:00-2012-10-31 23： 5959 3巳0廿占統(tǒng)計TOFI。China Beijha BeijingChind Chongqing ChangcfngChinaUrrite<il 固細工 California Sunnyvale L&31771K,111Chiri hanghiL SnanghiUnited States, M cjgan. RcmeaL4.1H 111214107.23277China Sichuan, Cheng

10、du序號地址未源攻擊次數(shù)攻擊次數(shù)比率1ChkuL Dci; Bcipn12997176%2Chbw, Chonfqiif. Chongqiif】47月泮33Chna146g64Unrted States,匚世bmia, 5皿ryval七163。i航16支1711 賞1410B1%6口山區(qū)加回向,31四時就6n0%71. niteii States. XAichari. R.omeo<SS0%814JU 1.1124700%g14 W7 23Z774360%10ChuuL Skhuaji Chengdu3950%攻擊的IP地址對應(yīng)的地區(qū)絕大多數(shù)來自北京， 和上月相同。造成這種情況形成的原因可能是由于使用掃描器對網(wǎng)站進行掃描，使用不同的攻擊代碼對網(wǎng)站訪問時，waf都會記錄攻 擊信息，生成攻擊防護日志六、跟其他單位waf的比較人口信息中心商委教委質(zhì)監(jiān)局攻擊類型與次數(shù)SQL注入38次SQL注入814次跨站腳本3次 目錄遍歷8次命令注入1次SQLtt入38次跨站腳本15次目錄遍歷43次遠程文件包含24次SQL注入25次平均訪問請求（個）1119792平均應(yīng)用流量（KBytes）10615466299攻擊次數(shù)最多來源遼寧大連北京電信北京電信七、改進措施1）開啟DDOS&護，防