waf日志分析报告

《waf日志分析报告》由会员分享，可在线阅读，更多相关《waf日志分析报告（9页珍藏版）》请在装配图网上搜索。

1、衡固 WEB 应用安全网关日志分析报告10 月1 日-10月 31日xxxxx科技发展有限公司2012年11月、 WAF 部署方式WAF的部署方式有3种：串接，并接和双机热备。串接主要部署在快速部署的系统中， 工作于透明模式，具有bypass的功能；并接主要针对不能中断的系统；双机热备则具有更高 的安全性和可靠性，当一台waf出现故障，另一台会自动开启防护功能。、 资源占用情况统计和分析GPU利用率m 40m *Wed: 42gk 4344(2012-10-01 10:54:16 -對-2012-11-01 13:54:16) CFtHl 用率:当前直:13. 69最大值：46. 78平均值1

2、4.34最后更祈盯间：202-11-01 13:55:攀内存利月率内存利用率2010対3 11A2(2012-10-01 10:54:16 -到-2012-11-01 13:54:15)当削值.21.37虽大值.25. I7平均值.20. 73最后更新时间：13:55 44图2-1 waf的CPU和内存使用率从上图中可以看出，10月1日到10月31日，waf的CPU应用率平均，内存使用的平均利用率为，总体资源耗费不大，但在不断的流量监控的过程中CPU的使用会出现较高的峰值。三、网站的访问请求、应用流量和响应时间统计订问请求纯计访问请求统计7 0k6. 0 k平均值奠型加速访问左未加速访|fi：

3、总访i可员：试后更新时间:2012-11-01 13:当前恒一11301130Sir大値72517251D1119111958:17图 3-1 访问请求统计(2012-10-01 10:56:46 -對-2012-T1-O1 13:56:46)应用流量统计300 k400 k300 k200 k100 k类型加速济童：未加速祈量:总流量：平均值一18108758106154当前直一一最尢値4146759600687498582937最后更新时旬:201 2-11-01 13:58:17图 3-2 应用流量统计响应时间统计响应时间统计怖甘 41Wed-: 42囱.43怖甘 44(2012-10-

4、01 10:56:46 -到-2012-11-01 13:50:46)类型加速响应时间：未加速响应时间:平均叼应时间：当前值一1最丸直09090一平均值一01111St 后更新时旬:201 2-11-01 13:58:17图 3-3 响应时间统计网站的平均总访问量为1119000个，平均总应用流量为106154KBytes，网站的平均响应时间为 11 毫秒。四、WEB服务受攻击与WAF网站防护对比分析吧虫仿厂DUcS攻TTIT尿強刑基本咕护2012-10-0 3-2 D12-11 匸门2012-10-332012-J1-01最近丁天5CCCO4XB0IOCCO图 4-1 攻击防护2012-10

5、-01 0000 002012-10-31 23: S9:59 WebK ti+TDP1021S5O.103A521630.103.149 期 Z0B.6022S203.20&.60.229a)32DB.60.23D113.106103138222LBDL019Q21115 & 30.13821&70.229.11667195.1L1.4354%.序号攻击类型攻击找数攻击挨数比孝1218.30.103.454 089324%221B.30.3 03.3493713910%3203.20B. 60.2 283507用4203.2QS. 60.22933042佣5203.208.6Q. 2 303

6、2972骑6113.106.103.1381SS4l$50%图 4-2 攻击源统计从以上的攻击防护与攻击源的图可以看出，绝大多数防护的是网络爬虫，而网络爬虫的 作用是使网站在各大搜索引擎中更容易被找到，因此正常的网络爬虫没有危害，若某些IP大 量使用一种爬虫而造成网站的访问很缓慢的情况，则需要阻断这些IP的访问使得网站访问正 常。另外，waf防护的攻击还有SQL注入，所谓的SQL注入，就是攻击者通过欺骗数据库服 务器执行非授权的任意查询过程。攻击者通过 SQL 注入可获取管理员权限，进而操作后台数 据，篡改网页内容。五、历史同期的比较攻击类型较上月分析，CC攻击、目录遍历、远程文件包含攻击在1

7、0月份均没有出现，而且SQL 注入攻击也较上月的 52次降到 38次。访问流量下图为 10 月份用户访问请求的流量图。2012-1D01 00 时-2012-11-01 药时浏览统计访客IP访问欢数副页访问量文件请求数字节数-6638297791242155465.5MB非浏览誥流量-5333030684082498XIB访问流量的对比将在下个月的分析报告中体现攻击源地址序号地址束源攻击谀数攻击欢数比率145S78?10ChiiiL Beijing. BcijiiQg12997176%China, Cbongqing. Chongqing147929%Chha146師9%United Stal

8、es, CaEfoi血 Sunnyvale1601%163.177.128.11410B1%ChibL StiangbaL Sbangbai6110%United States. Michigan. R.ntneo5880%14.111 1.1124700%14 107.232.7743&0%Chinii- Sichuan. Chengdu3950%2012-10-01 00:00:00-2012-10-31 23： 59:59 We bWTOPlO China. Beijing, Beijing 匸hin耳 Chongqing, Chongqing China Un ited States,

9、匚alir.ia, Sunnyvale 163.177.12&.1W匚hinm Shanghai Si anghmi United States. Michigan. Roiti&d 14.111.1.11214.107.232.77 Chin. Sidiuan, Chengdu攻击的IP地址对应的地区绝大多数来自北京，和上月相同。造成这种情况形成的原因可能是由于使用扫描器对网站进行扫描，使用不同的攻击代码对网站访问时，waf都会记录攻击信息，生成攻击防护日志。六、跟其他单位waf的比较人口信息中心商委教委质监局攻击类型与次数SQL注入38次SQL注入814次 跨站脚本3次 目录遍历8次 命令注入1次SQL注入38次 跨站脚本15次 目录遍历43次 远程文件包含 24次SQL注入25次平均访问请求（个）1119792平均应用流量（KBytes）10615466299攻击次数最多来源辽宁大连北京电信北京电信七、改进措施1）开启DDOS防护，防止DDOS攻击 2）关闭爬虫防护，减少防护日志，提高waf性 能 3）开启网站的漏洞扫描，避免由于网站漏洞带来的威胁。八、定性分析从上面的分析中可以看出，WAF有效的检测并阻断各类攻击，避免SQL注入漏洞的检测 和攻击，解决了 SQL注入带来的危害，通过报表统计可以看到攻击的来源，能够更有效的追 溯攻击来源，使得网站的安全得到保障。