waf日志分析报告

1、精品资料可编辑修改WAF部署方式衡固 WE 師用安全网关日志分析报告10月1日-10月31日XXXXX科技发展有限公司2012年11月精品资料可编辑修改WAF 的部署方式有 3 种：串接，并接和双机热备。串接主要部署在快速部署的系统中，工作于透明模式，具有 bypass 的功能；并接主要针对不能中断的系统；双机热备则具有更 高的安全性和可靠性，当一台 waf 出现故障，另一台会自动开启防护功能。资源占用情况统计和分析*) EPU利用军CPU利用率7 爼4F囂心IMd口440012-1001 10 141B - M - 2012-11-01 II 54:16)口阳宰；岂前直IB HI大值啊Tfl

2、平均值|4 J4禺后更新时间-2CIZ-11-01 13-55-4*内存利用举* 4Q 4rWMA4?口刎(2012-1001 10 fl4:1B - M - 201J-11-01 11 54:16)口内弁值州丰当前值；剳，舁曙為值；旳，门平Z0. 73希后更硏时间：2012-11-Q1 13 55 +4精品资料可编辑修改图 2-1 waf 的 CPU 和内存使用率精品资料可编辑修改从上图中可以看出，10 月 1 日到 10 月 31 日，waf 的 CPU 应用率平均 14.34% ,内存 使用的平均利用率为 20.73%，总体资源耗费不大，但在不断的流量监控的过程中 CPU 的使 用会出现

3、较高的峰值。三、网站的访问请求、应用流量和响应时间统计:B诂间请求统计访问请求统计奘型当前世一帚丸苗一均值一加建访冋虽000口 未如選坊问菱：11907251111S戟片切fit113072511119St?新时间.2012-11-01 13 50.17图 3-1 访问请求统计应用流屋统计帚后更新时闻：20IM1-G1 13:50.17类型如迷血金未加還诜蚩.总猱虽.当前直一4BH933最大值-1457 590000Q7495629371cIt# 7581061147 0 ike.O k$0 *4.0 Ik3.0 k(2012-0-01 10-6 46 - 201 2-11-01 13:E6:

4、4C)平均值一精品资料可编辑修改图 3-2 应用流量统计精品资料可编辑修改舸应时间统计眾后更新时间:201Z-11-01 13 56 17图 3-3 响应时间统计网站的平均总访问量为 1119000 个，平均总应用流量为 106154KBytes ，网站的平均响应时间为 11 毫秒。.3 =类型勺口速响应时间：耒加速呢应时同:口平均駅应时間：当前値01最大值一09090均值一0111111edk聲42Week 43Wk. 442012-1CHD1 10:56 46-至I一2012-11-01精品资料可编辑修改四、WEB服务受攻击与WAF网站防护对比分析爬主旺护DIZQSI攵白用口届祠捡测201

5、2-1D-D3-2Q12-11-01归匚精品资料可编辑修改2d12-1(M2012-11-C1萬本茁护吧屯防护D3睁誠护局咼椅刑 I图 4-1 攻击防护2012-10-03 OQDO W2D1J-1O-31 2J旳:M啪甜攻占如TUP1CI21鶴CU茁葛21&J0.1Cd 149LI20J 2QB6O229?0? 20*602 0113 10613 L3J22? 1010190211 L5S301382ia7OJll 67195.11141驶击娄酣攻击战敕攻击诙数比率21B.3O 103 454089M24ti21S 30 103.149171391叭3203 208 60 2283502%4

6、20J20S 50 229幻站话5JOJJOS W.230*2972o6113106 103 1381S84J%精品资料可编辑修改222 180 10 190J他l$o211 SB 1013115241%g21S70J29.11613441$0106? 195 111I?J 150精品资料可编辑修改2012-1C-D1 00 00:03-2Q12-10-32 25:59:59 WEbfrTCPlO序吁地来慷攻击核数攻击枚数比率Ch,12991托CllijLl. CbucLLiquiL.147929%4ChineL4ti69%Lnied向rnia吕iwwiyvrtk1&2G1%163.177.1

7、28.13 J10131%66L10%Ucited Sutn. XGdudik RJHH?U58S0%SH 1M.1 9124700%914.107J32,77436叫10ChkuL Stchuan. ChcnEcfcjS?50%图 4-2 攻击源统计从以上的攻击防护与攻击源的图可以看出，绝大多数防护的是网络爬虫，而网络爬虫的作用是使网站在各大搜索引擎中更容易被找到，因此正常的网络爬虫没有危害，若某些 IP 大量使用一种爬虫而造成网站的访问很缓慢的情况，则需要阻断这些 IP 的访问使得网站访问正 常。另外，waf 防护的攻击还有 SQL 注入，所谓的 SQL 注入，就是攻击者通过欺骗数据库 服

8、务器执行非授权的任意查询过程。攻击者通过 SQL 注入可获取管理员权限，进而操作后台 数据，篡改网页内容。五、历史同期的比较4.1 攻击类型较上月分析，CC 攻击、目录遍历、远程文件包含攻击在 10 月份均没有出现，而且 SQL 注入攻击也较上月的 52 次降到 38 次Qin也aefng, Beijing口 市帆Ctirngcing口Chmd加閔 Z 屮iMf (inn艸M161177128.114Olin码ShdtighiL Sti dfigwUhiLMSidl纽前讪igdmAomeaH UJ111 112精品资料可编辑修改4.2 访问流量下图为 10 月份用户访问请求的流量图2012 I

9、D (XLCKJ时-2012 11 01 2时浏览统讨访客IP访问次数网页访间量文件请求数字节数-663829779124215546J.5MB非训览蛊流量-533303EO684OE245Sm访问流量的对比将在下个月的分析报告中体现4.3 攻击源地址精品资料可编辑修改2012-1C-01 00:00:00-2012-10-31 23:5:59TOPIC序号地址束源攻击衣数攻击次数比率1Chini Dcijii;Bcipn1299712匚hblN Chongqing. ChongqiifH7?23Chna146864Untfed States, Cilifoniia, Sunrale16J0i

10、%5皿1410131%6Cliha, S函圮城S血回皿6110%71. niteii States. XAichan. R.ortneoSS0iB14JU 1.112T7D0%914 07.232.774360%10ChuuL SichuEui Chengdu3950%攻击的 IP 地址对应的地区绝大多数来自北京， 和上月相同。造成这种情况形成的原因可能是由于使用扫描器对网站进行扫描，使用不同的攻击代码对网站访问时，waf 都会记录攻击信息，生成攻击防护日志六、跟其他单位waf的比较人口信息中心商委教委质监局攻击类型与次数SQL 注入 38 次SQL 注入 814SQL 注入 38 次SQL

11、注入 25 次China Beijing Beijingthin旦Cbionqing, Changc|ng罔ChinaUrited匚oliforniq Sunnyvale163 1771.114China Shatghai. iinghaiUr ited Mates, M dig an. RcmraH 14.111,111214.107.Z3Z77精品资料可编辑修改次跨站脚本 15 次跨站脚本 3 次目录遍历 43 次目录遍历 8 次远程文件包含命令注入 1 次24 次平均访问请求（个）1119792平均应用流量（KBytes ）10615466299攻击次数最多来源210.30.103.45220.181.89.16220.181.158.21辽宁大连86北京电信北京电信七、改进措施1）开启 DDOS 防护，防