waf日志分析报告

1、WAF部署方式衡固WE应用安全网关日志分析报告10月1日-10月31日XXXXX科技发展有限公司2012年11月WAF的部署方式有3种：出接，并接和双机热备。出接主要部署在快速部署的系统中， 工作于透明模式，具有bypass的功能；并接主要针对不能中断的系统；双机热备则具有更高 的安全性和可靠性，当一台 waf出现故障，另一台会自动开启防护功能。资源占用情况统计和分析 CFU利用率CPU利用率；''1 ' .： I.； f . r！V，if . UU"口:二廿:二&二二我二二的二二彩二:豺二二磔二二二:廿二:二:以一二世:/猫二V. Jet二息二:必.

2、u U.装:;域二二让： o-H & & " 一k* 一 /I. JO41艇由 42W «k 431. M10(2012-1001 10:54:16 - H - 2012-11-01 13 54 16) CHJ使闲聿当前值.18. 63意大值：4九强平均值14.34贵后更新的到2012-11-01 13:5544内存利用率内存利用率加i 41平均隹20 73(2012-10-01 W:H:1I - M - Ml 2-11-01 11:M:lti内存使用率： 当前他.21.的 晶大值.25.17京后更新时间 2012-11-01 13 55:44图2-1 wa

3、f的CPUW内存使用率从上图中可以看出，10月1日到10月31日，waf的CPUE用率平均14.34%,内存使用 的平均利用率为20.73%,总体资源耗费不大，但在不断的流量监控的过程中 CPU勺使用会出 现较高的峰值。三、网站的访问请求、应用流量和响应时间统计丫访诃请求统计脆$ 40«& 41肥4 42*e+ 甘类型加速访问0未口口速访问量:总坊问量：当前脩一011301130最大值?2517251平均情一011191113(>12-10-01 10 5«:4Q - Sil - 2012-11-01 13:56;4班器后更祈时间- 2012-11-Q1 13

4、 50:1?图3-1访问请求统计'应用原里统计应用流量统计Kedi 卸*41Week 92led< 43Teek 44(2D12-1 (MJ1 1O:56:4fi -到-201 2-1 HOI U:56:46;类型一当前值一一M大值一T 均值一加速滴量4146716未加电流置：BS93359500e10G758 息流 R:S7498592337106154最后更新时阊 M12-11-01 13.5EJ 17图3-2应用流量统计0响应间统计响应时间统计hllll山“山山4.1(2012-10-01 10:56:46 -到-2012-11-0113:56:46)类型加速附应时间：未加

5、速响应时间:平均响应时间：当前值0量大值09090一平均值一 011111后更新时闿:2012-11-01 13 50:17图3-3响应时间统计网站的平均总访问量为1119000个，平均总应用流量为106154KBytes,网站的平均响应 时间为11毫秒。四、WEB服务受攻击与WA啊站防护对比分析2012-10-032012-11-01疯:感)基本防沪岫生防护口口。级击防护孱髓驯图4-1攻击防护2012-10-01 0 0:00:00 - 2012-10-31 23:59:59 We 的击制 TOP 102% U 216.30.10 J.4S 2LS3D103 149 203.2C&6

6、022S£06 6029 203 20a&0230 113.106.103.ua J22LB010190 2U.15a30.3S 21a 7(1229,116 6719511143序号攻击类型攻击次数攻击砍数比率121S,30.1Q3.454089324%2218.30,103,1491713910%3203 20S 60 22835072%4203 MS 0 22933042%5203208.60 23032972%61B,1061Q3,13818B41%7222 1S0.10.19Q16591%g211 15830 13S15241%g2.70,229.11613441%

7、1067.195 111.4311501%2012-10 01 0000:00-2012401 23:5959MbJjJ击痂十TQP10口 China，Eifinq Beijing口 China Chongqing Ctiongqing China bhiled States, California Sunnyvale L6317712S114B Chinft Shcinghai. Shanghai Lhited Stages, Michigan, Romeo口 14-1111112口 U1Q7J3277n Chin 或 5i ch nan. Chengdu序号地址来源攻击次数攻击次数比率1C

8、hina. Beijing, Beijing12997176%2Chum. Chongqing. Chongcpng147529%3China146869%4United States. C aHbrnia. Sum户句f16201%5163177.12E.1H10131%6China, Shanghai-61!0%7United States. ZviichigaiL Romeo5880%B14.11LL1124700%9"107332 力43&眸10China. Sichuan. Chengdu3950%图4-2攻击源统计从以上的攻击防护与攻击源的图可以看出，绝大多数防护

9、的是网络爬虫，而网络爬虫的 作用是使网站在各大搜索引擎中更容易被找到，因此正常的网络爬虫没有危害，若某些IP大量使用一种爬虫而造成网站的访问很缓慢的情况，则需要阻断这些IP的访问使得网站访问正 常。另外，waf防护的攻击还有SQL注入，所谓的SQL注入，就是攻击者通过欺骗数据库服 务器执行非授权的任意查询过程。攻击者通过 SQL注入可获取管理员权限，进而操作后台数 据，篡改网页内容。五、历史同期的比较4.1 攻击类型较上月分析，CC攻击、目录遍历、远程文件包含攻击在10月份均没有出现，而且 SQL注入攻击也较上月的52次降到38次。4.2 访问流量下图为10月份用户访问请求的流量图。2012-

10、10-01 0。时2012-11-01 23 时浏僦计浏览器流量663829779J242155 4 63 5MB非浏览器流量5333038068408249SXIB访客IP访问次数网贝访问堇文件请求数字节数Chin电 Shanghai. Shanghai Ufriited States, Midiigan, Romeo 141111112 1410723277 匚hina Sichuan,匚henqdu访问流量的对比将在下个月的分析报告中体现4.3 攻击源地址2012-1001 00:00:002012-10-31 与；59： 5 9 Web攻击苑十TOP 10B China, Beijin

11、g. Beijing Oiin Chongqing Chongqing China United States, California SunnyvaleH 163.177.12B114序号地址来源攻击次数攻击次数比率1China Beijmg: Beijing12997176%2Chin41 Chongqmg, Chongqiiig147929%3China146869%4United States； Califbmia SunnyvaJ巳16201%5163.177.128.11410131%6China. Shanghai： Shanghai6110%7United State与Mich

12、igan, Romeo5880%814.111.1.1124700%914.107.232.774360%10Chini Sichuan, Chengdu必0%攻击的IP地址对应的地区绝大多数来自北京， 和上月相同。造成这种情况形成的原因可 能是由于使用扫描器对网站进行扫描，使用不同的攻击代码对网站访问时， waf都会记录攻 击信息，生成攻击防护日志。六、跟其他单位waf的比较人口信息中心商委教委质监局攻击类型与次数SQL注入38次SQL注入814次跨站脚本3次 目录遍历8次命令注入1次SQLtt入38次 跨站脚本15次 目录遍历43次 远程文件包含 24次SQL注入25次平均访问请求（个）1119792平均应用流量（KBytes）10615466299攻击次数最多来源210.30.103.45辽宁大连220.181.89.168北京电信220.181.158.216北京