《waf日志分析报告模版.docx》由会员分享,可在线阅读,更多相关《waf日志分析报告模版.docx(9页珍藏版)》请在三一办公上搜索。
1、衡固WEB应用安全网关固日志分析报告10月1日-10月31日XXXXX科技发展2012年11月一、WAF部署方式WAF的部署方式有3种:串接,并接和双机热备。串接主要部署在快速部署的系统中, 工作于透明模式,具有bypass的功能;并接主要针对不能中断的系统;双机热备则具有更高 的安全性和可靠性,当一台waf出现故障,另一台会自动开启防护功能。二、资源占用情况统计和分析 CPU利用率GPU利用率(2012-10-01 10:54:16 -到-2012-11-01 13:54:16)当前直.I氏03昼大值:4(5. 7S平均值I4. 34吊后更新国间:2012-11-01 13:55:44内存利
2、用率(2012-10-01 10:54:16 -到-2012-11-01 13:54:15)内存使用率.当前值.E1. 87量大值.E5. I7平均值ZO. 73箫后更萌时间:2012-11-01 13:55 44图2-1 waf的CPU和存使用率从上图中可以看出,10月1日到10月31日,waf的CP U应用率平均14.34%,存使用的 平均利用率为20.73%,总体资源耗费不大,但在不断的流量监控的过程中CPU的使用会出现 较高的峰值。三、的访问请求、应用流量和响应时间统计4. 0 k访问请求统计访问请求统计(2012-10-01 10:55:46 -到-20 2-11-01 13:56:
3、46)信后豆新时间2012-11-01 13:58:17类型加诬访I可重未加速访问置总访问园:当前恒一 0一最大值一 一平均恒一0D113072511119113072511119图3-1访问请求统计应用流旦统计应用流量统计类型加未加速加迁总、流宣:当前直一一吊大值一一平均值一414671SSS933596OCB1O375SS749S582937106154居后更祈时间:Z012-11-01 13:58:17图3-2应用流量统计响应时间统计响应时间统计soSO:d 111 IkdidlL liuMUiWmWeek tQWeek 4l*2. 42Keek 43Week 44(2012-10-01
4、 10:58:46 -到-012-11-01 13:55:46)类型一当前值一 一吊大直一 一平均值一加速响应时间000亲加速防危时间:19011平均响应时间19011吊后更湖t 时旬:2012-11-01 13:58:17图3-3响应时间统计的平均总访问量为1119000个,平均总应用流量为106154KBytes,的平均响应时间为11 毫秒。四、WEB服务受攻击与WAF防护对比分析2012-10-03-2012-11-01基本昉护爬虫昉护D8S攻击昉护局洞总测g7 4l-qsQ舀0M-.4 b、6 Eii 1 r-Tr- D 5 m2E cn料F15 E9 Efl-d*I布o|r1!nE5
5、g、86i_nEt?.3sTG SIr-lS.QEE同 器l-lCJE 骂 m QErlmcl舛 F岗口 MI.sETm 口 oErQS由# EQf EJ 富昌*局5局口 8MO岩同! #IlEII京巴 E MBIOEOOR Rae依 14 匝_5苣.咚耳 NII7.1E.JstRB538.rf.800T2312-10-01 00.00:00-2012-10-31 23:59:59 Wm 成击葡TOPZIO China. Beijing. Beijing China. Chongqing, Chongcjng China|_| Lhited lates, Ca肝ornia Sunnyvale
6、L63.L77.12B.114 Chin 可 S ha ng ha Shanghai Lhited State;, Midiigan, Romeo L4.1LL.11L2 L4.107.232 77 Chin& Sichuan. Chengdu序号地址来源攻击折裁攻击权涂比率1China. Bcijtnge Beijing1299776%2Chbia: Chongqing. Chongqing1+7929%3China146869%-United States. Califbnih. Sunnyvatu35201%5163.177.128.1H10131%6China. Shanghai. S
7、hsngluM6i 0%nUttked Stats. MdUgai. R&mje-o5850%8MJll.l.ill47Q0%914.107232.774360%reChina, SichuarL Cliengdu3S50%图4-2攻击源统计从以上的攻击防护与攻击源的图可以看出,绝大多数防护的是网络爬虫,而网络爬虫的 作用是使在各大搜索引擎中更容易被找到,因此正常的网络爬虫没有危害,若某些IP大量使 用一种爬虫而造成的访问很缓慢的情况,则需要阻断这些IP的访问使得访问正常。另外,waf防护的攻击还有SQL注入,所谓的SQL注入,就是攻击者通过欺骗数据库服 务器执行非授权的任意查询过程。攻击者通
8、过SQL注入可获取管理员权限,进而操作后台数 据,篡改网页容。五、历史同期的比较4.1攻击类型较上月分析,CC攻击、目录遍历、远程文件包含攻击在10月份均没有出现,而且SQL 注入攻击也较上月的52次降到38次。4.2访问流量下图为10月份用户访问请求的流量图。2012-1D01 OCI 时-2012-11-01 易时浏览统计访客IP访问次数网页访问量文件请求教字节教浏览器流童-663829779124215546S.5MB非浏览器浇量-53330306840g249MB访问流量的对比将在下个月的分析报告中体现4.3攻击源地址2012-10-01 00:00:00-2012-10-31 23:
9、 59:5 9 We WTOP1D China Beijing, Beijing China. Chongqing, Chongqing China Unitpd States, Califcrnia, SunnyvaleM 163.17712S 114 China. Shanghai, Sianghai United States, Michigan, Romeo 14.111.1.112 W. 107.232.77 China 5ichun Chengdu序号地址来源攻击次数攻击次教比率1China, Eajmg, Beijing12997176%2China. Chongqing. Ch
10、ongqing147?23Chiaa146869%4UuLted States. Cdtfornia. Sunnyvale16201%匚163.177.128.11410B1%5Chfaa, Shanghai, Stiangiiai6110%7Cnjled Stales. Mictiigan. R.&tneo588盛814.111.1.1124700%&14 107.232.774360%10ChiniL Sichuan. Chengdu3950%攻击的IP地址对应的地区绝大多数来自,和上月相同。造成这种情况形成的原因可能是 由于使用扫描器对进行扫描,使用不同的攻击代码对访问时,waf都会记录
11、攻击信息,生成 攻击防护日志。六、跟其他单位waf的比较人口信息中心商委教委质监局攻击类型与次数SQL注入38次SQL注入814次 跨站脚本3次 目录遍历8次 命令注入1次SQL注入38次 跨站脚本15次 目录遍历43次 远程文件包含 24次SQL注入25次平均访问请求(个)1119792平均应用流量(KBytes)10615466299攻击次数最多来源210.30.103.45220.181.89.168电信220.181.158.216电信七、改进措施1)开启DDOS防护,防止DDOS攻击 2)关闭爬虫防护,减少防护日志,提高waf性 能 3)开启的漏洞扫描,避免由于漏洞带来的威胁。八、定性分析从上面的分析中可以看出,WAF有效的检测并阻断各类攻击,避免SQL注入漏洞的检测 和攻击,解决了 SQL注入带来的危害,通过报表统计可以看到攻击的来源,能够更有效的追 溯攻击来源,使得的安全得到保障。
