F5-ASMWebScrab安全测试报告2.docx

F5F5-ASM WEB应用安全测试报告王汀2011-2-12目录测试环境说明1测试过程说明4测试环境说明本篇文档主要目的是为了测试F5的ASM（应用安全防护）对WEB应用的防护效果。针对目前网络中几种常见的DDOS攻击，我们选用了几种业界有名的软件进行测试。本篇文档不涉及用户隐私以及漏洞等安全方面的说明。测试网络环境说明我们在自己公司内网架设了一台F5的ASM应用防火墙，将某网站的WEB服务器：125.x.x.x通过F5的VIRTUAL SERVER映射成33，在本地的testPC做WEB安全测试.需要做一个重定向，在testPC上需要对系统做一些修改，使得流量访问的是33：修改系统文件：C:\WINDOWS\system32\drivers\etc\hosts,添加记录:”33 . ”测试过程说明本次测试的主要目的是要看F5的ASM对目前网络上流行的WEBSCARAB爬虫DDOS攻击的防御性。我们选定了两款比较知名的软件（WEBGET, websphinx）来进行测试。在ASM上我们开启WEBSCARAB的一个智能检测过程，当F5发现一个客户端访问网页的行为不正常的时候会去测试这个客户端是否在运行一个软件对网站进行攻击。其防护原理是当发现异常会在网页中插入一个脚本，这个脚本会测试客户端的两个行为：1.客户端访问网页的是浏览器还是一个自动化脚本程序；2.客户端的鼠标键盘是正常在输入，还是执行了一个自动化脚本程序。如果ASM发现用户以上两种行为有一种异常，则终端此次连接，而不会去封客户端的IP。WEBGET在起始URL出输入正确的URL:33/cn/index.asp33/cn/index.asp完成以后开始测试 可以看到，扫描的次数是171，但是里面是没有内容的，因为到33/cn/index.asp33/cn/index.asp ASM就将请求给截断了，所以一直是到这个地方不能过去。在ASM上查看日志，发现已经拦截了76次。我们查看一下拦截的内容：这里说明拦截的类型是Web Scraping的，实验表明ASM能够正常拦截WEBGET的爬虫攻击！websphinx工具介绍：WebSPHINX是一个Java类包和Web爬虫的交互式开发环境。Web爬虫(也叫作机器人或蜘蛛)是可以自动浏览与处理Web页面的程序。WebSPHINX由两部分组成：爬虫工作平台和WebSPHINX类包。我们现在开始爬行网站，可以看到爬行到爬行成功，但是当LINKS TESTED到1312就不动了，爬行还在继续。现在我们看看ASM上的日志记录：可以看到，系统已经拦截了120次的攻击，那么我们来看看这些攻击:我们选择一个拦截日志，看看其具体内容：可以看到，这是一个WEB SCRAPING的攻击，系统已经成功拦截下来。测试结果经过以上测试，证明F5能够有效的针对各种爬虫攻击软件进行防护，且效果显著。F5对客户端的爬虫防护原理是通过在WEB回复的信息中插入一个脚本来识别客户端是否在进行自动化作业，如果是就拦截此次爬虫攻击，而不会拒绝客户端的正常的HTTP的流量。