本发明专利技术公开了一种基于离线pcap流量包的WAF反向代理检测方法,包括:步骤S100:在WAF系统的站点配置测试服务器;步骤S200:业务服务器对业务流量抓包并保存为抓包文件;步骤S300:测试服务器读取并解析所述抓包文件,并将解析后的请求和响应发送给WAF系统进行安全性检测,WAF系统如果检测到攻击,返回异常给测试服务器;否则通知测试服务器处理请求对应的响应,测试服务器对WAF系统返回的数据进行分析,检测WAF系统的功能。本发明专利技术采用离线的方式对WAF系统进行功能测试,提高测试效率,使用真实用户流量和业务服务响应进行测试,能够最大限度发现隐藏的问题,且不占用业务服务器的资源,对业务服务器没有影响。
【技术实现步骤摘要】
一种基于离线pcap流量包的WAF反向代理检测方法
本专利技术涉及网络安全
,具体的说,是一种基于离线pcap流量包的WAF反向代理检测方法。
技术介绍
当WEB应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。2007年,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)监测到中国大陆被篡改网站总数累积达61228个,比2006年增加了1.5倍。其中,中国大陆政府网站被篡改各月累计达4234个。企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题,由此产生了WAF(Web应用防护系统)。Web应用防护系统(WebApplicationFirewall,简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。随着信息化时代的发展,大量的WAF产品充斥在市场。由于WAF产品上线前需要对其稳定性和可靠性进行测试,但是,目前尚没有一套高效率测试WAF功能的方法。
技术实现思路
本专利技术的目的在于提供一种基于离线pcap流量包的WAF反向代理检测方法,用于解决现有技术中WAF产品的功能测试中缺少一套不影响业务系统的测试方法的问题。本专利技术通过下述技术方案解决上述问题:一种基于离线pcap流量包的WAF反向代理检测方法,包括:步骤S100:在WAF系统的站点配置测试服务器;步骤S200:业务服务器对业务流量抓包并保存为抓包文件;步骤S300:测试服务器读取并解析所述抓包文件,并将解析后的请求和响应发送给WAF系统进行安全性检测,WAF系统如果检测到攻击,返回异常给测试服务器;否则通知测试服务器处理请求对应的响应,测试服务器对WAF系统返回的数据进行分析,检测WAF系统的功能。工作原理:用户通过负载均衡服务向业务服务器发起请求,业务服务器通过抓包工具对流量数据包进行抓取并进行保存,用作流量回放,测试服务器获取流量回放,并采用安装在测试服务器上的测试程序对抓包文件进行解析,得到请求和响应。并将解析后的请求发送给WAF系统,WAF对接收到的请求进行安全检测,如果有检测到攻击,则返回异常给测试服务器,如果没有检测到攻击,则返回请求给测试服务器,测试服务器并将返回的请求对应的数据发送给WAF系统,WAF系统对接收到的请求结果进行安全检测,如果检测到攻击,则将异常返回给测试服务器,如果没有检测到攻击,则返回请求结果至测试服务器。测试服务器根据发送的请求和返回的请求进行对比,以及根据发送的请求对应的数据和WAF系统返回的请求结果进行对比,分别比较请求的数量是否一致,以及请求对应的响应是否一致,从而实现对WAF功能的测试,可以在WAF系统上线之前发现未知功能的缺陷,由于测试服务器是从业务服务器的抓包中进行流量分析,因此能够对真实的流量进行测试,实现完全模拟真实流量。进一步地,所述步骤S300具体包括:步骤S310:测试服务器读取并解析所述抓包文件,得到请求和响应;步骤S320:测试服务器对解析后的请求和响应进行预处理;步骤S330:测试服务器将预处理后的请求发送给WAF系统,WAF系统对接收的请求进行安全检测,如果检测到攻击,则返回异常给测试服务器;否则,WAF系统转发请求给测试服务器;步骤S340:测试服务器根据请求ID,查找到对应的请求响应,将WAF系统转发的请求对应的数据返回WAF系统;步骤S350:WAF系统对接收到的数据进行安全检测,如果检测到攻击,则返回异常给测试服务器;否则,WAF系统转发响应给测试服务器;步骤S360:测试服务器将发送的请求和响应与WAF系统返回的请求和响应对比分析,得到检测结果。测试服务器将抓包文件解析后,得到请求和响应,并对请求和响应做预处理,将在不同数据包的同一数据请求进行组装,并将同一请求在不同数据包中的响应进行组装。并对请求进行标识真实来源和唯一标识。首先,测试服务器将预处理后的请求发送给WAF系统,由WAF系统对请求进行安全检测,如果检测到请求中存在攻击,则返回异常给测试服务器,如果没有检测到攻击,则将请求返回测试服务器,测试服务器记录和判断发送的请求与返回的请求是否一致,并将返回的请求对应的响应发送给WAF系统,WAF系统对接收到的响应进行安全检测,如果检测到攻击,则返回异常给测试服务器,如果没有检测到攻击,则返回响应给测试服务器,测试服务器记录并检测WAF系统返回的响应是否与发送请求对应,分析判断WAF系统的功能。测试服务器内安装有测试程序,该测试程序实现两方面的功能:(1)读取和解析抓包文件,将请求和WAF系统返回请求ID对应的响应发送给WAF系统;(2)根据WAF系统返回的响应结果,统计分析输出测试报告,其中报错异常响应、攻击响应、正常响应三类结果。进一步地,所述步骤S330中测试服务器将预处理后的请求发送给WAF系统中是按照抓包文件的先后顺序发送;所述步骤S360中还包括判断是否所有的请求均发送,如果是,则结束;否则,返回步骤S330。测试服务器获取业务服务器的抓包文件,采用离线的方式,对抓包文件进行解析,预处理后,进行测试WAF系统,对请求的发送按照抓包文件的先后顺序,可以完全模拟业务服务器的真实流量,且由于采用了离线pcap流量包,没有占用业务服务器的资源,对业务服务器不产生影响。进一步地,所述步骤S320中对请求进行预处理包括将同一请求的TCP数据包进行组装,并在请求的httpheader内增加xff头,用于对请求进行真实来源客户端标识,以及在请求的httpheader内增加request-test-id头,用于对请求进行唯一标识;所述步骤S320中对响应进行预处理包括对同一请求的TCP数据包响应内容进行组装,并根据响应编码格式进行分段处理。由于在请求的抓包是分段的,即可能存在一个数据包中有多个请求,或者一个请求在不同的数据包里面,因此需要将不同数据包中的同一个请求进行组装,在请求的httpheader内增加xff头和request-test-id头,进行标识真实来源客户端和唯一标识,可以对请求溯源。由于同一个请求对应的响应也可能分别存在多个数据包中,因此,对响应的预处理需要将同一个请求对应的响应进行组装。进一步地,所述步骤S200中的抓包采用tcpdump/pcap工具。本专利技术与现有技术相比,具有以下优点及有益效果:本专利技术采用离线的方式对WAF系统进行功能测试,提高测试效率,使用真实用户流量和业务服务响应进行测试,能够最大限度发现隐藏的问题,且不占用业务服务器的资源,对业务服务器没有影响。附图说明图1为本专利技术的流程图。具体实施方式下面结合实施例对本专利技术作进一步地详细说明,但本专利技术的实施方式不限于此。实施例1:结合附图1所示,一种基于离线pcap流量包的WAF反向代理检测方法,包括:步骤S100:在WAF系统本文档来自技高网...
【技术保护点】
1.一种基于离线pcap流量包的WAF反向代理检测方法,其特征在于,包括:步骤S100:在WAF系统的站点配置测试服务器;步骤S200:业务服务器对业务流量抓包并保存为抓包文件;步骤S300:测试服务器读取并解析所述抓包文件,并将解析后的请求和响应发送给WAF系统进行安全性检测,WAF系统如果检测到攻击,返回异常给测试服务器;否则通知测试服务器处理请求对应的响应,测试服务器对WAF系统返回的数据进行分析,检测WAF系统的功能。
【技术特征摘要】
1.一种基于离线pcap流量包的WAF反向代理检测方法,其特征在于,包括:步骤S100:在WAF系统的站点配置测试服务器;步骤S200:业务服务器对业务流量抓包并保存为抓包文件;步骤S300:测试服务器读取并解析所述抓包文件,并将解析后的请求和响应发送给WAF系统进行安全性检测,WAF系统如果检测到攻击,返回异常给测试服务器;否则通知测试服务器处理请求对应的响应,测试服务器对WAF系统返回的数据进行分析,检测WAF系统的功能。2.根据权利要求1所述的一种基于离线pcap流量包的WAF反向代理检测方法,其特征在于,所述步骤S300具体包括:步骤S310:测试服务器读取并解析所述抓包文件,得到请求和响应;步骤S320:测试服务器对解析后的请求和响应进行预处理;步骤S330:测试服务器将预处理后的请求发送给WAF系统,WAF系统对接收的请求进行安全检测,如果检测到攻击,则返回异常给测试服务器;否则,WAF系统转发请求给测试服务器;步骤S340:测试服务器根据请求ID,查找到对应的请求响应,将WAF系统转发的请求对应的数据返回WAF系统;步骤S350:WAF系统对接收到的数据进行安全检测,如果检测到攻击,则返...
【专利技术属性】
技术研发人员:龚致,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。