Salta ai contenuti
Generatore di traffico

Architettura

Scopo

Sezione intitolata “Scopo”

Questo componente fornisce una piattaforma automatizzata di generazione del traffico che produce traffico di attacco, scansioni di ricognizione, simulazione bot e abuso API contro un load balancer HTTP F5 Distributed Cloud. È l‘“attaccante” in una tipica architettura demo — la fonte di traffico malevolo e sospetto che le funzionalità di sicurezza di F5 XC sono progettate per rilevare e bloccare.

Nell’architettura demo:

Traffic Generator VM -> F5 XC HTTP LB (WAF/Bot/API/CSD) -> Origin Server VM

Il Generatore di traffico invia richieste all’FQDN pubblico del load balancer F5 XC. La piattaforma F5 XC ispeziona e filtra il traffico prima di inoltrare le richieste legittime al server di origine. L’operatore esamina quindi i log degli eventi di sicurezza di F5 XC per dimostrare il rilevamento e l’applicazione delle policy.

Architettura

Sezione intitolata “Architettura”
graph LR
    TG[Traffic Generator VM<br/>Ubuntu 24.04<br/>Standard_F16s_v2] -->|Attack Traffic<br/>HTTPS| XCHLB[F5 XC HTTP LB<br/>WAF / Bot Defense<br/>API Security / CSD]
    XCHLB -->|Filtered Traffic<br/>HTTP| ORIGIN[Origin Server VM<br/>nginx + Docker Apps]
    TG -->|Direct Baseline<br/>HTTP optional| ORIGIN
    RUNNER[runner.sh] --> SUITES[19 Traffic Suites]
    SUITES --> TG

La VM del Generatore di traffico è eseguita su Azure con:

  • Ubuntu 24.04 LTS come immagine base
  • Oltre 50 strumenti di sicurezza installati tramite cloud-init durante il provisioning
  • 19 suite di traffico organizzate con script numerati eseguiti in ordine
  • runner.sh come orchestratore per l’esecuzione delle suite con registrazione dei risultati
  • config.env per la configurazione del target (FQDN, IP di origine)

Categorie di strumenti

Sezione intitolata “Categorie di strumenti”
CategoriaStrumentiScopo
Test delle applicazioni webnikto, sqlmap, nuclei, dalfox, ffuf, gobuster, feroxbuster, dirb, whatwebGenerazione di payload di attacco WAF
Analisi di retenmap, masscan, tshark, hping3, tcpdump, netcat, ngrep, iperf3, mtrRicognizione e probing di rete
MITM e proxymitmproxy, socatIntercettazione e manipolazione del traffico
Test SSL/TLSsslscan, sslyze, testssl.shScansione della configurazione TLS
Automazione del browserplaywright, puppeteer, puppeteer-extra-plugin-stealthSimulazione bot con Chrome headless
Sottodomini e DNSsubfinder, httpx, amass, dnsrecon, fierce, whois, dnsutilsRicognizione ed enumerazione
Test delle credenzialihydra, medusa, ncrackSimulazione di attacchi di autenticazione
Test di evasione WAFgotestwaf, waf-bypass, wfuzzEvasione con codifica multi-livello e valutazione bypass WAF
Framework di exploitZAP, Metasploit (solo tier completo)Scansione completa delle vulnerabilità

Installazione a livelli

Sezione intitolata “Installazione a livelli”

Il Generatore di traffico supporta due livelli di installazione controllati dalla variabile Terraform tool_tier:

Livello Standard (predefinito)

Sezione intitolata “Livello Standard (predefinito)”

Installa tutti gli strumenti elencati nel catalogo degli strumenti ad eccezione di ZAP e Metasploit. Il provisioning si completa in 15-20 minuti. Questo livello copre tutte le 19 suite di traffico ed è sufficiente per la maggior parte degli scenari demo.

Livello Completo

Sezione intitolata “Livello Completo”

Aggiunge OWASP ZAP e Metasploit Framework al livello standard. Il provisioning richiede circa 25 minuti. Questi strumenti sono di grandi dimensioni (ZAP ~500 MiB, Metasploit ~1 GiB) e sono necessari solo per demo avanzate di scansione delle vulnerabilità.

Consultare il calcolatore dei prezzi di Azure per i costi correnti delle VM. Il valore predefinito Standard_F16s_v2 è un’istanza ottimizzata per il calcolo, adatta alla generazione di traffico sostenuto.

Punti di integrazione

Sezione intitolata “Punti di integrazione”

Questo componente si integra con altri due componenti demo:

  • Server di origine — Il backend di destinazione che ospita Juice Shop, DVWA, VAmPI, httpbin e whoami. Il Generatore di traffico invia traffico di attacco attraverso F5 XC per raggiungere queste applicazioni. Vedere Integration per i dettagli completi dell’architettura.

  • Demo CSD — L’applicazione demo di Difesa lato client sul server di origine. La suite di traffico javascript-exploits genera payload di iniezione di script in stile Magecart che F5 XC Client-Side Defense rileva. Questo valida la funzionalità CSD di fase 2.

Design a componenti modulari

Sezione intitolata “Design a componenti modulari”

Ogni componente del laboratorio è autonomo e distribuito in modo indipendente:

  • Generatore di traffico (questo componente) fornisce la fonte di attacco
  • Server di origine fornisce i target applicativi vulnerabili
  • Simulatore CDN fornisce il livello di caching edge CDN (opzionale)
  • Configurazione F5 XC fornisce le policy di WAF, Difesa Bot, Sicurezza API e CSD

L’operatore umano o l’assistente IA aggiunge i componenti uno alla volta. Distribuire prima il server di origine, configurare F5 XC davanti ad esso, quindi distribuire il generatore di traffico che punta all’FQDN del load balancer F5 XC.