提供される機能
Section titled “提供される機能”トラフィックジェネレーターは、F5 Distributed Cloud の HTTP ロードバランサーに対してリアルな攻撃トラフィック、偵察スキャン、ボットシミュレーション、および API 悪用パターンを生成するために特別に構築された Azure VM です。WAF ポリシー、Bot 高度防御、API セキュリティ、およびクライアントサイド防御が正しく設定されていることを検証するために、それらの機能が検出・ブロックするように設計されたトラフィックを正確に生成します。
すべてのツールは Terraform プロビジョニング中に cloud-init を通じてプリインストールされます。トラフィックはスイートにまとめられており、付属の runner.sh オーケストレーターを使用して個別または順番に実行できます。
トラフィックスイートのカテゴリ
Section titled “トラフィックスイートのカテゴリ”| スイート | 説明 | 検証対象の F5 XC 機能 |
|---|---|---|
| api-attacks | OWASP API Top 10、SQLMap API モード、パラメーター探索、エンドポイントファジング | API セキュリティ |
| bot-simulation | ヘッドレス Chrome、Puppeteer ステルス、Playwright 自動化、高速クローリング | Bot 標準防御 |
| cdn-load-testing | キャッシュ動作、サンダリングハード、接続プール、HTTP/2 マルチプレキシング | CDN 統合 |
| crapi-exploits | BOLA、OTP ブルートフォース、JWT 操作、SSRF、NoSQL インジェクション、IDOR | API セキュリティ |
| csd-demo-attacks | カードスキマー、フォームジャッキング、キーロガー、クリプトマイナー、DOM ハイジャック | クライアントサイド防御 |
| dvga-exploits | バッチクエリ DoS、深い再帰、SQL インジェクション、イントロスペクション悪用 | API セキュリティ (GraphQL) |
| dvwa-exploits | ブルートフォース、コマンドインジェクション、CSRF、ファイルインクルージョン、SQLi、XSS | Web アプリファイアウォール (WAF) |
| javascript-exploits | DOM 操作、インラインスクリプトインジェクション、Magecart スタイルのスキミングペイロード | クライアントサイド防御 |
| juice-shop-exploits | SQLi ログインバイパス、XSS、IDOR、管理者アクセス、ヌルバイトファイルアクセス | Web アプリファイアウォール (WAF)、Bot 標準防御 |
| mitre-attack | ATT&CK 戦術: 偵察、初期アクセス、認証情報アクセス、データ流出 | Web アプリファイアウォール (WAF)、Bot 標準防御、API セキュリティ |
| owasp-scanning | ZAP、Nikto、Nuclei、Nmap 脆弱性スキャン、統合 OWASP レポート | Web アプリファイアウォール (WAF)、Web アプリスキャン |
| performance-testing | 同時接続数ランプ、持続的負荷、スパイクテスト、ブレークポイント探索 | DDoS 対策、レート制限 |
| reconnaissance | Nmap、Masscan、Gobuster、Subfinder、ディレクトリブルートフォース | Web アプリファイアウォール (WAF) / Bot 標準防御 |
| restaurant-exploits | BOLA、BOPLA、BFLA、レート制限バイパス、JWT 弱シークレット | API セキュリティ |
| ssl-scanning | SSLScan、sslyze、testssl.sh TLS 設定分析 | Web アプリファイアウォール (WAF) |
| traffic-generation | ベースラインおよび負荷テスト向けの大量の正規 HTTP トラフィック | すべて |
| waf-encoding-evasion | 多層 URL/HTML/Unicode エンコード、混在ネストエンコード、チャンク TE、ヘッダーインジェクション | Web アプリファイアウォール (WAF) |
| web-app-attacks | SQL インジェクション、XSS、コマンドインジェクション、パストラバーサル、Nikto、Nuclei | Web アプリファイアウォール (WAF) |
| demoapp-attacks | F5 DemoApp WAF テストエンドポイントに対する SQLi、XSS、パストラバーサル | Web アプリファイアウォール (WAF) |
アーキテクチャVM レイアウト、ツールカテゴリ、段階的インストール、オリジンサーバーおよび F5 XC との統合ポイント。
デプロイTerraform の完全なウォークスルー: クローン、設定、適用、およびすべてのツールが動作していることの確認。
ツールカタログインストール方法、コマンド例、スイートマッピングとともにカテゴリ別に整理されたすべてのインストール済みツール。
スイートリファレンス各トラフィックスイートの詳細な説明、スクリプト、使用ツール、および期待される F5 XC 検出結果。