Gerador de Tráfego
Implante uma VM de geração de tráfego com mais de 50 ferramentas de segurança, 19 suítes de ataque organizadas e automação headless Chrome para validação abrangente de demonstrações do F5 XC.
O Que Este Recurso Oferece
Seção intitulada “O Que Este Recurso Oferece”O Gerador de Tráfego é uma VM Azure desenvolvida especificamente para produzir tráfego de ataque realista, varreduras de reconhecimento, simulação de bots e padrões de abuso de API contra um load balancer HTTP do F5 Distributed Cloud. Ele valida que as políticas de WAF, Bot Defense, API Security e Client-Side Defense estão configuradas corretamente, gerando exatamente o tráfego que essas funcionalidades foram projetadas para detectar e bloquear.
Todas as ferramentas são pré-instaladas via cloud-init durante o provisionamento com Terraform. O tráfego é organizado em suítes que podem ser executadas individualmente ou em sequência utilizando o orquestrador runner.sh incluído.
Categorias de Suítes de Tráfego
Seção intitulada “Categorias de Suítes de Tráfego”| Suíte | Descrição | Funcionalidade F5 XC Validada |
|---|---|---|
| api-attacks | OWASP API Top 10, modo API do SQLMap, descoberta de parâmetros, fuzzing de endpoints | API Security |
| bot-simulation | Headless Chrome, Puppeteer stealth, automação Playwright, rastreamento acelerado | Bot Defense |
| cdn-load-testing | Comportamento de cache, thundering herd, pool de conexões, multiplexação HTTP/2 | Integração CDN |
| crapi-exploits | BOLA, força bruta de OTP, manipulação de JWT, SSRF, injeção NoSQL, IDOR | API Security |
| csd-demo-attacks | Skimmer de cartão, formjacker, keylogger, cryptominer, sequestro de DOM | Client-Side Defense |
| dvga-exploits | DoS por batch query, recursão profunda, injeção SQL, abuso de introspecção | API Security (GraphQL) |
| dvwa-exploits | Força bruta, injeção de comandos, CSRF, inclusão de arquivos, SQLi, XSS | WAF |
| javascript-exploits | Manipulação de DOM, injeção de script inline, payloads de skimming estilo Magecart | Client-Side Defense |
| juice-shop-exploits | Bypass de login via SQLi, XSS, IDOR, acesso administrativo, acesso a arquivos com null byte | WAF, Bot Defense |
| mitre-attack | Táticas ATT&CK: reconhecimento, acesso inicial, acesso a credenciais, exfiltração | WAF, Bot Defense, API Security |
| owasp-scanning | ZAP, Nikto, Nuclei, varredura de vulnerabilidades com Nmap, relatório OWASP combinado | WAF, Varredura de Aplicações Web |
| performance-testing | Rampa de concorrência, carga sustentada, teste de picos, descoberta de ponto de ruptura | DDoS, Limitação de Taxa |
| reconnaissance | Nmap, Masscan, Gobuster, Subfinder, força bruta de diretórios | WAF / Bot Defense |
| restaurant-exploits | BOLA, BOPLA, BFLA, bypass de limitação de taxa, segredo fraco JWT | API Security |
| ssl-scanning | SSLScan, sslyze, análise de configuração TLS com testssl.sh | WAF |
| traffic-generation | Tráfego HTTP legítimo de alto volume para baseline e testes de carga | Todas |
| waf-encoding-evasion | Codificação multicamada URL/HTML/Unicode, codificação aninhada mista, TE fragmentado, injeção de cabeçalho | WAF |
| web-app-attacks | Injeção SQL, XSS, injeção de comandos, path traversal, Nikto, Nuclei | WAF |
| demoapp-attacks | SQLi, XSS, path traversal contra endpoints de teste WAF do F5 DemoApp | WAF |
ArquiteturaLayout da VM, categorias de ferramentas, instalação em camadas e pontos de integração com o origin-server e o F5 XC.
ImplantaçãoGuia completo do Terraform: clone, configuração, aplicação e verificação do funcionamento de todas as ferramentas.
Catálogo de FerramentasTodas as ferramentas instaladas organizadas por categoria, com método de instalação, exemplos de comandos e mapeamentos de suítes.
Referência de SuítesDescrição detalhada de cada suíte de tráfego, scripts, ferramentas utilizadas e resultados esperados de detecção no F5 XC.