ตัวสร้างทราฟฟิก
ติดตั้ง VM สำหรับสร้างทราฟฟิกพร้อมเครื่องมือความปลอดภัยกว่า 50 รายการ ชุดการโจมตีที่จัดระเบียบแล้ว 19 ชุด และระบบอัตโนมัติ headless Chrome สำหรับการตรวจสอบ F5 XC demo อย่างครอบคลุม
สิ่งที่ได้รับ
หัวข้อที่มีชื่อว่า “สิ่งที่ได้รับ”ตัวสร้างทราฟฟิกคือ Azure VM ที่สร้างขึ้นเพื่อวัตถุประสงค์เฉพาะในการสร้างทราฟฟิกโจมตีที่สมจริง การสแกนข้อมูลเบื้องต้น การจำลอง bot และรูปแบบการละเมิด API กับ F5 Distributed Cloud HTTP load balancer ระบบนี้ตรวจสอบว่านโยบาย ไฟร์วอลล์แอปเว็บ (WAF), Bot Defense, ความปลอดภัย API และการป้องกันฝั่งไคลเอนต์ได้รับการกำหนดค่าอย่างถูกต้องโดยสร้างทราฟฟิกที่ฟีเจอร์เหล่านั้นออกแบบมาเพื่อตรวจจับและบล็อก
เครื่องมือทั้งหมดติดตั้งล่วงหน้าผ่าน cloud-init ระหว่างการจัดเตรียม Terraform ทราฟฟิกจัดระเบียบเป็นชุดที่สามารถรันแยกกันหรือตามลำดับโดยใช้ตัวจัดการ runner.sh ที่มาพร้อมกัน
หมวดหมู่ชุดทราฟฟิก
หัวข้อที่มีชื่อว่า “หมวดหมู่ชุดทราฟฟิก”| ชุด | คำอธิบาย | ฟีเจอร์ F5 XC ที่ตรวจสอบ |
|---|---|---|
| api-attacks | OWASP API Top 10, SQLMap API mode, การค้นหาพารามิเตอร์, การ fuzzing endpoint | ความปลอดภัย API |
| bot-simulation | Headless Chrome, Puppeteer stealth, Playwright automation, การ crawling อย่างรวดเร็ว | Bot Defense |
| cdn-load-testing | พฤติกรรม cache, thundering herd, connection pool, HTTP/2 multiplexing | CDN Integration |
| crapi-exploits | BOLA, OTP bruteforce, JWT manipulation, SSRF, NoSQL injection, IDOR | ความปลอดภัย API |
| csd-demo-attacks | Card skimmer, formjacker, keylogger, cryptominer, DOM hijack | การป้องกันฝั่งไคลเอนต์ |
| dvga-exploits | Batch query DoS, deep recursion, SQL injection, introspection abuse | ความปลอดภัย API (GraphQL) |
| dvwa-exploits | Brute force, command injection, CSRF, file inclusion, SQLi, XSS | ไฟร์วอลล์แอปเว็บ (WAF) |
| javascript-exploits | DOM manipulation, inline script injection, เพย์โหลดสไตล์ Magecart skimming | การป้องกันฝั่งไคลเอนต์ |
| juice-shop-exploits | SQLi login bypass, XSS, IDOR, admin access, null byte file access | ไฟร์วอลล์แอปเว็บ (WAF), Bot Defense |
| mitre-attack | ATT&CK tactics: recon, initial access, credential access, exfiltration | ไฟร์วอลล์แอปเว็บ (WAF), Bot Defense, ความปลอดภัย API |
| owasp-scanning | ZAP, Nikto, Nuclei, Nmap vulnerability scanning, รายงาน OWASP รวม | ไฟร์วอลล์แอปเว็บ (WAF), การสแกนแอปเว็บ |
| performance-testing | Concurrency ramp, sustained load, spike testing, breakpoint discovery | การป้องกัน DDoS, Rate Limiting |
| reconnaissance | Nmap, Masscan, Gobuster, Subfinder, directory brute-forcing | ไฟร์วอลล์แอปเว็บ (WAF) / Bot Defense |
| restaurant-exploits | BOLA, BOPLA, BFLA, rate limiting bypass, JWT weak secret | ความปลอดภัย API |
| ssl-scanning | SSLScan, sslyze, testssl.sh TLS configuration analysis | ไฟร์วอลล์แอปเว็บ (WAF) |
| traffic-generation | ทราฟฟิก HTTP ที่ถูกต้องปริมาณสูงสำหรับ baseline และ load testing | ทั้งหมด |
| waf-encoding-evasion | การเข้ารหัส URL/HTML/Unicode หลายชั้น, การเข้ารหัสแบบซ้อน, chunked TE, header injection | ไฟร์วอลล์แอปเว็บ (WAF) |
| web-app-attacks | SQL injection, XSS, command injection, path traversal, Nikto, Nuclei | ไฟร์วอลล์แอปเว็บ (WAF) |
| demoapp-attacks | SQLi, XSS, path traversal กับ F5 DemoApp WAF testing endpoints | ไฟร์วอลล์แอปเว็บ (WAF) |
สถาปัตยกรรมโครงสร้าง VM, หมวดหมู่เครื่องมือ, การติดตั้งแบบแบ่งระดับ และจุดเชื่อมต่อกับ origin-server และ F5 XC
ติดตั้งคำแนะนำ Terraform ฉบับสมบูรณ์: clone, กำหนดค่า, apply และตรวจสอบว่าเครื่องมือทั้งหมดทำงานได้
แคตตาล็อกเครื่องมือเครื่องมือที่ติดตั้งทุกรายการจัดระเบียบตามหมวดหมู่พร้อมวิธีการติดตั้ง ตัวอย่างคำสั่ง และการแมปชุด
อ้างอิงชุดทราฟฟิกคำอธิบายโดยละเอียดของแต่ละชุดทราฟฟิก สคริปต์ เครื่องมือที่ใช้ และผลลัพธ์การตรวจจับ F5 XC ที่คาดหวัง