流量生成器是一个专用的 Azure 虚拟机,可针对 F5 Distributed Cloud HTTP 负载均衡器生成真实的攻击流量、侦察扫描、Bot 模拟和 API 滥用模式。它通过生成各项功能所设计检测和拦截的精确流量,验证 WAF 策略、Bot Defense、API Security 和 Client-Side Defense 是否配置正确。
所有工具均在 Terraform 预置期间通过 cloud-init 预先安装。流量被组织为若干套件,可以单独运行,也可以使用内置的 runner.sh 编排器按顺序运行。
流量套件分类
Section titled “流量套件分类”| 套件 | 描述 | 验证的 F5 XC 功能 |
|---|---|---|
| api-attacks | OWASP API Top 10、SQLMap API 模式、参数发现、端点模糊测试 | API Security |
| bot-simulation | 无头 Chrome、Puppeteer 隐身模式、Playwright 自动化、快速爬取 | Bot Defense |
| cdn-load-testing | 缓存行为、雷群效应、连接池、HTTP/2 多路复用 | CDN 集成 |
| crapi-exploits | BOLA、OTP 暴力破解、JWT 操纵、SSRF、NoSQL 注入、IDOR | API Security |
| csd-demo-attacks | 卡片盗刷器、表单劫持、键盘记录器、挖矿程序、DOM 劫持 | Client-Side Defense |
| dvga-exploits | 批量查询 DoS、深度递归、SQL 注入、内省滥用 | API Security(GraphQL) |
| dvwa-exploits | 暴力破解、命令注入、CSRF、文件包含、SQLi、XSS | WAF |
| javascript-exploits | DOM 操纵、内联脚本注入、Magecart 风格的盗刷载荷 | Client-Side Defense |
| juice-shop-exploits | SQLi 登录绕过、XSS、IDOR、管理员访问、空字节文件访问 | WAF、Bot Defense |
| mitre-attack | ATT&CK 战术:侦察、初始访问、凭据访问、数据渗出 | WAF、Bot Defense、API Security |
| owasp-scanning | ZAP、Nikto、Nuclei、Nmap 漏洞扫描、综合 OWASP 报告 | WAF、Web 应用扫描 |
| performance-testing | 并发递增、持续负载、峰值测试、断点发现 | DDoS、速率限制 |
| reconnaissance | Nmap、Masscan、Gobuster、Subfinder、目录暴力破解 | WAF / Bot Defense |
| restaurant-exploits | BOLA、BOPLA、BFLA、速率限制绕过、JWT 弱密钥 | API Security |
| ssl-scanning | SSLScan、sslyze、testssl.sh TLS 配置分析 | WAF |
| traffic-generation | 大量合法 HTTP 流量,用于基线和负载测试 | 全部 |
| waf-encoding-evasion | 多层 URL/HTML/Unicode 编码、混合嵌套编码、分块传输编码、请求头注入 | WAF |
| web-app-attacks | SQL 注入、XSS、命令注入、路径遍历、Nikto、Nuclei | WAF |
| demoapp-attacks | 针对 F5 DemoApp WAF 测试端点的 SQLi、XSS、路径遍历 | WAF |