流量產生器是一台專為目的而建立的 Azure VM,可針對 F5 Distributed Cloud HTTP 負載平衡器產生逼真的攻擊流量、偵察掃描、機器人模擬以及 API 濫用模式。它透過產生這些功能所設計用來偵測和封鎖的確切流量,來驗證 WAF 政策、Bot Defense、API Security 和 Client-Side Defense 是否已正確設定。
所有工具均在 Terraform 佈建期間透過 cloud-init 預先安裝。流量被組織成套件,可以單獨執行,也可以使用隨附的 runner.sh 協調器依序執行。
流量套件分類
Section titled “流量套件分類”| 套件 | 說明 | 已驗證的 F5 XC 功能 |
|---|---|---|
| api-attacks | OWASP API Top 10、SQLMap API 模式、參數探索、端點模糊測試 | API Security |
| bot-simulation | 無頭 Chrome、Puppeteer 隱匿模式、Playwright 自動化、快速爬取 | Bot Defense |
| cdn-load-testing | 快取行為、雷群效應、連線池、HTTP/2 多工 | CDN 整合 |
| crapi-exploits | BOLA、OTP 暴力破解、JWT 操縱、SSRF、NoSQL 注入、IDOR | API Security |
| csd-demo-attacks | 信用卡側錄、表單劫持、鍵盤記錄、加密貨幣挖礦、DOM 劫持 | Client-Side Defense |
| dvga-exploits | 批次查詢 DoS、深度遞迴、SQL 注入、內省濫用 | API Security(GraphQL) |
| dvwa-exploits | 暴力破解、命令注入、CSRF、檔案引入、SQLi、XSS | WAF |
| javascript-exploits | DOM 操縱、內嵌腳本注入、Magecart 風格側錄酬載 | Client-Side Defense |
| juice-shop-exploits | SQLi 登入繞過、XSS、IDOR、管理員存取、空位元組檔案存取 | WAF、Bot Defense |
| mitre-attack | ATT&CK 戰術:偵察、初始存取、憑證存取、資料外洩 | WAF、Bot Defense、API Security |
| owasp-scanning | ZAP、Nikto、Nuclei、Nmap 漏洞掃描、OWASP 綜合報告 | WAF、Web 應用程式掃描 |
| performance-testing | 並發量提升、持續負載、尖峰測試、臨界點探索 | DDoS、速率限制 |
| reconnaissance | Nmap、Masscan、Gobuster、Subfinder、目錄暴力破解 | WAF / Bot Defense |
| restaurant-exploits | BOLA、BOPLA、BFLA、速率限制繞過、JWT 弱密鑰 | API Security |
| ssl-scanning | SSLScan、sslyze、testssl.sh TLS 設定分析 | WAF |
| traffic-generation | 高流量合法 HTTP 流量,用於基準和負載測試 | 全部 |
| waf-encoding-evasion | 多層 URL/HTML/Unicode 編碼、混合巢狀編碼、分塊傳輸編碼、標頭注入 | WAF |
| web-app-attacks | SQL 注入、XSS、命令注入、路徑遍歷、Nikto、Nuclei | WAF |
| demoapp-attacks | 針對 F5 DemoApp WAF 測試端點的 SQLi、XSS、路徑遍歷 | WAF |