一种利用跟踪标识的设计思想的 WAF

一般来说，现如今市场上的 WAF 产品都是采取‘拦截就发现’的方法，以防护针对业务系统的Web攻击行为。虽然该策略可及时阻断攻击，但形式上过于简单，并不能有效掌握攻击者进一步的攻击意图，也不能有效提高攻击者的成本投入。

WAF系统以串联方式部署在业务系统的前面，用于对来自互联网的流量进行检测：当发现客户请求为正常流量时，则将其转发给业务服务区部署的“真实业务系统”，从而为正常用户提供所需的互联网服务；当发现客户请求为恶意流量时，则会对攻击源进行唯一性标记，并把该客户端的流量通过NGINX集群牵引到镜像服务区部署的“镜像业务系统”。

1.业务服务区：部署有“真实业务系统”，用于处理正常用户的访问请求。如果“潜在攻击者”不对系统发起攻击，那么其访问请求会被转发到真实的业务服务区。

2.镜像服务区：部署有“镜像业务系统”，用于处理攻击者的访问请求。如前所述，该系统的前端展示和业务功能与“真实业务系统”没有区别，在使用过程中很难区分，同时做了数据脱敏处理、伪造了一些常见漏洞点。

本文所述WAF的核心功能包括五个模块，分别是：流量检测模块、终端标记模块、流量分发模块、漏洞配置模块、指纹采集模块。

1.流量检测模块：不仅具备常规WAF的通用功能，如：SQL注入检测、XSS漏洞检测、代码执行检测、文件上传检测等，同时还具备“攻击源标记查验”功能，目的是判断请求流量中是否带有“终端标记模块”下发的攻击源标记字段。

2.终端标记模块：用于对发起恶意请求的客户端进行标记。当流量检测模块发现当前请求为恶意请求时，便会调用终端标记模块在HTTP响应包中插入标记字段，以对发起该请求的客户端进行唯一性标记。其中，这种插入攻击标记字段的功能是通过set-cookie函数实现的，该特征字符串实际上会反向导航到达、并进一步存储在攻击者的浏览器中。

3.流量分发模块：用于根据“流量检测模块”的判定结果信息、以及WAF系统中配置的路由信息，将访问请求分发到“真实业务系统”或“镜像业务系统”。其中，如果是“已知攻击源发起的请求”或“某客户端初次发起的恶意请求”，则将其经NGINX集群牵引到“镜像业务系统”；如果是 “正常客户端发起的请求”，则将其牵引到“真实业务系统”。对客户端而言，整个过程是完全透明的，且需要攻击者通过浏览器发起请求。这样的描述可以看出，“真实业务系统”是一个可以直接访问网络资源的虚拟系统，因此，攻击者可以利用这个漏洞进行远程控制。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!