此次使用的工具是 BlazeHTTP ,一款简单易用的 WAF 防护效果测试工具,具体见 GitHub

部署:本次测试工具是部署在: centos7/Redhat8 上

首先安装 golang环境:

# 先卸载旧的golang
yum remove golang

# 然后找到最新版本
https://golang.google.cn/dl/

# 下载安装
cd /usr/local/src	
# 代码框内填入链接会提示为不合法的JSON, 所以请手动删除反斜杠哦
wget /https://golang.google.cn/dl/go1.22.2.linux-amd64.tar.gz
tar -zxvf go1.22.2.linux-amd64.tar.gz -C /usr/local/

# 增加配置文件
vim /etc/profile

export GOROOT=/usr/local/go
export PATH=$PATH:$GOROOT/bin
export GOPATH=/opt/go
export PATH=$PATH:$GOPATH/BIN

# 应用改变
source /etc/profile

# 查看版本
go version

# 依赖下载速度过慢
go env -w GO111MODULE=on
go env -w GOPROXY=https://goproxy.cn,direct

golang环境安装好后,开始安装BlazeHTTP,

将下载的BlazeHTTP压缩包解压,进入解压包内运行 build.sh 脚本

bash build.sh

安装完毕后运行,测试指令如下

./blazehttp  -t http://your ip

此工具共有33877个测试样本,外加是在虚拟机上跑的,所以测试较为费时,花了20分钟左右

注意:做测试前,需要在WAF上关闭人机验证,否则工具无法检测到WAF

测试完成后可以上WAF查看具体的攻击以及拦截情况

高频访问拦截效果

测试总览:

总的来说,此WAF的检出率,误报率,准确率以及耗时,在免费WAF里算是最好的,所以本网站也将一直使用雷池WAF做防护。来防御公网上四处乱窜的各类攻击