目前安全测试的软件越来越多，也越来越强大，越来越多的人成为黑客，今天在网上看到一个文章说拦截wvs的扫描，勾起了我写这篇文章的欲望。

因为公司的三大业务之一就有一个云WAF，每天拦截的日志里面，有将近90%的请求是扫描器发出，WAF接收到请求会解析数据包，然后过一遍规则，过完成百上千条规则必定对性能有一定的影响。如果能识别出来是人还是扫描器的请求，就可以在这方面节省很大的资源。

下面的分析介绍只针对web安全扫描器。

目前全能型的扫描器主要是wvs(Acunetix Web Vulnerability Scanner)、AppScan、WebInspect，国内的像aisec、bugscan等等…还有国内那些老安全厂商的扫描器就不说了，主要提一下像wvs这种使用率比较高的。另外还有目录文件型的扫描器、注入工具(类似sqlmap、Havij)等等。

扫描器识别主要从以下几点来做：

1、扫描器指纹(head字段/请求参数值等)

2、单IP+ cookie某时间段内触发规则次数

3、隐藏的链接标签()

4、Cookie植入

5、验证码验证

6、单IP请求时间段内Webserver返回http状态404比例

一、扫描器指纹(head字段/请求参数值等)

目前最常见的手法就是收集扫描器的指纹特征来做识别，不同的扫描器都有自己的一些特征，比如发出的请求会加一些特定的head 字段，测试漏洞的请求参数的值会带上自己扫描器的名称等。

下面通过抓网络数据包来看常见扫描器的指纹特征：

wvs(Acunetix Web Vulnerability Scanner)：

下面是我抓到的一个wvs的请求

GET /help/website-performance-settings/x HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Referer: http://www.anquanbao.com/help
Acunetix-Aspect: enabled
Acunetix-Aspect-Password: 082119f75623eb7abd7bf357698ff66c
Acunetix-Aspect-Queries: filelist;aspectalerts
Cookie: xxxxxxxxxxxx
Host: www.anquanbao.com
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*

请求头里面有三个很明显的标志：

Acunetix-Aspect: enabled
Acunetix-Aspect-Password: 082119f75623eb7abd7bf357698ff66c
Acunetix-Aspect-Queries: filelist;aspectalerts

另外在请求的参数值，比如URL跟POST数据中都有很明显的acunetix_wvs_security_test特征，下图是我从waf拦截中调取到的结果。

根据以上抓取到的特征，我们可以把这个作为wvs的一个指纹，在waf中进行过滤。

Appscan：

同样的，appscan也有自己的一些特征，如下

Bugscan：

关于Bugscan，我咨询了一下作者，作者给了XSS模块的扫描源码我看了下，主要特征是：

–>’”>
XSS@HERE

另外还有一些特征就不一一列举。

注意：并不是所有的请求都会带有扫描器的特征，比如下面的一个包也是wvs发出的，但是没有带上面我们说的特征，扫描器指纹特征只能抵挡住一部分的扫描，但是我们可以利用这些信息识别出扫描器然后干掉IP等。

二、单IP+ cookie某时间段内触发规则次数

根据某个IP+ cookie某时间段内触发waf拦截规则的次数大于设定的某个阀值，比如在20秒内，某个IP+cookie触发waf拦截规则10次。

数据证明如下图：

另外还可以根据IP+user angent等，或者更多维度。

三、隐藏的链接标签等()

扫描器的爬虫会把页面里面的所有链接都抓出来去做漏洞探测，特别是现在基于webkit一类的扫描器，能够渲染css跟js，可以爬出更多的链接测试。

下面贴出一个百度百科关于webkit的介绍

WebKit 是一个开源的浏览器引擎，与之相对应的引擎有Gecko(Mozilla Firefox 等使用)和Trident(也称MSHTML，IE 使用)。同时WebKit 也是苹果Mac OS X 系统引擎框架版本的名称，主要用于Safari，Dashboard，Mail 和其他一些Mac OS X 程序。WebKit 前身是 KDE 小组的 KHTML，WebKit 所包含的 WebCore 排版引擎和 JSCore 引擎来自于 KDE 的 KHTML 和 KJS，当年苹果比较了 Gecko 和 KHTML 后，仍然选择了后者，就因为它拥有清晰的源码结构、极快的渲染速度。Apple将 KHTML 发扬光大，推出了装备 KHTML 改进型 WebKit 引擎的浏览器 Safari。

隐藏的标签链接是指人看不见的链接，如：

 形式，人是点击不到的，只有软件能够匹配出这个地址，我们新建一个网页，抓扫描器数据包测试。

WAF实现扫描器识别 彻底抵挡黑客扫描
                

                网站URL：http://www.shufengxianlan.com/qtweb/news4/338154.html
            

            

                网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等
                                
            

                广告
                
            
            

                声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：
                创新互联