智慧云安全数据防护平台防护效果：防自动化攻击：暴力破解、批量注册

       DVWA是常用的WAF功能测试工具，本篇用DVWA测试GOODWAF对暴力破解、撞库、批量注册，自动发贴等攻击的防护能力。

       本篇，来测试防暴力破解、撞库、批量注册、自动发贴功能，鉴于篇幅，用防暴力破解为例。

       PS:这是个重量级的测试，因为自动化攻击在近年来的攻击总量中，占到了惊人的80%以上，是最常见攻击，实际攻击量比SQL注入、XSS要高很多。暴力破解、撞库、批量注册、自动发贴都属于自动化攻击。

       测试，用dvwa的登录页面为例：

        先挖个坑，上两张图：

        防护前：

       防护后：

       仔细观查他们的不同的处。这是GOODWAF能防护自动化攻击的主要原因。看到，并理解他们的不同了吗？我们先测效果，最后再揭谜底。

       测试过程：

       用burp抓包，并发至intrder功能，

        配置好后，然后发起攻击：

       成功防护暴力破解。

       迷底，为什么能防护：

       GOODWAF将关键html元素：用户名，进行了加密。从最开始的两图中可以看到，原本是username，变成了乱码字符（当然，GOODWAF会在发往被保护的服务器时，将其还原）。而在burp发起的枚举攻击中（intrder），依然用的是原始的username，当然无法形成有效的攻击。

        那么，假如burp，重新获取登录数据，获取到了那个加密的乱码，并进行暴力枚举，不是就可以了吗？ 答案是：NO。GOODWAF形成的加密字符，并非一成不变的，而是会动态变化！总不能，每一次都手动拦截修改吧。当然不能了。

SO，这种防护方式相当强大，强大到可以抵挡几乎所有暴力破解、撞库、批量注册、自动发贴等自动化攻击！