资源描述
,HTTP协议介绍,05212627尚晶晶,HTTP协议是什么1,我们在浏览器地址栏里输入的网站地址叫做URL(UniformResourceLocater,统一资源定位符)。就像每家每户都有一个门牌地址一样,每个网页也都有一个Internet地址。那么,当我们键入如下网址以后:,HTTP协议是什么2,你立刻可以在浏览器中看到如下网页:,HTTP协议是什么3,它的原理是:浏览器通过超文本传输协议HTTP,将Web服务器上站点的网页代码提取出来,并翻译成漂亮的网页。在认识HTTP之前,我们先看一下刚才打开的URL的组成格式:,HTTP协议是什么4,1.http:/代表超文本传输协议,通知服务器显示Web页,通常不用输入;2.www代表一个Web万维网服务器3.M这是装有网页的服务器的域名,或者站点服务器名称4.China为该服务器上的子目录,就好像我们的文件夹5.Index.html是文件夹中的一个HTML文件,HTTP协议是什么5,我们知道,Internet的基本协议是TCP/IP协议,在TCP/IP模型最上层的是应用层,它包含所有高层的协议,包括:文件传输协议FTP,电子邮件传输协议SMTP,域名系统服务DNS,网络新闻传输协议NNTP和超文本传输协议HTTP等。那么,HTTP协议的具体作用是什么呢?,HTTP协议是什么6,HTTP协议是用于从WWW服务器传输超文本到本地浏览器的传输协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部份,以及哪部分内容先显示(如文本先于图形)等。,HTTP协议的运作方式1,HTTP协议是基于请求/响应范式的。一个客户机与服务器建立连接后,发送一个请求给服务器,请求方式的格式为:统一资源标识符,协议版本号,MIME信息包括请求修饰符,客户机信息和可能的内容。服务器接到请求后,给与响应的响应信息,格式为:一个状态行,包括信息的协议版本号,一个成功或错误的代码,MIME信息包括服务器信息,实体信息和可能的内容。,HTTP协议的运作方式2,用一个比喻来说,这个过程就好像我们打电话订货一样,我们可以打电话给商家,告诉他我们需要什么规格的商品,然后商家在告诉我们有什么货,什么商品缺货。这些,我们是通过电话线用电话联系,而HTTP是通过TCP/IP把我们需要的信息传送给我们。,HTTP协议的运作方式3,典型的请求消息:GET:http:/class/download.microtool.de:80/somedata.exeHost:download.microtool.deAccept:*/*Pragma:no-cacheCacheControl:no-cacheReferer:http:/class/download.microtool.de/User-Agent:Mozilla/4.04en(Win95;I;Nav)Range:bytes=554554-,HTTP协议的运作方式4,典型的响应消息:HTTP/1.0200OKDate:Mon,31Dec200104:25:57GMTServer:Apache/1.3.14(Unix)Content-type:text/htmlLast-modified:Tue,17Apr200106:46:28GMTEtag:a030f020ac7c01:1e9fContent-length:39725426Content-range:bytes554554-40279979/40279980,HTTP协议的运作方式5,HTTP协议运作的操作过程抽象出来就是:建立连接,发送请求信息,发送响应信息,关闭连接。,HTTP协议网络安全问题,HTTP协议是Internet上使用的最为广泛的协议之一,网络上架设有大量HTTP服务器,因此安全问题成为HTTP服务的热门话题,下面挑选了2个有趣的技术来讨论:1.基于HTTP协议的拒绝服务攻击2.HTTP指纹识别技术,HTTP协议拒绝服务攻击设计1,HTTP协议的一个重要特性就是:服务器接到请求后,给与响应的响应信息,其格式为一个状态行。即使是随意输入请求,服务器也会返回一个类似的结果:HTTP/1.1400BadRequestServer:Microsoft-IIS/5.0Date:Sat,20Jul200223:37:59GMTContent-Type:text/htmlContent-Length:87ErrorTheparameterisincorrect.,HTTP协议拒绝服务攻击设计2,前面的返回说明是HTTP400错误请求,其实就是HTTP语法错误,服务器按规定返回了。也就是说:无论你输入了什么,服务器根据HTTP协议,总会返回信息。在这种情况下,用的最多的DOS方法主要有SYN,Smurf,Land,TearDrop等,下面我们来设计一下SYN攻击。,HTTP协议拒绝服务攻击设计3,假设一个用户想服务器发送了SYN保温后突然死机或者掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK)给客户端并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYNTimeout,一般来说这个时间为分钟数量级(30秒-2分钟)。,HTTP协议拒绝服务攻击设计4,一个用户出现异常导致服务器的一个县城等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半联结列表而消耗非常多的资源数以万计的半联结,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。,HTTP协议拒绝服务攻击设计5,实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出而崩溃即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(相对攻击比例要小很多),此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了SYNFlood攻击。,HTTP指纹识别技术1,指纹识别技术现在已经是网络安全的已知技术。操作系统指纹在任何的网络评估中是一件通常的工作。操作系统指纹识别为什么能成功?那时因为每个操作系统实现的TCP/IP协议时有微小的差别,当前比较流行的是利用TCP/IP堆栈进行操作系统识别。,HTTP指纹识别技术2,HTTP指纹识别的原理大致上也是相同的:纪录不同服务器对HTTP协议执行中的微小差别进行识别。HTTP指纹识别比TCP/IP堆栈指纹识别复杂的多,因为定制HTTP服务器的配置文件,增加插件或组件使得更改HTTP的响应信息变得很容易,这样使得识别变得困难;然而定制TCP/IP堆栈的行为要对核心层进行修改,这很难做到,所以就容易识别。,HTTP指纹识别技术3,Banner的获取:查看HTTP应答头信息是HTTP指纹识别中最简单也是最基础的,我们可以通过TCP客户端来发送命令得到响应信息,下面是三种不同的HTTP服务器的响应信息:,HTTP指纹识别技术4,1.Apache1.3.23server:Http/1.1200OKDate:Mon,08Sep200317:10:49GMTServer:Apache/1.3.23Last-Modified:Mon,08Sep200303:48:19GMTETag:32417-c4-3e5d8a83Accept-Ranges:bytesContent-Length:196Connection:closeContent-Type:text/html,HTTP指纹识别技术5,2.MicrosoftIIS5.0server:Http/1.1200OKServer:Microsoft-IIS/5.0Expires:Mon,08Sep200301:41:33GMTDate:Mon,08Sep200316:41:33GMTContent-Type:text/htmlAccept-Ranges:bytesLast-Modified:Mon,08Sep200315:32:21GMTETag:b0aac0542e25c31:89dContent-Length:7369,HTTP指纹识别技术6,3.NetscapeEnterprise4.1server:Http/1.1200OKServer:Netscape-Enterprise/4.1Date:Mon,08Sep200316:19:04GMTContent-type:text/htmlLast-modified:Mon,08Sep200215:37:56GMTContent-length:57Accept-ranges:bytesConnection:close,HTTP指纹识别技术7,在很多情况下,获取Banner被证明是一种很好的HTTP指纹识别方法。但是,网络管理员会选择通过配置或者增加插件来更改或者是模糊服务器的Banner信息。当然,这样的设置确实是自动阻止了很多对HTTP服务器的攻击。,HTTP指纹识别技术8,要让服务器返回不同的Banner信息的设置是很简单的,象Apache这样的开放源代码的Http服务器,用户可以在源代码里修改Banner信息,然后重起Http服务就生效了;对于没有公开源代码的Http服务器比如微软的IIS或者是Netscape,可以在存放Banner信息的Dll文件中修改,这样的修改的效果还是不错的.,HTTP指纹识别技术9,另一种模糊Banner信息的方法是使用插件,这些插件可以提供自定义的Http应答信息.比如ServerMask这个商业软件就可以提供这样的功能,它是IIS服务器的一个插件,ServerMask不仅模糊了Banner信息,而且会对Http应答头信息里的项的序列进行重新组合,从而来模仿Apache这样的服务器,它甚至有能力扮演成任何一个Http服务器来处理每一个请求.,HTTP指纹识别技术10,从上面的说明我们可以看出,仅仅从Banner信息来判断Http服务器类型是远远不够的.在执行Http协议时,几乎所有的Http服务器都具有它们独特的方法,如果Http请求是合法并且规则的,Http服务器返回的应答信息是符合RFC里的描述的.但是如果我们发送畸形的Http请求,这些服务器的响应信息就不同了,不同服务器对Http协议行为表现的不同就是Http指纹识别技术的基本根据和原理.,HTTP指纹识别技术11,下面分析3种不同HTTP服务器对不同请求所返回的响应信息,这些请求是这样的:1.HEAD/Http/1.0发送基本的Http请求2.DELETE/Http/1.0发送那些不被允许的请求,比如Delete请求3.GET/Http/3.0发送一个非法版本的Http协议请求4.GET/JUNK/1.0发送一个不正确规格的Http协议请求,HTTP指纹识别技术12,经过类似前面看Banner的方法,我们通过返回数据比较可以得出结论:服务器头信息项排序/Delete请求/非法版本/不规则协议Apache/1.3.23Date,Server/405MethodNotAllowed/400BadRequest/200忽略,返回根目录信息MS-IIS/5.0Server,Date/403Forbidden/200忽略,返回根目录信息/400BadRequestNetscape/4.1Server,Date/401Unauthorized/505HttpVersionNotSupported/返回一个表示错误请求的网页,HTTP指纹识别技术13,介绍一个HTTP指纹识别工具HTTPRINT,它通过运用统计学原理,组合模糊的逻辑学技术,能很有效的确定HTTP服务器的类型,它可以被用来收集和分析不同HTTP服务器产生的特定签名(即类似收集前面所分析的细微差别)。,HTTP协议介绍,谢谢大家!,
展开阅读全文