《HTTP简介》由会员分享,可在线阅读,更多相关《HTTP简介(76页珍藏版)》请在金锄头文库上搜索。
1、*HTTP简介HTTP协议是什么HTTP(Hypertext Transfer Protocol)中文 “超文本传输协议”,是一种为分布式,合 作式,多媒体信息系统服务,面向应用层 的协议,是Internet上目前使用最广泛的 应用层协议,它基于传输层的TCP协议进 行通信,HTTP协议是通用的、无状态的 协议。功能:用于在服务器和客户机之间传输超 文本文件。HTTP请求响应过程HTTP协议发展史u HTTP/0.9: 从1990年就已经用来作为WWW的传输协 议,当时非常简单,只支持GET方法,响应中携带 的消息必须HTML文件。 u HTTP/1.0: 1996发布RFC1945,90年后
2、,基于0.9的 各种客户端和服务端的扩展层出不穷,把这些扩展进行综合推出新标准HTTP/1.0 。u HTTP/1.1: 1997推出RFC2068,HTTP/1.1的标准。u HTTP/1.1: 1999推出RFC2616,废弃了RFC2068标准。HTTP的特点n 客户/服务器模式:一个服务器可以为分布在世 界各地的许多客户服务。 n 简单:HTTP本身处理简单,有效地处理大量请 求,服务器程序规模小,所以经由HTTP的通信 速度快,与其它协议相比,时间开销小得多。 n 灵活: HTTP允许传输任意类型的数据对象,可 以通过Content-type来指定数据类型。n 无状态:HTTP是无状
3、态的协议,缺少状态记 忆,运行速度高,服务器应答速度较快。HTTP定义的事务处理由以下四步组成: 客户端与服务器端建立连接 客户端向服务器端发送请求 服务器端向客户端回复响应 断开连接HTTP的事务处理消息链HTTP消息请求响应链:=request chain =UA1 - A - B - C - O响应消息的结构:一个状态行、若干消息头、以及实体内容 ,其中的一些消息头和实体 内容都是可选的,消息头和实体内容之间要用空行隔开。 状态行一个空行多个消息头实体内容HTTP消息n响应消息的实体内容就是网页文件的内容, 也就是在浏览器中使用查看源文件的方式所 看到的内容。 n一个使用GET方式的请求
4、消息中不能包含实 体内容,只有使用POST、PUT和DELETE方 式的请求消息中才可以包含实体内容。 HTTP消息头 n使用消息头,可以实现HTTP客户机与服务器之间的条件请求和 应答,消息头相当于服务器和浏览器之间的一些暗号指令。 n每个消息头包含一个头字段名称,然后依次是冒号、空格、值 、回车和换行符。n消息头字段名是不区分大小写的,但习惯上将每个单词的第一 个字母大写。n整个消息头部分中的各行消息头可按任何顺序排列。 n消息头又可以分为通用信息头、请求头、响应头、实体头等四 类。n许多请求头字段都允许客户端在值部分指定多个可接受的选项 ,多个项之间以逗号分隔。n有些头字段可以出现多次。
5、请求行与状态行 n请求行格式:请求方式 资源路径 HTTP版本号 举例:GET /test.html HTTP/1.1 请求方式:POST、HEAD、OPTIONS、DELETE、TRACE、PUT n状态行格式: HTTP版本号 状态码 原因叙述 举例:HTTP/1.1 200 OK使用GET和POST方式传递参数 n在URL地址后面可以附加一些参数举例:http:/www.it315.org/servlet/ParamsServlet?param1=abc MSIE 5.5; Windows NT 5.0) 响应头 n响应头字段用于服务器在响应消息中向客户端传递附加信息,包括服务 程序名,
6、被请求资源需要的认证方式,被请求资源已移动到的新地址等 信息。Accept-Range: bytes Age: 315315315Etag: b38b9-17dd-367c5dcdLocation: http:/www.it315.org/index.jsp Proxy-Authenticate: BASIC realm=“it315“ Retry-After: Tue, 11 Jul 2000 18:23:51 GMTServer: Microsoft-IIS/5.0 Vary: Accept-Language WWW-Authenticate: BASIC realm=“it315“ 实体
7、头 n实体头用作实体内容的元信息,描述了实体内容的属性,包括实体信息 类型、长度、压缩方法、最后一次修改时间、数据有效期等。Allow: GET,POSTContent-Encoding: gzip Content-Language: zh-cn Content-Length: 80 Content-Location: http:/www.it315.org/java_cn.html Content-MD5: ABCDABCDABCDABCDABCDAB= Content-Range: bytes 2543-4532/7898 Content-Type: text/html; charset=
8、GB2312 Expires: Tue, 11 Jul 2000 18:23:51 GMTLast-Modified: Tue, 11 Jul 2000 18:23:51 GMT扩展头n在HTTP消息中,也可以使用一些在HTTP 1.1正式规范里没有定义 的头字段,这些头字段统称为自定义的HTTP头或扩展头,它们通 常被当作是一种实体头处理。n现在流行的浏览器实际上都支持Cookie、Set-Cookie、Refresh和 Content-Disposition等几个常用的扩展头字段。nRefresh头字段Refresh: 1 Refresh: 1;url=http:/www.it315.or
9、gnContent-Disposition头字段 Content-Type: application/octet-stream Content-Disposition: attachment; filename=aaa.zip请求头示例响应头示例DoS攻击的原理拒绝服务攻击利用协议或系统的缺陷, 采用欺骗的策略进行网络攻击,最终目的 是使目标主机因为资源全部被占用而不能 处理合法用户提出的请求,即对外表现为 拒绝提供服务。常见的DoS攻击CC攻击CC = Challenge Collapsar,其前身名为Fatboy攻击, Collapsar(黑洞) 是一款抗DDOS产品品牌。 因此,此攻击
10、更名为Challenge Collapsar,表示要向黑洞发起挑战。 CC攻击是一种以网站页面为主要攻击目标的应用层 DDoS攻击其原理基于著名的木桶理论,即一桶水的最 大容量不是由它最高的地方决定的,而是由它最低的地方 决定的 CC攻击就是采用这一原理,在发起攻击时选择服 务器开放的页面中需要较多资源开销的应用,例如需要占 用服务器大量的CPU资源进行运算的页面或者需要大量访 问数据库的应用。CC攻击的目标通常定位于网站中需要进 行动态生成和数据库访问的页面,例如以.asp、.jsp、 .php、.cgi、.dll等结尾的页面资源。CC攻击特征流量小与传统的流量型DDoS攻击不同,CC攻击是
11、针对网站服务器性能 弱点的攻击,所以有可能仅需要很小的流量就能达到拒绝服务的效果 。例如,假设某个网站有一个需要进行数据库访问处理的页面 search.asp,该页面需要的处理时间为0.01s(这个处理时间与大多数 网站数据库处理页面需要消耗的时间接近)因此该页面最快的处理 速度为100个/s访问请求当访问请求大于100个/s时,服务器将超出 的请求保持60s在60s内还来不及处理时服务器将丢弃这些请求。 同时,假设用户使用HTTP GET指令访问这个页面时需要发送2048 byte的数据包(这个数据包长度是IE可以发送的Http GET包的最长长度 ) 对于这样一个网站,如果每秒向其发送12
12、0个访问请求,多余的20 个请求将持续60s以上才被丢弃这样在5s以后服务器缓冲的访问请 求数将达到100个,此时服务器将进入超级繁忙的状态如果此时仍 有大量访问请求进入,服务器页面将拒绝服务,直至服务器整机瘫痪 。此时,使服务器拒绝服务而发送的攻击流量为2048120 byte即 大约2 Mbit/s的流量,现有的DD0S检测手段很难识别这样的小流量 DD0S攻击。正常的应用请求不同于以往的基于TCP半开连接或SYN Flood的攻击,CC攻击是一个正常的应用请 求访问,具有正常访问的特征,而其所具 有的攻击行为特征不明显,没有长时的半 开连接,也没有大量的TCP或UDP的SYN包 流量出现
13、,因此很难与正常访问进行区别 。完全真实的IPCC攻击一般都会利用代理服务器或者僵 尸网络进行攻击,这样的攻击在服务器端 看来是求源于不同IP地址主机的访问,很难 根据用户的IP地址束区分是止常访问还是攻 击。同时利用代理服务器或者僵尸网络 进行攻击都是使用完全真实的IP地址的,因 此可以欺骗网络中的单播逆向路径转发功 能,使其无法识别、阻断CC攻击流量。CC攻击基于网络行为的检测方法基于访问Session数变化由于一个网站在正常情况下(没有受到CC攻击时)通常都有一个比 较固定的访问流量。这个访问流量对应到网络层面的参数就是TCP协 议的访问连接Session数。正常情况下这个Session
14、数是一个根据时间 变化的周期性曲线。在发生CC攻击时即使访问网站的数据流量变化不 大,访问的Session总数将会大量增加。利用这个可以检测CC攻击行 为。这种检测方法在实际应用中需要预先对网站的访问Session数进行 统计学习,生成Session数与时间的关系曲线,这一过程通常是将访问 网站的数据引流到网络分析设备,利用网络分析设备对数据流进行逐 包分析,统计出每一时间段访问网站的Session总数来完成的。当建立 这一曲线后,可以根据曲线的基本形状确定几个时间段,在这些时问 段内可以设定一个Session数的阀值(这个阀值可以设为这段时间内正 常情况Session数最大值的1.5倍),当
15、网络分析设备实际测得的 Session数大于这个值时,就可以认为发生了CC攻击。为了提高这一 方法的准确性,还可以将Session参数与网站内具体的页面对应起来, 得出某个页面的访问Session数与时间的关系曲线,这样得出的模型就 可以用来精确地判定网站内的哪个页面受到攻击。同时,由于与模型相关的页面对象只有一个, 因此可以排除其他页面被访问次数的波动带来的 影响,提高判断的准确率。这个检测方法适合应 用比较固定的网站,比如网上银行、普通购物网 站等,这些网站经过一个时期的运作一般访问流 量比较同定或增长缓慢,很少有突发的大流量访 问使Session数大幅增加。采用此方法可以对CC攻 击进行
16、有效的检测。但此检测方法对于新闻、门 户等可能存在热点访问的网站存在误判的可能性 。例如某些热点页面发生访问流量突增、Session 连接大量增加时会有误判的情况。基于访问Session数变化基于访问不同URL的访问量分布基于网站中的各个页面具有链接关系这样一个事实。即一般用户 在访问网站内容时总是从一个页面链接切换到另一个页面,这样就存 在一个网站内各个不同页面被用户访问的频度关系。比如,一般用户 总是先访问一个网站的首页,再通过首页链接访问另一个感兴趣的页 面,因此网站首页的访问量通常会高于其他页面的访问量,但由于用 户一般不会只访问网站的首页。因此首页的访问量又与其他页面的访 问量有一定的比例关系。根据这一原理可以建立一个网站各URL页面 之问被用户访问次数的关系模型。当用户访问分布情况发生较大变化 时,可以判断为发生CC攻击在实
