CN104735075A - 一种基于Web服务器的带宽放大攻击漏洞检测方法 - Google Patents
一种基于Web服务器的带宽放大攻击漏洞检测方法 Download PDFInfo
- Publication number
- CN104735075A CN104735075A CN201510149162.6A CN201510149162A CN104735075A CN 104735075 A CN104735075 A CN 104735075A CN 201510149162 A CN201510149162 A CN 201510149162A CN 104735075 A CN104735075 A CN 104735075A
- Authority
- CN
- China
- Prior art keywords
- web server
- detection method
- flow data
- bandwidth amplification
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种Web服务器宽带放大攻击漏洞检测方法,首先向待检测的对象web服务器上的资源发送一般的HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度N;然后根据N构建字符串作为新HTTP请求的Range值后,再次向T发送HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度M;最后比较M和N来判断是否存在宽带放大攻击漏洞。本发明设计简单,使用方便,通过构造特殊的Byte Range值,可绕过Web服务器程序的Byte Range过滤器(Filter),具有极高的穿透性,能够发现深度隐藏的带宽放大攻击漏洞。
Description
技术领域
本发明涉及信息安全中的漏洞检测技术,尤其涉及一种基于Web服务器的带宽放大攻击漏洞检测方法。
背景技术
随着互联网时代的来临,世界全面信息化时代也随之到来。借助以计算机、互联网等先进技术,人们越来越习惯于在各种各样的网站上获得信息和接受服务,Web系统由于其高兼容性和用户友好性,已成为当下互联网信息系统中最主流的系统类型。于此同时,Web系统的安全性也正面临严峻的挑战。
Web系统通常由Web浏览器和Web服务器两部分组成,浏览器和服务器之间使用超文本传输协议(Hyper Text Transfer Protocol, HTTP)进行信息交互。由于HTTP协议的开放性,攻击者可以模拟Web浏览器请求消耗Web服务器带宽和资源,使得Web服务器不能正常响应所传入的请求,以至失去响应或宕机,即通常所说的拒绝访问攻击(Denial of Service, DOS)。其中,带宽放大攻击(Bandwidth Amplification Attack)是DOS中一种常用的攻击手段。
带宽放大攻击通过发送特殊构造的HTTP报文请求,使得Web服务器逻辑处理出错,并返回超过正常响应流(Response Stream)长度数倍的畸形响应流,从而消耗Web服务器带宽,以实现DOS的目的。
目前大多数Web服务器程序,如Apache HTTP Server等,对于带宽放大攻击均增加了相应的过滤模块,以预防可能发生的攻击。但是,在这些过滤模块中仍然存在一定的脆弱性,使得攻击者可绕过过滤模块发动带宽放大攻击。
发明内容
本发明所要解决的技术问题是针对背景技术中所涉及的问题,提供一种基于Web服务器的带宽放大攻击漏洞检测方法,用以检测Web服务器是否有潜在的带宽放大攻击漏洞,进而增强Web系统的安全性。
本发明为解决上述技术问题采用以下技术方案:
一种Web服务器宽带放大攻击漏洞检测方法,包含以下步骤:
步骤1),确定待检测的对象Web服务器及部署在Web服务器上的资源文件,获取该资源文件的统一资源定位符T;
步骤2),向T发送HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度N;
步骤3),将N与2作比较,若N小于等于2,终止检测流程,Web服务器不存在带宽放大攻击漏洞;若N大于2,则执行步骤4);
步骤4),构造字符串R,并对字符串R赋予初始值“bytes=”;
步骤5),对整数0至N中的所有偶数j,依次构造字符串“j-j,”,并插入字符串R的尾部;
步骤6),对整数1至N中的所有奇数k,依次构造字符串“k-k,”,并插入字符串R的尾部;
步骤7),删除字符串R尾部最后一个字符“,”;
步骤8),将字符串R设为请求标头中的Range值后再次向T发送HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度M;
步骤9),比较M与N的大小,若M大于N,判断待检测的对象Web服务器存在带宽放大攻击漏洞;若M小于或等于N,判断待检测的对象 Web服务器不存在带宽放大攻击漏洞。
作为本发明一种Web服务器宽带放大攻击漏洞检测方法进一步的优化方案,所述Web服务器采用机架式服务器。
作为本发明一种Web服务器宽带放大攻击漏洞检测方法进一步的优化方案,所述Web服务器的型号为联想万全R520 G7。
作为本发明一种Web服务器宽带放大攻击漏洞检测方法进一步的优化方案,所述Web服务器采用塔式服务器。
作为本发明一种Web服务器宽带放大攻击漏洞检测方法进一步的优化方案,所述Web服务器的型号为联想万全T260 G3。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:
本发明设计简单,使用方便,通过构造特殊的Byte Range值,可绕过Web服务器程序的Byte Range过滤器(Filter),具有极高的穿透性,能够发现深度隐藏的带宽放大攻击漏洞。
附图说明
图1是本发明的方法流程图。
具体实施方式
下面结合附图对本发明的技术方案做进一步的详细说明:
如图1所示,本发明中公开了一种基于Web服务器的带宽放大攻击漏洞检测方法,步骤如下:
步骤101:确定检测对象Web服务器及部署在Web服务器上的资源文件所对应的统一资源定位符(Uniform Resource Locator,URL)字符为字符串T。其中,字符串T的值为“http://127.0.0.1/index.html”,Web服务器操作系统为Microsoft Windows Server 2003,Web服务程序为Apache HTTP Server 2.4.7。
步骤102:向T发送HTTP请求,并读取响应流数据。响应流数据如下:
<html><body><h1>It works!</h1></body></html>
记录响应流数据长度N, N为46,单位为字节(Bytes)。因为46>2,继续以下步骤。
步骤103:构造字符串R,R由步骤104到步骤107生成。
步骤104:字符串R初始值为“bytes=”。
步骤105:对0至N中的所有偶数j,依次构造字符串“j-j,”,并插入字符串R尾部。根据步骤102可知N为46,因此R为“bytes=0-0,2-2,4-4,… 46-46,”。
步骤106:对1至N中的所有奇数k,依次构造字符串“k-k,”,并插入字符串R尾部。根据步骤102可知N为46,因此R为“bytes=0-0,2-2,4-4,… 46-46,1-1,3-3,5-5,… 45-45,”。
步骤107:删除字符串R尾部最后一个字符“,”。
步骤108:再次向T发送HTTP请求,将字符串R设为该请求标头(header)中的Range值,并读取响应流数据。响应流数据如下:
--91e18d22cccc5dd1
Content-type: text/html
Content-range: bytes 0-0/46
<
--91e18d22cccc5dd1
Content-type: text/html
Content-range: bytes 2-2/46
t
--91e18d22cccc5dd1
Content-type: text/html
Content-range: bytes 4-4/46
l
--91e18d22cccc5dd1
Content-type: text/html
Content-range: bytes 6-6/46
…
>
--91e18d22cccc5dd1
Content-type: text/html
Content-range: bytes 45-45/46
--91e18d22cccc5dd1--
记录响应流数据长度M, M为3730,单位为字节(Bytes)。
步骤109:比较正整数M与正整数N的大小,其中M为3730,N为46。显然M大于N,说明Web服务器接受并响应了步骤108中构造的HTTP请求,并返回了超出正常长度的响应流,因此Web服务器存在带宽放大攻击漏洞。
所述Web服务器可以采用机架式服务器,优先采用联想万全R520 G7。
所述Web服务器也可以采用塔式服务器,优先采用联想万全T260 G3。
本技术领域技术人员可以理解的是,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1. 一种Web服务器宽带放大攻击漏洞检测方法,其特征在于,包含以下步骤:
步骤1),确定待检测的对象Web服务器及部署在Web服务器上的资源文件,获取该资源文件的统一资源定位符T;
步骤2),向T发送HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度N;
步骤3),将N与2作比较,若N小于等于2,终止检测流程,Web服务器不存在带宽放大攻击漏洞;若N大于2,则执行步骤4);
步骤4),构造字符串R,并对字符串R赋予初始值“bytes=”;
步骤5),对整数0至N中的所有偶数j,依次构造字符串“j-j,”,并插入字符串R的尾部;
步骤6),对整数1至N中的所有奇数k,依次构造字符串“k-k,”,并插入字符串R的尾部;
步骤7),删除字符串R尾部最后一个字符“,”;
步骤8),将字符串R设为请求标头中的Range值后再次向T发送HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度M;
步骤9),比较M与N的大小,若M大于N,判断待检测的对象Web服务器存在带宽放大攻击漏洞;若M小于或等于N,判断待检测的对象 Web服务器不存在带宽放大攻击漏洞。
2. 根据权利要求1所述的Web服务器宽带放大攻击漏洞检测方法,其特征在于,所述Web服务器采用机架式服务器。
3. 根据权利要求2所述的Web服务器宽带放大攻击漏洞检测方法,其特征在于,所述Web服务器的型号为联想万全R520 G7。
4. 根据权利要求1所述的Web服务器宽带放大攻击漏洞检测方法,其特征在于,所述Web服务器采用塔式服务器。
5. 根据权利要求4所述的Web服务器宽带放大攻击漏洞检测方法,其特征在于,所述Web服务器的型号为联想万全T260 G3。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510149162.6A CN104735075B (zh) | 2015-04-01 | 2015-04-01 | 一种基于Web服务器的带宽放大攻击漏洞检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510149162.6A CN104735075B (zh) | 2015-04-01 | 2015-04-01 | 一种基于Web服务器的带宽放大攻击漏洞检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104735075A true CN104735075A (zh) | 2015-06-24 |
CN104735075B CN104735075B (zh) | 2018-03-09 |
Family
ID=53458510
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510149162.6A Active CN104735075B (zh) | 2015-04-01 | 2015-04-01 | 一种基于Web服务器的带宽放大攻击漏洞检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104735075B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105208074A (zh) * | 2015-08-11 | 2015-12-30 | 广州韵成信息科技有限公司 | 一种基于Web服务器的非对称路由的路径分析方法及装置 |
CN109302390A (zh) * | 2018-09-21 | 2019-02-01 | 郑州云海信息技术有限公司 | 一种漏洞检测方法和装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090158430A1 (en) * | 2005-10-21 | 2009-06-18 | Borders Kevin R | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
CN102123155A (zh) * | 2011-03-21 | 2011-07-13 | 曾湘宁 | 一种基于NDIS驱动的Web服务器攻击过滤及综合防护方法 |
-
2015
- 2015-04-01 CN CN201510149162.6A patent/CN104735075B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090158430A1 (en) * | 2005-10-21 | 2009-06-18 | Borders Kevin R | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
CN102123155A (zh) * | 2011-03-21 | 2011-07-13 | 曾湘宁 | 一种基于NDIS驱动的Web服务器攻击过滤及综合防护方法 |
Non-Patent Citations (1)
Title |
---|
红黑联盟: "Apache Range Header DoS Attack 科普", 《红黑联盟-系统安全》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105208074A (zh) * | 2015-08-11 | 2015-12-30 | 广州韵成信息科技有限公司 | 一种基于Web服务器的非对称路由的路径分析方法及装置 |
CN105208074B (zh) * | 2015-08-11 | 2018-05-15 | 广州韵成信息科技有限公司 | 一种基于Web服务器的非对称路由的路径分析方法及装置 |
CN109302390A (zh) * | 2018-09-21 | 2019-02-01 | 郑州云海信息技术有限公司 | 一种漏洞检测方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104735075B (zh) | 2018-03-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101789947B (zh) | 防范http post泛洪攻击的方法及防火墙 | |
CN101895516B (zh) | 一种跨站脚本攻击源的定位方法及装置 | |
CN103810425B (zh) | 恶意网址的检测方法及装置 | |
CN101834866B (zh) | 一种cc攻击防护方法及其系统 | |
CN101388768B (zh) | 检测恶意http请求的方法及装置 | |
CN102571846A (zh) | 一种转发http请求的方法及装置 | |
CN103384242B (zh) | 基于Nginx代理服务器的入侵检测方法及系统 | |
CN104462509A (zh) | 垃圾评论检测方法及装置 | |
CN103179132A (zh) | 一种检测和防御cc攻击的方法及装置 | |
CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
CN101267313A (zh) | 泛洪攻击检测方法及检测装置 | |
CN106656922A (zh) | 一种基于流量分析的网络攻击防护方法和装置 | |
CN101964025A (zh) | Xss检测方法和设备 | |
CN102129528A (zh) | 一种web网页篡改识别方法及系统 | |
CN106789849B (zh) | Cc攻击识别方法、节点及系统 | |
CN101771695A (zh) | Tcp连接的处理方法、系统及syn代理设备 | |
CN102724186A (zh) | 一种钓鱼网站检测系统和检测方法 | |
CN104767747A (zh) | 点击劫持安全检测方法和装置 | |
CN102710646A (zh) | 一种钓鱼网站的收集方法和系统 | |
CN104301304A (zh) | 基于大型isp互联口的漏洞检测系统及其方法 | |
CN103218410A (zh) | 互联网事件分析方法与装置 | |
CN102833269A (zh) | 跨站攻击的检测方法、装置和具有该装置的防火墙 | |
CN103916379A (zh) | 一种基于高频统计的cc攻击识别方法及系统 | |
CN102130791A (zh) | 一种在网关上检测代理的方法、装置及网关服务器 | |
CN102891861A (zh) | 一种基于客户端的钓鱼网站检测方法及其装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |