CN111131180B - 一种大规模云环境中分布式部署的http协议post拦截方法 - Google Patents
一种大规模云环境中分布式部署的http协议post拦截方法 Download PDFInfo
- Publication number
- CN111131180B CN111131180B CN201911234132.XA CN201911234132A CN111131180B CN 111131180 B CN111131180 B CN 111131180B CN 201911234132 A CN201911234132 A CN 201911234132A CN 111131180 B CN111131180 B CN 111131180B
- Authority
- CN
- China
- Prior art keywords
- http
- network card
- http post
- data
- post
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种大规模云环境中分布式部署的HTTP协议POST拦截方法,通过端口镜像技术,对机房入口交换机的所有流量进行抓包、TCP/IP数据重组、HTTP解析等方式,获取每个HTTP请求POST方法的数据部分,对数据部分采用规则匹配等方式,根据匹配结果判断是否为恶意访问,并采取基于旁路的TCP连接重置技术,配合在云主机的宿主服务器上运行的POST数据包延时辅助程序,完成对HTTP协议POST数据包的分析与拦截;本文介绍的技术方案,在对现有网络环境影响较小、风险较低和方便管理的情况下,对通过HTTP协议POST方法上传的木马、病毒、违法信息和SQL注入攻击等有害信息进行拦截。
Description
技术领域
本发明涉及互联网信息安全技术领域,特别是涉及一种大规模云环境中分布式部署的HTTP协议POST拦截方法。
背景技术
面对互联网飞速发展,各类网站也越来越多,人们的生活已经和网站密不可分。面对黑客无时无刻的web攻击,网络安全已经越来越受到人们的重视,而一般情况下黑客对网站进行攻击或篡改均需通过POST方法进行恶意代码上传,对于黑客利用HTTP协议POST方法进行上传的数据中包含木马、篡改文件等攻击的拦截手段,基于旁路的拦截方法是通过构造带RST标记的TCP包中止黑客与服务器的TCP连接,但攻击数据包往往非常小,因镜像服务器收到攻击数据包并做出判断滞后于服务器的TCP包处理,所以带RST标记的TCP包只能中断客户端的TCP连接,但却因为时延的关系,无法中断服务器端的TCP连接,WEB服务器依然可以收到完整的POST数据包,造成攻击数据成功被服务器接收并处理,而无法避免黑客攻击。
如果在用户web服务器内部安装软件,虽然可以拦截请求,但是由于用户生产环境的复杂多变和用户可能会关闭软件等因素,所以代价高昂且效果不佳。如果在机房网络总入口处串接安全检测设备,将正常的网络数据包经分析后再转发到后面web服务器,这样可能造成数据延迟增大影响体验,而更大的问题是如果系统崩溃,则将造成大面积网络瘫痪。所以在对现有网络环境影响较小、风险较低和方便管理的情况下,提供一种在大规模云环境中分布式部署的HTTP协议POST拦截方法显得尤为重要。
发明内容
本发明的目的在于克服现有技术的不足,提供一种大规模云环境中分布式部署的HTTP协议POST拦截方法,能够在对网络环境影响较小且方便管理的情况下,对通过HTTP协议POST方法上传的木马、病毒、违法信息和SQL注入攻击等有害信息进行拦截。
本发明的目的是通过以下技术方案来实现的:一种大规模云环境中分布式部署的HTTP协议POST拦截方法,包括以下步骤:
S1.配置若干个虚拟机宿主服务器,所述虚拟机宿主服务器包含外网网卡eth0、辅助程序模块、异常检测程序模块、VETH虚拟网卡veth0~veth1、网桥br0以及通过虚拟网卡与网桥br0连接的多个虚拟机,其中veth1作为虚拟端口接入网桥br0;将每个虚拟机宿主服务器的外网网卡eth0与机房入口交换机连接;
S2.辅助程序模块通过抓包技术,捕获网卡eth0读队列上的网络数据包,对于HTTP协议POST方法的最后一个数据包,延时15毫秒后转发到网卡veth0;带RST标志的数据包以及其它数据包不会被延时,且立即转发到网卡veth0;同时,辅助程序模块捕获网卡veth0读队列的网络数据包,并将这些数据包转发到网卡eth0,完成网桥br0与互联网的互通;
S3.当辅助程序模块从网卡eth0上捕获到ICMP应答包,且ICMP应答包的序列号和标识都是0xFFFF时,解析ICMP数据部分,获取TCP连接源IP地址、目的IP地址、源端口和目的端口,通过这四元素查询延时队列中的HTTP协议POST方法的延时数据包,并将数据包立即转发到网卡veth0;
S4.通过端口镜像技术,将机房入口交换机所有流量导入镜像服务器,并通过抓包技术,捕获所有数据包;获取每个HTTP协议POST方法的数据部分,检测数据部分是否包含有害信息,从而判断HTTP协议POST方法是否合法;所述的有害信息包括但不限于木马、病毒、违法信息和SQL注入攻击;
S5.对于不合法的HTTP协议POST方法,对HTTP协议POST方法进行拦截,阻止POST数据的成功上传;同时,对于正常的HTTP协议POST方法,构造目的IP地址为HTTP协议POST方法的目的IP地址的特殊ICMP应答数据包,通知虚拟机宿主取消当前HTTP协议POST方法最后一个数据包的延时;
S6.在虚拟机宿主服务器中,通过异常检测程序模块定时扫描网卡eth0和网卡veth0流量情况,如果两张网卡流量数据包相差过大,则辅助程序模块停止工作,并将网卡eth0直接加入网桥br0中,并清除虚拟机宿主服务器ARP缓存。
本发明的有益效果是:本发明能够成功拦截HTTP协议POST方法的请求,阻止通过HTTP协议POST方法上传的木马、病毒、违法信息和SQL注入攻击等有害信息进行拦截。
附图说明
图1为本发明的方法流程图;
图2为本发明方法中所采用的部署架构示意图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
如图1~2所示,一种大规模云环境中分布式部署的HTTP协议POST拦截方法,其特征在于:包括以下步骤:
S1.配置若干个虚拟机宿主服务器,所述虚拟机宿主服务器包含外网网卡eth0、辅助程序模块、异常检测程序模块、VETH虚拟网卡veth0~veth1、网桥br0以及通过虚拟网卡与网桥br0连接的多个虚拟机,其中veth1作为虚拟端口接入网桥br0;将每个虚拟机宿主服务器的外网网卡eth0与机房入口交换机连接;
S2.辅助程序模块通过抓包技术,捕获网卡eth0读队列上的网络数据包,对于HTTP协议POST方法的最后一个数据包,延时15毫秒后转发到网卡veth0;带RST标志的数据包以及其它数据包不会被延时,且立即转发到网卡veth0;同时,辅助程序模块捕获网卡veth0读队列的网络数据包,并将这些数据包转发到网卡eth0,完成网桥br0与互联网的互通;
其中,通过TCP/IP协议对TCP数据进行重组,根据HTTP请求头中Content-Length字段,并记录已经获取到的HTTP协议POST方法的数据部分大小,据此确定HTTP协议POST方法的最后一个数据包。其中将HTTP协议POST方法的最后一个数据包加入延时队列,独立线程处理延时队列数据,将所有延时后的数据包转发到网卡veth0。
S3.当辅助程序模块从网卡eth0上捕获到ICMP应答包,且ICMP应答包的序列号和标识都是0xFFFF时,解析ICMP数据部分,获取TCP连接源IP地址、目的IP地址、源端口和目的端口,通过这四元素查询延时队列中的HTTP协议POST方法的延时数据包,并将数据包立即转发到网卡veth0;
S4.通过端口镜像技术,将机房入口交换机所有流量导入镜像服务器,并通过抓包技术,捕获所有数据包;获取每个HTTP协议POST方法的数据部分,检测数据部分是否包含有害信息,从而判断HTTP协议POST方法是否合法;所述的有害信息包括但不限于木马、病毒、违法信息和SQL注入攻击;
其中,通过TCP/IP协议对TCP数据进行重组,并根据HTTP协议获取POST请求的数据部分;采用规则匹配的方式,对数据部分进行匹配;当匹配结果分值大于系统设定阈值时,则判定此次HTTP协议POST方法不合法,需要进行拦截。
在本申请的实施例中,其中规则匹配可以采用Aho-Corasick多模式匹配算法,和一个关键词库,对数据部分进行多关键词匹配,并对匹配的关键词进行评分,评分方式包含两个部分,先对单个关键词分值进行累加,在对关键词表达式分值进行累加,最终计算的分值为规则匹配的结果分值。其中关键词表达式为包含AND和OR和括号()的表达式,例如表达式A AND (B OR C),表示所匹配的关键词中包含A且包含B或C中任意一个关键词则表达式匹配成功,并累加分值。其中关键词库中包含木马、病毒、违法信息和SQL注入攻击等有害信息,
需要管理人员长期维护,对新的木马、病毒、违法信息和SQL注入攻击等有害信息进行关键词或关键词表达式提取,并加入关键词库,使得系统能够防止新的木马、病毒、违法信息和SQL注入攻击等有害信息的上传。
S5.对于不合法的HTTP协议POST方法,对HTTP协议POST方法进行拦截,阻止POST数据的成功上传;同时,对于正常的HTTP协议POST方法,构造目的IP地址为HTTP协议POST方法的目的IP地址的特殊ICMP应答数据包,通知虚拟机宿主取消当前HTTP协议POST方法最后一个数据包的延时;
所述步骤S5中,对HTTP协议POST方法进行拦截的过程具体包括:根据HTTP协议POST方法最后一个TCP数据包的seq和ack序列号,构造HTTP协议302跳转数据包发送给客户端,使页面跳转到拦截提示页面;构造TCP连接的RST数据包发送给服务端,告诉服务端连接已重置,使HTTP协议POST方法的TCP连接中断。
S6.在虚拟机宿主服务器中,通过异常检测程序模块定时扫描网卡eth0和网卡veth0流量情况,如果两张网卡流量数据包相差过大,则辅助程序模块停止工作,并将网卡eth0直接加入网桥br0中,并清除虚拟机宿主服务器ARP缓存。
以上所述是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应该看作是对其他实施例的排除,而可用于其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (5)
1.一种大规模云环境中分布式部署的HTTP协议POST拦截方法,其特征在于:包括以下步骤:
S1.配置若干个虚拟机宿主服务器,所述虚拟机宿主服务器包含外网网卡eth0、辅助程序模块、异常检测程序模块、VETH虚拟网卡veth0~veth1、网桥br0以及通过虚拟网卡与网桥br0连接的多个虚拟机,其中veth1作为虚拟端口接入网桥br0;将每个虚拟机宿主服务器的外网网卡eth0与机房入口交换机连接;
S2.辅助程序模块通过抓包技术,捕获网卡eth0读队列上的网络数据包,对于HTTP协议POST方法的最后一个数据包,延时15毫秒后转发到网卡veth0;其它数据包不会被延时,且立即转发到网卡veth0;同时,辅助程序模块捕获网卡veth0读队列的网络数据包,并将这些数据包转发到网卡eth0,完成网桥br0与互联网的互通;
S3.当辅助程序模块从网卡eth0上捕获到ICMP应答包,且ICMP应答包的序列号和标识都是0xFFFF时,解析ICMP数据部分,获取TCP连接源IP地址、目的IP地址、源端口和目的端口,通过这四元素查询延时队列中的HTTP协议POST方法的延时数据包,并将数据包立即转发到网卡veth0;
S4.通过端口镜像技术,将机房入口交换机所有流量导入镜像服务器,并通过抓包技术,捕获所有数据包;获取每个HTTP协议POST方法的数据部分,检测数据部分是否包含有害信息,从而判断HTTP协议POST方法是否合法;
S5.对于不合法的HTTP协议POST方法,对HTTP协议POST方法进行拦截,阻止POST数据的成功上传;同时,对于正常的HTTP协议POST方法,构造目的IP地址为HTTP协议POST方法的目的IP地址的特殊ICMP应答数据包,通知虚拟机宿主取消当前HTTP协议POST方法最后一个数据包的延时;
S6.在虚拟机宿主服务器中,通过异常检测程序模块定时扫描网卡eth0和网卡veth0流量情况,如果两张网卡流量数据包相差过大,则辅助程序模块停止工作,并将网卡eth0直接加入网桥br0中,并清除虚拟机宿主服务器ARP缓存。
2.根据权利要求1所述的一种大规模云环境中分布式部署的HTTP协议POST拦截方法,其特征在于:步骤S4中所述的有害信息包括木马、病毒、违法信息和SQL注入攻击。
3.根据权利要求1所述的一种大规模云环境中分布式部署的HTTP协议POST拦截方法,其特征在于:所述步骤S2中,通过TCP/IP协议对TCP数据进行重组,根据HTTP请求头中Content-Length字段,并记录已经获取到的HTTP协议POST方法的数据部分大小,据此确定HTTP协议POST方法的最后一个数据包。
4.根据权利要求1所述的一种大规模云环境中分布式部署的HTTP协议POST拦截方法,其特征在于:所述步骤S4中,判断HTTP协议POST方法是否合法的方式如下:
通过TCP/IP协议对TCP数据进行重组,并根据HTTP协议获取POST请求的数据部分;采用规则匹配的方式,对数据部分进行匹配;当匹配结果分值大于系统设定阈值时,则判定此次HTTP协议POST方法不合法,需要进行拦截。
5.根据权利要求1所述的一种大规模云环境中分布式部署的HTTP协议POST拦截方法,其特征在于:所述步骤S5中,对HTTP协议POST方法进行拦截的过程具体包括:根据HTTP协议POST方法最后一个TCP数据包的seq和ack序列号,构造HTTP协议302跳转数据包发送给客户端,使页面跳转到拦截提示页面;构造TCP连接的RST数据包发送给服务端,告诉服务端连接已重置,使HTTP协议POST方法的TCP连接中断。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911234132.XA CN111131180B (zh) | 2019-12-05 | 2019-12-05 | 一种大规模云环境中分布式部署的http协议post拦截方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911234132.XA CN111131180B (zh) | 2019-12-05 | 2019-12-05 | 一种大规模云环境中分布式部署的http协议post拦截方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111131180A CN111131180A (zh) | 2020-05-08 |
| CN111131180B true CN111131180B (zh) | 2022-04-22 |
Family
ID=70497847
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911234132.XA Active CN111131180B (zh) | 2019-12-05 | 2019-12-05 | 一种大规模云环境中分布式部署的http协议post拦截方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111131180B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225340A (zh) * | 2022-06-28 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 一种网站自动防护方法、装置、设备及存储介质 |
| CN115499345B (zh) * | 2022-09-22 | 2024-05-17 | 北京沃东天骏信息技术有限公司 | 数据测试方法、装置及存储介质、计算机产品 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101170402A (zh) * | 2007-11-08 | 2008-04-30 | 华为技术有限公司 | 一种采用网流技术防御tcp攻击的方法和系统 |
| CN101194264A (zh) * | 2005-06-09 | 2008-06-04 | 格拉斯沃(Ip)有限公司 | 抵制有害代码和数据的扩散 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8646064B1 (en) * | 2012-08-07 | 2014-02-04 | Cloudflare, Inc. | Determining the likelihood of traffic being legitimately received at a proxy server in a cloud-based proxy service |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
-
2019
- 2019-12-05 CN CN201911234132.XA patent/CN111131180B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101194264A (zh) * | 2005-06-09 | 2008-06-04 | 格拉斯沃(Ip)有限公司 | 抵制有害代码和数据的扩散 |
| CN101170402A (zh) * | 2007-11-08 | 2008-04-30 | 华为技术有限公司 | 一种采用网流技术防御tcp攻击的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111131180A (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10277614B2 (en) | Information processing apparatus, method for determining activity and computer-readable medium | |
| CN106657001B (zh) | 一种基于Netflow及DNS日志的僵尸网络检测方法 | |
| KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| KR102040990B1 (ko) | 응답이 없는 아웃고잉 네트워크 트래픽의 분석을 통한 감염된 네트워크 장치의 검출 | |
| US20160381070A1 (en) | Protocol based detection of suspicious network traffic | |
| US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
| US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
| Hussein et al. | SDN security plane: An architecture for resilient security services | |
| US20200304521A1 (en) | Bot Characteristic Detection Method and Apparatus | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| US9491190B2 (en) | Dynamic selection of network traffic for file extraction shellcode detection | |
| US10348751B2 (en) | Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs | |
| CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
| CN111131180B (zh) | 一种大规模云环境中分布式部署的http协议post拦截方法 | |
| JP2014123996A (ja) | ネットワーク監視装置及びプログラム | |
| CN112104628B (zh) | 一种自适应特征规则匹配的实时恶意流量检测方法 | |
| WO2017217247A1 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| KR20190027122A (ko) | 네트워크 공격 패턴 분석 및 방법 | |
| JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
| TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
| JP6007308B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| CN109274676B (zh) | 基于自学习方式获取木马控制端ip地址的方法、系统和存储设备 | |
| JP2016127394A (ja) | 情報処理装置、方法およびプログラム | |
| CN114697049B (zh) | WebShell检测方法及装置 | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |