http协议详解2
2012-11-16 00:22
127 查看
出现输入错误,则请求不会成功。
� 报头域不分大小写。
� 更深一步了解HTTP 协议,可以查看RFC2616,在http://www.letf.org/rfc 上找到该文
件。
� 开发后台程序必须掌握http 协议
六、HTTP协议相关技术补充
1、基础
高层协议有:文件传输协议FTP、电子邮件传输协议SMTP、域名系统服务DNS、网络新闻传输协议
NNTP 和HTTP 协议等
中介由三种:代理(Proxy)、网关(Gateway)和通道(Tunnel),一个代理根据URI 的绝对格式来
接受请求,重写全部或部分消息,通过URI 的标识把已格式化过的请求发送到服务器。网关是一个接收
代理,作为一些其它服务器的上层,并且如果必须的话,可以把请求翻译给下层的服务器协议。一个通
道作为不改变消息的两个连接之间的中继点。当通讯需要通过一个中介(例如:防火墙等)或者是中介不能
识别消息的内容时,通道经常被使用。
代理(Proxy):一个中间程序,它可以充当一个服务器,也可以充当一个客户机,为其它客户机建立
请求。请求是通过可能的翻译在内部或经过传递到其它的服务器中。一个代理在发送请求信息之前,必
须解释并且如果可能重写它。代理经常作为通过防火墙的客户机端的门户,代理还可以作为一个帮助应用
来通过协议处理没有被用户代理完成的请求。
网关(Gateway):一个作为其它服务器中间媒介的服务器。与代理不同的是,网关接受请求就好象
对被请求的资源来说它就是源服务器;发出请求的客户机并没有意识到它在同网关打交道。
网关经常作为通过防火墙的服务器端的门户,网关还可以作为一个协议翻译器以便存取那些存储在非
HTTP 系统中的资源。
通道(Tunnel):是作为两个连接中继的中介程序。一旦激活,通道便被认为不属于HTTP 通讯,尽
管通道可能是被一个HTTP 请求初始化的。当被中继的连接两端关闭时,通道便消失。当一个门户(Portal)
必须存在或中介(Intermediary)不能解释中继的通讯时通道被经常使用。
2、协议分析的优势—HTTP分析器检测网络攻击
以模块化的方式对高层协议进行分析处理,将是未来入侵检测的方向。
HTTP 及其代理的常用端口80、3128 和8080 在network 部分用port 标签进行了规定
3、HTTP协议 Content Lenth限制漏洞导致拒绝服务攻击
使用POST 方法时, 可以设置ContentLenth 来定义需要传送的数据长度, 例如
ContentLenth:999999999,在传送完成前,内存不会释放,攻击者可以利用这个缺陷,连续向WEB
服务器发送垃圾数据直至WEB 服务器内存耗尽。这种攻击方法基本不会留下痕迹。
http://www.cnpaf.net/Class/HTTP/0532918532667330.html
4、利用 HTTP协议的特性进行拒绝服务攻击的一些构思
服务器端忙于处理攻击者伪造的TCP 连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比
率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了
SYNFlood 攻击(SYN 洪水攻击)。
而Smurf、TearDrop 等是利用ICMP 报文来Flood 和IP 碎片攻击的。本文用“正常连接”的方法
来产生拒绝服务攻击。
19 端口在早期已经有人用来做Chargen 攻击了,即Chargen_Denial_of_Service,但是!他
们用的方法是在两台Chargen 服务器之间产生UDP 连接,让服务器处理过多信息而DOWN 掉,那么,干
掉一台WEB 服务器的条件就必须有2 个:1.有Chargen 服务2.有HTTP 服务
方法:攻击者伪造源IP 给N 台Chargen 发送连接请求(Connect),Chargen 接收到连接后就会
返回每秒72 字节的字符流(实际上根据网络实际情况,这个速度更快)给服务器。
5、Http指纹识别技术
Http 指纹识别的原理大致上也是相同的:记录不同服务器对Http 协议执行中的微小差别进行识
别.Http 指纹识别比TCP/IP 堆栈指纹识别复杂许多,理由是定制Http 服务器的配置文件、增加插件或
组件使得更改Http 的响应信息变的很容易,这样使得识别变的困难;然而定制TCP/IP 堆栈的行为需要
对核心层进行修改,所以就容易识别.
要让服务器返回不同的Banner 信息的设置是很简单的,象Apache 这样的开放源代码的Http 服务
器,用户可以在源代码里修改Banner 信息,然后重起Http 服务就生效了;对于没有公开源代码的Http
服务器比如微软的IIS 或者是Netscape,可以在存放Banner 信息的Dll 文件中修改,相关的文章有
讨论的,这里不再赘述,当然这样的修改的效果还是不错的.另外一种模糊Banner 信息的方法是使用插
件。
常用测试请求:
1:HEAD/Http/1.0 发送基本的Http 请求
2:DELETE/Http/1.0 发送那些不被允许的请求,比如Delete 请求
3:GET/Http/3.0 发送一个非法版本的Http 协议请求
4:GET/JUNK/1.0 发送一个不正确规格的Http 协议请求
Http 指纹识别工具Httprint,它通过运用统计学原理,组合模糊的逻辑学技术,能很有效的确定
Http 服务器的类型.它可以被用来收集和分析不同Http 服务器产生的签名。
6、其他
为了提高用户使用浏览器时的性能,现代浏览器还支持并发的访问方式,浏览一个网页时同时建立多
个连接,以迅速获得一个网页上的多个图标,这样能更快速完成整个网页的传输。
HTTP1.1 中提供了这种持续连接的方式,而下一代HTTP 协议:HTTP-NG 更增加了有关会话控制、
丰富的内容协商等方式的支持,来提供
更高效率的连接。
� 报头域不分大小写。
� 更深一步了解HTTP 协议,可以查看RFC2616,在http://www.letf.org/rfc 上找到该文
件。
� 开发后台程序必须掌握http 协议
六、HTTP协议相关技术补充
1、基础
高层协议有:文件传输协议FTP、电子邮件传输协议SMTP、域名系统服务DNS、网络新闻传输协议
NNTP 和HTTP 协议等
中介由三种:代理(Proxy)、网关(Gateway)和通道(Tunnel),一个代理根据URI 的绝对格式来
接受请求,重写全部或部分消息,通过URI 的标识把已格式化过的请求发送到服务器。网关是一个接收
代理,作为一些其它服务器的上层,并且如果必须的话,可以把请求翻译给下层的服务器协议。一个通
道作为不改变消息的两个连接之间的中继点。当通讯需要通过一个中介(例如:防火墙等)或者是中介不能
识别消息的内容时,通道经常被使用。
代理(Proxy):一个中间程序,它可以充当一个服务器,也可以充当一个客户机,为其它客户机建立
请求。请求是通过可能的翻译在内部或经过传递到其它的服务器中。一个代理在发送请求信息之前,必
须解释并且如果可能重写它。代理经常作为通过防火墙的客户机端的门户,代理还可以作为一个帮助应用
来通过协议处理没有被用户代理完成的请求。
网关(Gateway):一个作为其它服务器中间媒介的服务器。与代理不同的是,网关接受请求就好象
对被请求的资源来说它就是源服务器;发出请求的客户机并没有意识到它在同网关打交道。
网关经常作为通过防火墙的服务器端的门户,网关还可以作为一个协议翻译器以便存取那些存储在非
HTTP 系统中的资源。
通道(Tunnel):是作为两个连接中继的中介程序。一旦激活,通道便被认为不属于HTTP 通讯,尽
管通道可能是被一个HTTP 请求初始化的。当被中继的连接两端关闭时,通道便消失。当一个门户(Portal)
必须存在或中介(Intermediary)不能解释中继的通讯时通道被经常使用。
2、协议分析的优势—HTTP分析器检测网络攻击
以模块化的方式对高层协议进行分析处理,将是未来入侵检测的方向。
HTTP 及其代理的常用端口80、3128 和8080 在network 部分用port 标签进行了规定
3、HTTP协议 Content Lenth限制漏洞导致拒绝服务攻击
使用POST 方法时, 可以设置ContentLenth 来定义需要传送的数据长度, 例如
ContentLenth:999999999,在传送完成前,内存不会释放,攻击者可以利用这个缺陷,连续向WEB
服务器发送垃圾数据直至WEB 服务器内存耗尽。这种攻击方法基本不会留下痕迹。
http://www.cnpaf.net/Class/HTTP/0532918532667330.html
4、利用 HTTP协议的特性进行拒绝服务攻击的一些构思
服务器端忙于处理攻击者伪造的TCP 连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比
率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了
SYNFlood 攻击(SYN 洪水攻击)。
而Smurf、TearDrop 等是利用ICMP 报文来Flood 和IP 碎片攻击的。本文用“正常连接”的方法
来产生拒绝服务攻击。
19 端口在早期已经有人用来做Chargen 攻击了,即Chargen_Denial_of_Service,但是!他
们用的方法是在两台Chargen 服务器之间产生UDP 连接,让服务器处理过多信息而DOWN 掉,那么,干
掉一台WEB 服务器的条件就必须有2 个:1.有Chargen 服务2.有HTTP 服务
方法:攻击者伪造源IP 给N 台Chargen 发送连接请求(Connect),Chargen 接收到连接后就会
返回每秒72 字节的字符流(实际上根据网络实际情况,这个速度更快)给服务器。
5、Http指纹识别技术
Http 指纹识别的原理大致上也是相同的:记录不同服务器对Http 协议执行中的微小差别进行识
别.Http 指纹识别比TCP/IP 堆栈指纹识别复杂许多,理由是定制Http 服务器的配置文件、增加插件或
组件使得更改Http 的响应信息变的很容易,这样使得识别变的困难;然而定制TCP/IP 堆栈的行为需要
对核心层进行修改,所以就容易识别.
要让服务器返回不同的Banner 信息的设置是很简单的,象Apache 这样的开放源代码的Http 服务
器,用户可以在源代码里修改Banner 信息,然后重起Http 服务就生效了;对于没有公开源代码的Http
服务器比如微软的IIS 或者是Netscape,可以在存放Banner 信息的Dll 文件中修改,相关的文章有
讨论的,这里不再赘述,当然这样的修改的效果还是不错的.另外一种模糊Banner 信息的方法是使用插
件。
常用测试请求:
1:HEAD/Http/1.0 发送基本的Http 请求
2:DELETE/Http/1.0 发送那些不被允许的请求,比如Delete 请求
3:GET/Http/3.0 发送一个非法版本的Http 协议请求
4:GET/JUNK/1.0 发送一个不正确规格的Http 协议请求
Http 指纹识别工具Httprint,它通过运用统计学原理,组合模糊的逻辑学技术,能很有效的确定
Http 服务器的类型.它可以被用来收集和分析不同Http 服务器产生的签名。
6、其他
为了提高用户使用浏览器时的性能,现代浏览器还支持并发的访问方式,浏览一个网页时同时建立多
个连接,以迅速获得一个网页上的多个图标,这样能更快速完成整个网页的传输。
HTTP1.1 中提供了这种持续连接的方式,而下一代HTTP 协议:HTTP-NG 更增加了有关会话控制、
丰富的内容协商等方式的支持,来提供
更高效率的连接。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 