超文本傳輸協議攻擊防禦方法、裝置和系統的製作方法

2023-10-11 20:33:59

專利名稱：超文本傳輸協議攻擊防禦方法、裝置和系統的製作方法
技術領域：
本發明涉及網絡安全領域，特別涉及一種超文本傳輸協議攻擊防禦方法、 裝置和系統。
背景技術：
HTTP (Hyper Text Transfer Protocol,超文本傳l命協議)協議是目前互 聯網上應用最廣泛的協議之一，也是黑客最關注的攻擊目標之一，對WEB站點 的攻擊方法多種多樣，有基於傳輸層的攻擊方式，比如SYN Flood (Synchronize Sequence Numbers Flood,同步序歹'J編號洪水攻擊)；也有基 於應用層的攻擊方式，比如HTTP Flood (HTTP洪水攻擊，包括Get Flood, Post Flood等),CC (Challenge Collapsar,規避黑洞)攻擊等。
一個正常的HTTP請求過程如圖l所示，首先由客戶端向伺服器發起一個 TCP (Transmission Control Protocol,傳輸控制協議)連接，TCP連接建立 後，客戶端發起一個HTTP請求，伺服器收到HTTP請求後，將相應內容發送給 客戶端。基於應用層的攻擊HTTP Flood主要利用真實的單個或多個源IP對攻 擊目標WEB站點的某些相對固定URL (Uniform Resource Location,統一資源 定位符)發起多次請求，這種攻擊往往藉助殭屍攻擊工具來實施發起多次請求， 以消耗目標WEB伺服器資源，導致拒絕服務情況發生。
HTTP Flood攻擊的防禦方法目前主要有基於統計的防禦方法和基於信任 IP的重定向防禦方法。基於統計的防禦方法主要原理是統計源IP的請求數、 統計目標URL的請求數、關鍵字統計等，對這些統計點首先設置閾值，然後根 據統計結果是否超過閾值來判斷攻擊是否發生，如果超過閾值，則認為攻擊發 生，觸發防禦機制，這些防禦方法統稱為基於統計的防禦方法。如圖2所示， 如果某個源IP請求連接數超過閾值，則採用限制此IP請求連接數或拒絕此 IP請求連接的方法來進行防禦；如果針對某個URL的請求數超過閾值，則採用限制此URL請求數的方法進行防禦；如果有大量請求頭中存在 "X-forward-for" 或"Via" 等的HTTP請求，則認為發生了CC攻擊，然後 拒絕這些請求。圖2中，如果一個HTTP請求被識別為攻擊請求，則將此數據 報文丟棄，並向伺服器發送TCP RST (TCP RESET,連接復位請求)數據包， 讓伺服器釋放TCP連接資源。
另一種應對HTTP flood攻擊的基於信任IP的重定向防禦方法，如圖3 所示。防護裝置利用經典的SYN Flood防禦方法，先進行源探測，如果源IP 是真實的，則將此IP添加到信任IP列表，然後將到達的HTTP請求URL重定 向到同樣的URL，並且斷開此TCP連接；當新的TCP請求到達時，在信任IP表 中搜索源IP,如果源工P存在，則直接與伺服器進行TCP連接，並放行之後的 HTTP請求。
以上方法儘管能起到一定的防禦作用，但是對SNAT(source network address trans lat ion，源地址目標轉換)之後的IP存在誤判，對熱門URL也存 在誤判，另外需要大量記錄IP位址信息，消耗系統的內存。

發明內容
本發明實施例提供一種基於重定向的超文本傳輸協議攻擊防禦方法、裝置 和系統，以降低誤判率和減少系統內存的消耗。
本發明一個實施例提供一種超文本傳輸協議攻擊防禦方法，包括
響應客戶端發送給伺服器的HTTP請求，向所述客戶端發送重定向命令， 斷開為所述HTTP請求建立的網絡連接，所述重定向命令用於將所述HTTP請求 重定向到一個虛擬地址，所述虛擬地址能夠到達伺服器；
接收客戶端新的HTTP請求，根據所述虛擬地址判斷所述新的HTTP請求是 否是重定向後的HTTP請求，若所述新的HTTP請求是所述重定向後的HTTP請 求，在所述新的HTTP請求中判斷出具有合法數據包的HTTP請求；
將所述具有合法數據包的HTTP請求中的虛擬地址修改為原來的地址，並 發送給所述伺服器。
本發明一個實施例提供一種超文本傳輸協議攻擊防禦裝置，包括
釋放單元，用於向伺服器發送連接復位請求，斷開網絡連接；接收單元，用於接收來自客戶端的發送給伺服器的HTTP請求； 重定向單元，用於響應所述客戶端的HTTP請求，向所述客戶端發送重定 向命令，並通過所述釋放單元斷開為所述HTTP請求建立的網絡連接，所述重 定向命令用於將所述HTTP請求重定向到一個虛擬地址，所述虛擬地址能夠到 達伺服器；
判斷單元，用於對所述接收單元接收的新的HTTP請求進行判斷，判斷出 是重定向後的HTTP請求的新的HTTP請求，並對所述是重定向後的HTTP請求 的新的HTTP請求進行合法數據包的判斷，得到具有合法數據包的HTTP請求；
還原單元，用於將所述判斷單元判斷出的，具有合法數據包的HTTP請求 中的虛擬地址修改為原來的地址，並發送給所述伺服器。
本發明一個實施例提供一種超文本傳輸協議攻擊防禦系統，包括用於響應 客戶端HTTP請求的伺服器，還包括HTTP攻擊防禦裝置，所述HTTP攻擊防禦 裝置包括
釋放單元，用於向伺服器發送連接復位請求TCP RST,斷開TCP連接； 接收單元，用於接收來自客戶端的發送給所述伺服器的HTTP請求； 重定向單元，用於響應所述接收單元接受到的客戶端的HTTP請求，向所
述客戶端發送重定向命令，通過所述釋放單元斷開為所述HTTP請求建立的網
絡連接，所述重定向命令用於將所述HTTP請求重定向到一個虛擬地址，所述
虛擬地址能夠到達伺服器；
判斷單元，用於對所述接收單元接收的新的HTTP請求進行判斷，判斷出
是重定向後的HTTP請求的新的HTTP請求，並對所述是重定向後的HTTP請求
的新的HTTP請求進行合法數據包的判斷，得到具有合法數據包的HTTP請求； 還原單元，用於將所述判斷單元判斷出的，具有合法數據包的HTTP請求
中的虛擬地址修改為原來的地址，並發送給所述伺服器。
通過以上技術方案，將HTTP請求重定向到一個虛擬地址，對新的HTTP請
求進行判斷，得到重定響後的，具有合法數據包的HTTP請求，能有效識別SNAT
之後的攻擊，誤判率低，減少系統內存的消耗。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。
圖1正常的HTTP請求應答示意圖2現有技術中基於統計的HTTP攻擊防禦方法示意圖3現有技術中基於信任IP的重定向HTTP攻擊防禦方法示意圖4本發明實施例提供的HTTP攻擊防禦方法流程圖5本發明實施例提供的HTTP攻擊防禦方法示意圖6本發明實施例提供的HTTP攻擊防禦裝置示意圖7本發明實施例提供的HTTP攻擊防禦系統示意圖。
具體實施例方式
下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。
如圖4所示，本發明一個實施例提供一種HTTP攻擊防禦方法流程圖，包
括
S310，響應客戶端的超文本傳輸協議HTTP請求，發送重定向命令，將所述HTTP請求重定向到 一個虛擬的地址，(這裡的虛擬地址為虛擬URL ，本實施例及其他實施例中均用虛擬URL來描述)斷開為HTTP請求建立的網絡連接，(這裡的網絡連接為TCP連接，本實施例及其他實施例中均用TCP連接來描述)所述虛擬URL能夠到達伺服器，並包含預定的延時，該延時用於計算重定向後的HTTP請求到達時間的理i侖^f直。需要說明的是，虛擬URL可以為虛擬路徑或者通過URL變量的方式得到。
S320,接收新的HTTP請求，通過虛擬URL信息，判斷所述新的HTTP請求是否為重定向後的HTTP請求，若新的HTTP請求是重定向後的HTTP請求，根據新的HTTP請求的到達時間與預定時間的差值，判斷出具有合法數據包的
9HTTP請求；
S330,將具有合法數據包的HTTP請求中的虛擬URL 4務改為原來的URL，並發送給伺服器。
本發明實施例通過以上技術方案，將HTTP請求重定向到一個虛擬URL，通過虛擬URL信息可以判斷重定向之後的HTTP請求，並判斷出具有合法數據包的重定向響應後的HTTP請求，並能有效識別SNAT之後的攻擊，誤判率低，減少系統內存的消庫毛
如圖5所示，本發明一個實施例提供一種HTTP攻擊防-鄉方法示意圖，包
括
S410，根據TCP連接請求，建立TCP連接。防護裝置監聽來自客戶端的TCP連接請求數據包，對監聽到的TCP連接請求數據包進行TCP層攻擊防禦，例如使用地址狀態監控技術進行源IP探測，如果源IP是真實的則允許客戶端與伺服器建立TCP連接，若不是真實的則拒絕TCP連接請求。
S420, TCP連接建立後，防護裝置接收來自客戶端向伺服器發起的HTTP請求。
S430，防護裝置代替伺服器進行應答，對接收的來自客戶端的HTTP請求進行虛擬URL重定向，將其重定向到一個不存在的，經過一定編碼的URL，之所以經過一定的編碼是要保證虛擬URL能夠達到伺服器。
在這裡要求重定向後的虛擬URL請求能夠到達伺服器，並能夠通過虛擬的URL還原出真實的URL，在重定向過程中需要有一定的延時。在本實施例中可以用VDIR (virtual directory,虛擬鴻4聖)的方法進4亍虛擬URL重定向，例如可以設計為VDIR={AT | R | H}，其中AT(Arrival Time)表示為重定向請求到達時間(以防護裝置的時間為準，即系統時間)，要求佔8個字節，AT理論值是HTTP請求到達時間、重定向延時和往返時延三者之和，R為隨機數，H為前三者的哈希值，R和H可以各佔4個字節，這樣VDIR共需要佔用16個字節。這樣在對到達的HTTP進行虛擬URL重定向的同時，也就把AT的理論值計算出來了，並加入了重定向請求的數據包，即AT為HTTP請求的到達時間、重定向延時，和往返時延之和。
為形象說明，將重定向方法示例如下，假設客戶端發起的HTTP請求為
10GET hup://www. huawei. com/index, htm HTTP/1. 1防護裝置代替伺服器進行正常應答，應答HTML文件的頭部分包含如下語
句
<meta content= "0.5;url=http://www. huawei.com/VDIR/index.htm ，，〉
此語句表示客戶端在等待0.5秒後發起HTTP請求，請求URL為"http:〃w麗.h爾ei. com/VDIR/index. htm",其中VDIR為重定向時構造的一個虛擬目錄(要求如步驟S430中所述)。以此重定向示例，客戶端正確響應重定向請求的新的HTTP請求的到達時間理論值應為AT，即上一次的HTTP請求的到達時間與重定向延時0. 5秒與往返時延之和。
0. 5秒在此處表示重定向延時，在另一個實施例中也可以為0. 6秒、0.4
秒或者其他數值。
S440，防護裝置向伺服器發送TCP RST,斷開TCP連接。S450，重新建立TCP連接，方法如步驟S410所述。
S460,防護裝置接收來自客戶端的新的HTTP請求，並判斷是否是重定向後的HTTP請求。防護裝置對客戶端的新的HTTP請求的URL特徵進行判斷判斷，通過檢查VDIR的存在與否、正確與否判斷是否是經過重定向的HTTP請求。
S470 ~S480，如果VDIR不存在或者不正確，防護裝置判斷新的HTTP請求不是重定向後的請求(即重定向後的HTTP請求沒有到達)，說明上一次的HTTP請求為攻擊請求，由於在重定向後已經斷開最初的TCP連接，上一次的攻擊性HTTP請求已經被丟棄，此時防護裝置對新的HTTP請求進行虛擬URL重定向，並向伺服器發送TCP RST，斷開TCP連接，重定向方法如步驟S430所述。
S490,如果VDIR存在並且正確，防護裝置判斷這次的HTTP請求是重定向後的請求(即重定向後的HTTP請求到達)，此時還需要才艮據重定向請求的到達時間的理論值，即步驟S430中的AT的值，與當前防護裝置的時間的對比來判斷是否有殭屍攻擊發生，如果重定向請求的到達時間的理論值與當前防護裝置的時間的差值在在規定的值附近(即重定向到達時間的理論值大約等於當前防護裝置的時間)，則認為是合法數據包，如果時間偏移較多，則認為是攻擊數據包，防護裝置向伺服器發送TCP RST斷開TCP連接，丟棄攻擊數據包。在S490中，當防護裝置判斷到達的HTTP請求是重定向後的請求，並且是合法數據包時，將重定向後的HTTP請求的URL修改為最初的URL，並發送給伺服器。仍以步驟S430中的示例來進行說明URL的修改方法
經過虛擬URL重定向後的HTTP請求為
GET http: 〃w麗.h雨ei. com/VDIR/index. htm HTTP/1.1 (1)將此請求修改為正常請求，修改後的請求為
GET ▲ http://www. huawei. com/index. htmA HTTP/1. 1 A (2)
(a) (b) (c)
修改HTTP請求可能會影響到此數據報文中IP頭長度、IP頭校驗和、TCP頭校驗和、TCP頭序列號等欄位，為了將這些影響降到最低，本發明實施例採用"空格填充"方法保證此IP報文長度不變，這樣就可以只需要修改TCP頭校驗和，其它欄位不需要做修改。示例中(1 )式較(2 )式多出的非空格字節長度為"/VDIR"的長度，假設為LEN，在(2)式(a)位置用LEN長度的空格進行補齊，也可以在(b)或(c)位置用空格進行補齊。修改請求後計算TCP頭校驗和，將修改後HTTP請求發送給伺服器。
在另一實施例中，可以用URL變量方式進行重定向，例如，示例中的請求，"http://www. huawei.com/index.html"可以重定向為"http://www. huawei. com/index, html VDIR，，或"http://www. huawei. com/index, html a=VDIR，,等形式。
本發明實施例通過以上方案，將HTTP請求重定向到一個虛擬URL，通過
虛擬URL攜帶的信息可以識別重定向之後的請求，並判斷出具有合法數據包的
重定向響應後的HTTP請求，能有效抵禦各種HTTP flood攻擊(如GET flood,
CC攻擊等)；誤判率低，能有效識別SNAT之後的攻擊；不需要防護裝置存儲
大量IP位址名單，減少防護裝置的內存消耗。
如圖6所示，本發明一個實施例提供一種HTTP攻擊防禦裝置示意圖，包
括，監聽單元51Q、建立單元520、接收單元530、重定向單元540、判斷單元
550、釋放單元560和還原單元570，具體來說
12監聽單元51 0,用於監聽來自客戶端的TCP連接請求數據包。
建立單元520，對監聽到的TCP連接請求數據包進行TCP層攻擊防禦，例 如使用地址狀態監控技術進行源IP探測，如果源IP是真實的則允許客戶端與 伺服器建立TCP連接，若不是真實的則拒絕TCP連接請求。
接收單元530，建立單元建立TCP連接後，接收來自客戶端的HTTP請求；
重定向單元540,在TCP連接建立後，對來自客戶端的HTTP請求進行虛 擬URL重定向，將其重定向到一個不存在的，經過一定編碼的URL,並通過釋 放單元向伺服器發送TCP RST，斷開TCP連接。
在這裡要求URL經過一定的編碼，是為了保證重定向後的虛擬URL請求能 夠到達伺服器，並能夠通過虛擬的URL還原出真實的URL。另外在重定向過程 中需要有一定的延時。在本實施例中可以用VDIR (virtual directory,虛擬 路徑)的方法進行虛擬URL重定向，例如可以設計為VDIR={AT I R | H }, 其中AT(Arrival Time)表示為重定向請求到達時間(以防護裝置的時間為 準)，要求佔8個字節，AT理論值應當是HTTP請求到達時間、重定向延時 和往返時延三者之和，R為隨機數，H為前三者的哈希值，R和H可以各佔4 個字節，這樣VDIR共需要佔用16個字節。
為形象說明，將重定向方法示例如下，假設客戶端發起的HTTP請求為 GET http://www. huawei. com/index, htm HTTP/1.1
防護裝置代替伺服器進行正常應答，應答HTML文件的頭部分包含如下語 句<meta http-equiv-"refresh" content= "0.5;
url=http://www. huawei.com/VDIR/index.htm ，，>
此語句表示客戶端在等待0.5秒後發起HTTP請求，請求URL為 "http: 〃麗.huawei. com/VDIR/index. htm",其中VDIR為重定向時構造的一 個虛擬目錄。以此重定向示例，客戶端正確響應重定向請求的新的HTTP請求 的到達時間理論值應為AT，即上一次的HTTP請求的到達時間與重定向延時0. 5 秒與往返時延之和。
0. 5秒在此處表示重定向延時，在另一個實施例中也可以為0. 6秒、0.4 秒或者其他數值。
判斷單元550，包括第一判斷子單元5501和第二判斷子單元5502，用於
13對來自客戶端的新的HTTP請求進行判斷，判斷新的HTTP請求是否為合法的 HTTP請求，在客戶端發起新的HTTP請求之前，需要先由建立單元建立新的TCP 連接，具體建立方式，在建立單元52Q中已描述。具體來說
第一判斷子單元5501，用於通過4企查新的HTTP請求的URL中的VDIR的 存在與否、正確與否，判斷新的HTTP請求是否是經過重定向的HTTP請求。
如果VDIR不存在或者不正確，則新的HTTP請求不是重定向後的請求(即 重定向後的HTTP請求沒有到達)，說明上一次的HTTP請求為攻擊請求，此時 防護裝置對新的HTTP請求進行虛擬URL重定向，並向伺服器發送TCP RST, 斷開新的TCP連接，重定向方法如重定向單元540中所述。
如果VDIR存在並且正確，則來自客戶端的新的HTTP請求是重定向後的請 求(即重定向後的HTTP請求到達)，則第二判斷子單元5502還需要根據重定 向到達時間的理論值、即AT與當前防護裝置時間的差值，對HTTP數據包進行 攻擊性判斷，如果重定向到達時間的理論值AT與當前防護裝置的時間的差值 在規定的值附近(AT大約等於當前防護裝置的時間)，則認為是合法數據包， 若重定向到達時間的理i侖值AT與當前防護裝置的時間相比偏移較多，則認為 是攻擊數據包，此時通過釋放單元550給伺服器發送TCP RST來斷開TCP連接， 丟棄攻擊性的HTTP請求。
釋放單元560，當判斷單元550判斷出客戶端的HTTP請求不是重定向後 的HTTP請求時，說明上一次的HTTP請求為攻擊請求，這時釋放單元560給服 務器發送TCP RST來斷開之前的TCP連接；當判斷單元550判斷出客戶端的 HTTP請求是重定向後的HTTP請求，但判斷出重定向後的HTTP請求為攻擊數 據包時，釋放單元560給伺服器發送TCP RST來斷開之前的TCP連接。
需要說明的是本發明實施例中採用虛擬路徑的方法進行虛擬URL重定向， 在另一實施例中，可以用URL變量方式進行重定向，例如，示例中的請求， "http://www. huawei.com/index.html，，可以重定向為 "http://www. huawei. com/index. html VDIR，，或
"http://www. huawei. com/index. html a=VDIR，，等形式。
還原單元570，用於當判斷單元判斷出的重定向後的HTTP請求，並且是 合法數據包時，對重定向後的HTTP請求進行還原，將重定向後的HTTP請求的URL修改為最初的URL，並發送給伺服器。以本發明實施例中的HTTP請求示例 為利進行詳細說明，本發明實施例中的HTTP請求經過重定向單元540的虛擬 URL重定向後為
GET http: 〃www. huawei. com/VDIR/index. htm HTTP/1.1 (1)
還原單元560將此請求^^改為正常請求，^修改後的請求為
GET 本 http://www. huawei. com/index, htm本HTTP/1. 1本(2)
(a) (b) (c)
修改HTTP請求可能會影響到此數據報文中IP頭長度、IP頭校驗和、TCP 頭校驗和、TCP頭序列號等欄位，為了將這些影響降到最低，本發明實施例採 用"空格填充，，方法保證此IP報文長度不變，這樣就可以只需要修改TCP頭 校驗和，其它欄位不需要做修改。示例中(1)式較(2)式多出的非空格字節 長度為"/VDIR"的長度，假設為LEN，在(2)式(a)位置用LEN長度的空 格進行補齊，也可以在(b)或(c)位置用空格進行補齊。修改請求後計算 TCP頭校驗和，將修改後HTTP請求發送給伺服器。
本發明實施例通過以上方案，通過重定向單元將來自客戶端的HTTP請求 重定向到一個虛擬URL,通過虛擬URL攜帶的信息可以識別重定向之後的HTTP 請求，並判斷出具有合法數據包的重定向響應後的HTTP請求，能有效抵禦各 種HTTP flood攻擊(如GET flood, CC攻擊等);誤判率低，能有效識別SNAT 之後的攻擊；不需要防護裝置存儲大量IP位址名單，減少防護裝置的內存消 耗。
如圖7所示，本發明一個實施例中，將圖5中的HTTP攻擊防禦裝置，應 用到具體的環境中，構成一種HTTP攻擊防禦系統示意圖，用於對客戶端610 向伺服器630發起的HTTP請求進行檢測，對檢測出的具有攻擊性的HTTP請求 進行防禦。具體包括HTTP攻擊防禦裝置620和伺服器630。
客戶端610，用於向伺服器630發起TCP連接建立請求，在TCP連接建立 請求通過時，向伺服器630發送HTTP請求。
HTTP攻擊防禦裝置620，用於對客戶端610發起的TCP連接請求進行TCP 層攻擊防禦，例如使用地址狀態監控技術進行源IP探測，如果源IP是真實的則允許客戶端與伺服器建立TCP連接，若不是真實的則拒絕TCP連接請求；對 客戶端610發起的HTTP請求進行判斷識別，通過對HTTP請求進行虛擬URL 重定向，識別出攻擊性的HTTP請求，進行防禦；放行合法的HTTP請求給服務 器630。
伺服器630，用於接收客戶端的TCP連接，響應客戶端的合法的HTTP請求。
HTTP攻擊防禦裝置620的具體結構和詳細功能和圖5中的基於虛擬URL 重定向HTTP攻擊防禦裝置相同，在此不再贅述。
需要說明的是本發明實施例中對HTTP請求進行虛擬URL重定向的方式包 括但不僅限於URL變量方式和虛擬路徑方式。
本發明實施例通過以上方案，將HTTP攻擊防;卿裝置應用到具體的環境中， 形成一個防禦系統，通過將來自客戶端的HTTP請求重定向到一個虛擬URL, 通過虛擬URL攜帶的信息可以識別重定向之後的HTTP請求，並判斷出具有合 法數據包的重定向響應後的HTTP請求，能有效糹氐雄卩各種HTTP flood攻擊(如 GET flood, CC攻擊等)；誤判率低，能有效識別SNAT之後的攻擊；不需要防 護裝置存儲大量IP位址名單，減少防護裝置的內存消耗。
本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程， 是可以通過電腦程式來指令相關的硬體來完成，所述的程序可存儲於一計算 機可讀取存儲介質中，該程序在執行時，可包括如上述各方法的實施例的流程。 其中，所述的存儲介質可為磁碟、光碟、只讀存儲記憶體(Read-OnlyMemory, ROM)或隨機存儲記憶體(RandomAccess Memory, RAM)等。
以上所述僅為本發明的幾個實施例，本領域的技術人員依據申請文件公開 的可以對本發明進行各種改動或變型而不脫離本發明的精神和範圍。
權利要求
1、一種超文本傳輸協議攻擊防禦方法，其特徵在於，包括響應客戶端發送給伺服器的超文本傳輸協議HTTP請求，向所述客戶端發送重定向命令，斷開為所述HTTP請求建立的網絡連接，所述重定向命令用於將所述HTTP請求重定向到一個虛擬地址，所述虛擬地址能夠到達伺服器；接收客戶端新的HTTP請求，根據所述虛擬地址判斷所述新的HTTP請求是否是重定向後的HTTP請求，若所述新的HTTP請求是所述重定向後的HTTP請求，在所述新的HTTP請求中判斷出具有合法數據包的HTTP請求；將所述具有合法數據包的HTTP請求中的虛擬地址修改為原來的地址，並發送給所述伺服器。
2、 如權利要求1所述的超文本傳輸協議攻擊防禦方法，其特徵在於，所 述重定向命令包含預定的延時，所述預定延時用於計算重定向後的HTTP請求 到達時間的理論值。
3、 如權利要求2所述的超文本傳輸協議攻擊防禦方法，其特徵在於，所 述通過虛擬地址，判斷所述新的HTTP請求是否為重定向後的HTTP請求包括， 通過檢查構成所述虛擬地址的虛擬路徑或地址變量，是否存在和是否正確來判 斷所述新的HTTP請求是否為重定向後的HTTP請求，若所述虛擬路徑或者地址 變量存在並且正確，所述新的HTTP請求是重定向後的HTTP請求，若所述虛擬 路徑或者地址變量不存在或者不正確，所述新的HTTP請求不是重定向後的 HTTP請求。
4、 如權利要求3所述的超文本傳輸協議攻擊防禦方法，其特徵在於，所 述若所述新的HTTP請求是所述重定向後的HTTP請求，在所述新的HTTP請求 中判斷出具有合法數據包的HTTP請求，包括若所述新的HTTP請求的到達時間的理論值相比所述系統時間的差值在預 定的偏差內，則所述新的HTTP請求具有合法數據包，若所述新的HTTP請求的 到達時間的理論值相比所述系統時間的差值不在預定的偏差內，則所述新的 HTTP請求具有攻擊性的數據包，斷開為所述新的HTTP請求而建立的網絡連接。
5、 如權利要求3所述的超文本傳輸協議攻擊防禦方法，其特徵在於，若所述新的HTTP不是重定向後的HTTP請求，重新將所述新的HTTP請求重定向 到一個虛擬地址，斷開為所述新的HTTP請求建立的網絡連接，所述虛擬地址 能夠到達伺服器。
6、 如權利要求1所述的超文本傳輸協議攻擊防禦方法，其特徵在於，所 述將所述具有合法數據包的HTTP請求中的虛擬地址修改為原來的地址還包 括，將修改後的HTTP請求相差於所述重定向到所述虛擬地址的HTTP請求的長 度在規定位置用空格填充。
7、 如權利要求1所述的超文本傳輸協議攻擊防禦方法，其特徵在於，所 述建立網絡連接包括監聽傳輸控制協議TCP請求數據包；對所述監聽到的TCP請求數據包進行檢測，檢測得到合法的TCP請求，根 據合法的TCP請求建立TCP連接。
8、 一種超文本傳輸協議攻擊防禦裝置，其特徵在於，還包括 釋放單元，用於向伺服器發送連接復位請求，斷開網絡連接； 接收單元，用於接收來自客戶端的發送給伺服器的HTTP請求； 重定向單元，用於響應所述客戶端的HTTP請求，向所述客戶端發送重定向命令，並通過所述釋放單元斷開為所述HTTP請求建立的網絡連接，所述重 定向命令用於將所述HTTP請求重定向到一個虛擬地址，所述虛擬地址能夠到 達伺服器；判斷單元，用於對所述接收單元接收的新的HTTP請求進行判斷，判斷出 是重定向後的HTTP請求的新的HTTP請求，並對所述是重定向後的HTTP請求 的新的HTTP請求進行合法數據包的判斷，得到具有合法數據包的HTTP請求；還原單元，用於將所述判斷單元判斷出的，具有合法數據包的HTTP請求 中的虛擬地址修改為原來的地址，並發送給所述伺服器。
9、 如權利要求8所述的超文本傳輸協議攻擊防禦裝置，其特徵在於，還 包括監聽單元，用於監聽網絡連接請求數據包；檢測單元，用於對所述監聽單元監聽到的網絡連接請求數據包進行檢測， 通過合法的網絡連接請求，建立網絡連接。
10、 如權利要求8所述的超文本傳輸協議攻擊防禦裝置，其特徵在於，所 述判斷單元包括第一判斷子單元，用於檢查構成所述虛擬地址的虛擬路徑或者地址變量， 判斷所述新的HTTP請求是否為重定向後的HTTP請求，若所述虛擬路徑或者地 址變量存在並且正確，所述新的HTTP請求為重定向後的HTTP請求，若所述虛 擬路徑或者地址變量不存在或者不正確，所述新的HTTP請求不是重定向後的 HTTP請求，所述第一判斷子單元請求所述重定向單元對不是重定向後的HTTP 請求的新的HTTP請求進行重定向，並通過所述釋放單元斷開為所述新的HTTP請求建立的網絡連接；第二判斷子單元，用於對所述第一判斷子單元判斷出的是重定向後的 HTTP請求的新的HTTP請求，進行攻擊性判斷，若所述是重定向後的HTTP請 求的新的HTTP請求的到達時間的理論值，相比所述預定時間在預定的偏差內， 則所述新的HTTP請求具有合法數據包，若所述是重定向後的HTTP請求的新的 HTTP請求的到達時間的理論值，相比所述預定時間不在預定的偏差內，則所 述新的HTTP請求具有攻擊性的數據包，並通過所述釋放單元斷開為所述新的 HTTP請求建立的網絡連接。
11、 一種超文本傳輸協議攻擊防禦系統，包括用於響應客戶端HTTP請求 的伺服器，其特徵在於，還包括HTTP攻擊防禦裝置，所述HTTP攻擊防禦裝置 包括釋放單元，用於向伺服器發送連接復位請求，斷開網絡連接； 接收單元，用於接收來自客戶端的發送給所述伺服器的HTTP請求； 重定向單元，用於響應所述接收單元接受到的客戶端的HTTP請求，向所 述客戶端發送重定向命令，並通過所述釋放單元斷開為所述HTTP請求建立的 網絡連接，所述重定向命令用於將所述HTTP請求重定向到一個虛擬地址，所 述虛擬地址能夠到達伺服器；判斷單元，用於對所述接收單元接收的新的HTTP請求進行判斷，判斷出 是重定向後的HTTP請求的新的HTTP請求，並對所述是重定向後的HTTP請求 的新的HTTP請求進行合法數據包的判斷，得到具有合法數據包的HTTP請求； 還原單元，用於將所述判斷單元判斷出的，具有合法數據包的HTTP請求中的虛擬地址修改為原來的地址，並發送給所述伺服器。
12、 如權利要求11所述的超文本傳輸協議攻擊防禦系統，其特徵在於， 還包括監聽單元，用於監聽網絡連接請求數據包；檢測單元，用於對所述監聽單元監聽到的網絡連接請求數據包進行檢測， 通過合法的網絡連接請求，建立網絡連接。
13、 如權利要求11所述的超文本傳輸協議攻擊防禦系統，其特徵在於， 所述判斷單元包括第一判斷子單元，用於4企查構成所述虛擬地址的虛擬路徑或者地址變量， 判斷所述新的HTTP請求是否為重定向後的HTTP請求，若所述虛擬路徑或者地 址變量存在並且正確，所述新的HTTP請求為重定向後的HTTP請求，若所述虛 擬路徑或者地址變量不存在或者不正確，所述新的HTTP請求不是重定向後的 HTTP請求，所述第一判斷子單元請求所述重定向單元對不是重定向後的HTTP 請求的新的HTTP請求進行重定向，並通過所述釋放單元斷開為所述新的HTTP請求建立的網絡連接；第二判斷子單元，用於對所述第一判斷子單元判斷出的是重定向後的 HTTP請求的新的HTTP請求，進行攻擊性判斷，若所述是重定向後的HTTP請 求的新的HTTP請求的到達時間的理論值，相比所述預定時間在預定的偏差內， 則所述新的HTTP請求具有合法數據包，若所述是重定向後的HTTP請求的新的 HTTP請求的到達時間的理論值，相比所述預定時間不在預定的偏差內，則所 述新的HTTP請求具有攻擊性的數據包，並通過所述釋放單元斷開為所述新的 HTTP請求建立的網絡連4妄。
全文摘要
本發明實施例公開了一種基於重定向的超文本傳輸協議攻擊防禦方法，包括響應客戶端的HTTP請求，發送重定向命令，將HTTP請求重定向到一個虛擬的地址，斷開為HTTP請求建立的網絡連接，所述虛擬地址能夠到達伺服器；接收客戶端新的HTTP請求，根據虛擬地址信息判斷出重定向後的HTTP請求，並判斷出具有合法數據包的HTTP請求；將具有合法數據包的HTTP請求中的虛擬地址修改為原來地址，並發送給伺服器。相應的本發明實施例還公開了一種基於重定向的超文本傳輸協議攻擊防禦裝置和系統，本發明實施例通過以上方案，能有效識別SNAT之後的攻擊，誤判率低；不需要記錄大量的IP位址信息，減少了系統內存的消耗。
文檔編號H04L9/00GK101478387SQ200810242179
公開日2009年7月8日 申請日期2008年12月31日 優先權日2008年12月31日
發明者馬勺布 申請人:成都市華為賽門鐵克科技有限公司