HTTP简介概念.ppt

* (1)基于访问Session数变化的检测方法 由于一个网站在正常情况下(没有受到CC攻击时)通常都有一个比较固定的访问流量．这个访问流量对应到网络层面的参数就是TCP协议的访问连接Session数。正常情况下这个Session数是一个根据时间变化的周期性曲线．在发生CC攻击时即使访问网站的数据流量变化不大，访问的Session总数将会大量增加．利用这个可以检测CC攻击行为。这种检测方法在实际应用中需要预先对网站的访问Session数进行统计学习，生成Session数与时间的关系曲线，这一过程通常是将访问网站的数据引流到网络分析设备，利用网络分析设备对数据流进行逐包分析，统计出每一时间段访问网站的Session总数来完成的。当建立这一曲线后，可以根据曲线的基本形状确定几个时间段，在这些时问段内可以设定一个Session数的阀值(这个阀值可以设为这段 时间内正常情况Session数最大值的1．5倍)，当网络分析设备实际测得的Session数大于这个值时，就可以认为发生了CC攻击。为了提高这一方法的准确性，还可以将Session参数与 网站内具体的页面对应起来，得出某个页面的访问Session数与时间的关系曲线，这样得出的模型就可以用来精确地判定网站内的哪个页面受到攻击。同时，由于与模型相关的页面对象只有一个，因此可以排除其他页面被访问次数的波动带来的影响，提高判断的准确率。这个检测方法适合应用比较固定的网站，比如网上银行、普通购物网站等，这些网站经过一个时期的运作一般访问流量比较同定或增长缓慢，很少有突发的大流量访问使Session数大幅增加．采用此方法可以对CC攻击进行有效的检测。但此检测方法对于新闻、门户等可能存在 热点访问的网站存在误判的可能性．例如某些热点页面发生访问流量突增、Session连接大量增加时会有误判的情况。 (2)基于访问网站内不同uRL的访问量分布模型的检测方法 基于网站中的各个页面具有链接关系这样一个事实．即一般用户在访问网站内容时总是从一个页面链接切换到另一个页面，这样就存在一个网站内各个不同页面被用户访问的频度关系。比如，一般用户总是先访问一个网站的首页，再通过首页链接访问另一个感兴趣的页面，因此网站首页的访问量通常会高于其他页面的访问量，但由于用户一般不会只访问网站的首页．因此首页的访问量又与其他页面的访问量有一定的比例关系。根据这一原理可以建立一个网站各URL页面之问被用户访问次数的关系模型．当用户访问分布情况发生较大变化时，可以判断为发生CC攻击在实际应用中．可以利用网络分析设备对进入网站的数据包进行统计，并将网站的首页访问量作为一个基准，其他页面的访问量与其进行比较生成相应的比例值，这样就可以得出一个网站的用户访问量分布模型。如果网站的首页受到CC攻击．则其他所有页面与首页访问量的比例值将会减小。同样，如果某一个页面受到攻击，则其与首页访问量的比例值将会增大。在此基础上可以设定比例值变化幅度的上限阀值和下限阀值，如果比例值变化幅度在连续几个统计周期内都超过阀值的话，可以判定发生了CC攻击。这个检测方法适合各种不同的网站。同时，针对网站中某些页面的访问流量与时间关系密切的实际情况．为了提高这一方法的准确性．还可以为网站按时段建立不同的访问流量模型，并设立不同的阀值进行检测。 * * * * * * * 07/16/96 * ## Session机制 session机制采用的是在服务器端保持 HTTP 状态信息的方案 。 服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。 当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否包含了一个session标识(即sessionId),如果已经包含一个sessionId则说明以前已经为此客户创建过session，服务器就按照session id把这个session检索出来使用(如果检索不到，可能会新建一个，这种情况可能出现在服务端已经删除了该用户对应的session对象，但用户人为地在请求的URL后面附加上一个JSESSION的参数)。如果客户请求不包含sessionId，则为此客户创建一个session并且生成一个与此session相关联的sessionId，这个session id将在本次响应中返回给客户端保存。 保存session id的几种方式 保存session id的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。 由于cookie可以被人为的禁用，必须有其它的机制以便在cookie被禁用时仍然能够把session id传递回服务器，经常采用的一种技术叫做URL重写，就是把session id附加在URL路径的后面，附加的方式也有两种，