L003001019-HTTP攻击与防护-HTTP拆分响应攻击合编.docx

课程编写类别内容实验课题名称HTTP攻击与防护-HTTP拆分响应攻击实验目的与要求1了解HTTP的概念 2了解HTTP响应拆分攻击的方式 3掌握防范攻击的方法实验环境VPC1(虚拟PC）Windows server 2003VPC1 连接要求PC 网络接口，本地连接与实验网络直连软件描述1、学生机要求安装java环境2、vpc安装windwos 系统实验环境描述学生机与实验室网络直连; VPC1与实验室网络直连; 学生机与VPC1物理链路连通；预备知识HTTP是HyperText Transfer Protocol的简写，用来定义因特网上的数据传输协议，最初的用途是要接收与解释HTML网页。HTTP是由World Wide WebConsortium与the Intemet Engineering Task Force所制定，现今使用的版本是HTTP/1.1，规范是RFC2616。 HTTP是客户端与服务器之间的请求/响应的协议。HTTP的客户端经由特定的Port???预设是Port 80）来建立TCP的连接，HTTP服务器则是监听这个Port来等待客户端发送请求的信息。 HTTP请求的方法 HTTP定义了8种方法来发送请求。 (1) GET:请求响应，这是最常使用的方法。 (2) HEAD:与GET相同的响应，是只要求响应的表头信息。 (3) POST:发送数据给服务器处理，数据包含在HTTP信息正文q (4) PUT:上传文件。 (5) DELETE:删除文件。 (6) TRACE:追踪所收到的请求。 (7) OPTIONS:返回服务器所支持的HTTP请求的方法。 (8) CONNECT:将HTTP请求的连接转换成透明的TCP/IP通道。 HTTP响应的格式 服务器在处理完客户端所提出的HTTP请求后，会发送下列响应。 (1)第一行是状态码。 (2)第二行开始是其他信息。 HTTP响应的第一行是状态码，包含一个标识状态的数字和一个描述状态的单词。例如： HTTP/1.1 200 0K 200是标识状态的数字，OK则是描述状态的单词，这个状态码表示请求成功。 所有 HTTP 状态代码及其定义如下。 代码 指示 2xx 成功 200 正常；请求已完成。 201 正常；紧接 POST 命令。 202 正常；已接受用于处理，但处理尚未完成。 203 正常；部分信息 — 返回的信息只是一部分。 204 正常；无响应 — 已接收请求，但不存在要回送的信息。 3xx 重定向 301 已移动 — 请求的数据具有新的位置且更改是永久的。 302 已找到 — 请求的数据临时具有不同 URI。 303 请参阅其它 — 可在另一 URI 下找到对请求的响应，且应使用 GET 方法检索此响应。 304 未修改 — 未按预期修改文档。 305 使用代理 — 必须通过位置字段中提供的代理来访问请求的资源。 306 未使用 — 不再使用；保留此代码以便将来使用。 4xx 客户机中出现的错误 400 错误请求 — 请求中有语法问题，或不能满足请求。 401 未授权 — 未授权客户机访问数据。 402 需要付款 — 表示计费系统已有效。 403 禁止 — 即使有授权也不需要访问。 404 找不到 — 服务器找不到给定的资源；文档不存在。 407 代理认证请求 — 客户机首先必须使用代理认证自身。 415 介质类型不受支持 — 服务器拒绝服务请求，因为不支持请求实体的格式。 5xx 服务器中出现的错误 500 内部错误 — 因为意外情况，服务器不能完成请求。 501 未执行 — 服务器不支持请求的工具。 502 错误网关 — 服务器接收到来自上游服务器的无效响应。 503 无法获得服务 — 由于临时过载或维护，服务器无法处理请求。 ----------------------------------------------------------------------------------------------------------------------- HTTP 400 - 请求无效 HTTP 401.1 - 未授权：登录失败 HTTP 401.2 - 未授权：服务器配置问题导致登录失败 HTTP 401.3 - ACL 禁止访问资源 HTTP 401.4 - 未授权：授权被筛选器拒绝 HTTP 401.5 - 未授权：ISAPI 或 CGI 授权失败 HTTP