HTTP头部分析.docxVIP

目的在分析网站CC攻击时，最需要掌握的是HTTP协议的分析，本文详细介绍了HTTP的请求包文格式并举例说明不正常的HTTP请求。HTTP协议介绍版本：RFC 1945定义了HTTP/1.0版本RFC 2616定义了今天普遍使用的一个版本——HTTP 1.1特点HTTP协议的主要特点可概括如下：1、支持客户/服务器模式。支持基本认证和安全认证。2、简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。3、灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。4、无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。5、无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。Http请求头部Accept：客户机通过这个头告诉服务器它支持哪些数据类型Accep-Charset：客户机通过这个头告诉服务器支持的编码Accep-Encoding：客户机通过这个头告诉服务器支持哪种压缩格式Accep-Language：客户机采用哪种语言Host：告诉服务器想要访问哪个站点Referer：告诉服务器客户机是从哪个页面来的User-Agent：说明客户机操作系统信息和浏览器信息Connection：表示是否需要持久连接正常的HTTP头部GET / HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:) GeckoFirefox/3.5.7Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-us,en;q=0.5Accept-Encoding: gzip,deflateAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7Keep-Alive: 300Connection: keep-aliveCookie: PREF=ID=257913a938e6c248:U=267c896b5f39fb0b:FF=4:LD=en:NR=10:TM=1260730654:LM=1265479336:GM=1:S=h1UBGonTuWU3D23L; NID=31=Z-nhwMjUP63e0tYMTp-3T1igMSPnNS1eM1kN1_DUrnO2zW1cPM4JE3AJec9b_vG-YFibFXszOApfbhBA1BOX4dKx4L8ZDdeiKwqekgP5_kzELtC2mUHx7RHx3PIttcuZHTTP/1.1 200 OKDate: Tue, 09 Feb 2010 01:18:37 GMTExpires: -1Cache-Control: private, max-age=0Content-Type: text/html; charset=UTF-8Content-Encoding: gzipServer: gwsContent-Length: 4633X-XSS-Protection: 0网站CC攻击的分类攻击器攻击利用攻击器发起的CC攻击通常会携带报文特征，我们可以通过分析HTTP头部找到报文特征并做规则。肉鸡攻击肉鸡攻击完全是由正常的客户端发起的HTTP请求，所以在HTTP头部并没有明显的特征，但请求量大，请求页面固定的特点可以帮助我们快速定位攻击类型。举例不正常的HTTP头部一GET / HTTP/1.1Host: User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/40)Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: ko-kr,ko;q=0.8,en-us;q=0.5,en;q=0.3Accept-Encoding: gzip,deflateAccept-Charset: EUC-KR,utf-8;q=0.7,*;q=0.7Cache-Control: no-cacheConnection: