本发明专利技术公开了一种大规模云环境中分布式部署的HTTP协议POST拦截方法,通过端口镜像技术,对机房入口交换机的所有流量进行抓包、TCP/IP数据重组、HTTP解析等方式,获取每个HTTP请求POST方法的数据部分,对数据部分采用规则匹配等方式,根据匹配结果判断是否为恶意访问,并采取基于旁路的TCP连接重置技术,配合在云主机的宿主服务器上运行的POST数据包延时辅助程序,完成对HTTP协议POST数据包的分析与拦截;本文介绍的技术方案,在对现有网络环境影响较小、风险较低和方便管理的情况下,对通过HTTP协议POST方法上传的木马、病毒、违法信息和SQL注入攻击等有害信息进行拦截。
A post interception method of HTTP protocol for distributed deployment in large-scale cloud environment
【技术实现步骤摘要】
一种大规模云环境中分布式部署的HTTP协议POST拦截方法
本专利技术涉及互联网信息安全
,特别是涉及一种大规模云环境中分布式部署的HTTP协议POST拦截方法。
技术介绍
面对互联网飞速发展,各类网站也越来越多,人们的生活已经和网站密不可分。面对黑客无时无刻的web攻击,网络安全已经越来越受到人们的重视,而一般情况下黑客对网站进行攻击或篡改均需通过POST方法进行恶意代码上传,对于黑客利用HTTP协议POST方法进行上传的数据中包含木马、篡改文件等攻击的拦截手段,基于旁路的拦截方法是通过构造带RST标记的TCP包中止黑客与服务器的TCP连接,但攻击数据包往往非常小,因镜像服务器收到攻击数据包并做出判断滞后于服务器的TCP包处理,所以带RST标记的TCP包只能中断客户端的TCP连接,但却因为时延的关系,无法中断服务器端的TCP连接,WEB服务器依然可以收到完整的POST数据包,造成攻击数据成功被服务器接收并处理,而无法避免黑客攻击。如果在用户web服务器内部安装软件,虽然可以拦截请求,但是由于用户生产环境的复杂多变和用户可能会关闭软件等因素,所以代价高昂且效果不佳。如果在机房网络总入口处串接安全检测设备,将正常的网络数据包经分析后再转发到后面web服务器,这样可能造成数据延迟增大影响体验,而更大的问题是如果系统崩溃,则将造成大面积网络瘫痪。所以在对现有网络环境影响较小、风险较低和方便管理的情况下,提供一种在大规模云环境中分布式部署的HTTP协议POST拦截方法显得尤为重要。
技术实现思路
<br>本专利技术的目的在于克服现有技术的不足,提供一种大规模云环境中分布式部署的HTTP协议POST拦截方法,能够在对网络环境影响较小且方便管理的情况下,对通过HTTP协议POST方法上传的木马、病毒、违法信息和SQL注入攻击等有害信息进行拦截。本专利技术的目的是通过以下技术方案来实现的:一种大规模云环境中分布式部署的HTTP协议POST拦截方法,包括以下步骤:S1.配置若干个虚拟机宿主服务器,所述虚拟机宿主服务器包含外网网卡eth0、辅助程序模块、异常检测程序模块、VETH虚拟网卡veth0~veth1、网桥br0以及通过虚拟网卡与网桥br0连接的多个虚拟机,其中veth1作为虚拟端口接入网桥br0;将每个虚拟机宿主服务器的外网网卡eth0与机房入口交换机连接;S2.辅助程序模块通过抓包技术,捕获网卡eth0读队列上的网络数据包,对于HTTP协议POST方法的最后一个数据包,延时15毫秒后转发到网卡veth0;带RST标志的数据包以及其它数据包不会被延时,且立即转发到网卡veth0;同时,辅助程序模块捕获网卡veth0读队列的网络数据包,并将这些数据包转发到网卡eth0,完成网桥br0与互联网的互通;S3.当辅助程序模块从网卡eth0上捕获到ICMP应答包,且ICMP应答包的序列号和标识都是0xFFFF时,解析ICMP数据部分,获取TCP连接源IP地址、目的IP地址、源端口和目的端口,通过这四元素查询延时队列中的HTTP协议POST方法的延时数据包,并将数据包立即转发到网卡veth0;S4.通过端口镜像技术,将机房入口交换机所有流量导入镜像服务器,并通过抓包技术,捕获所有数据包;获取每个HTTP协议POST方法的数据部分,检测数据部分是否包含有害信息,从而判断HTTP协议POST方法是否合法;所述的有害信息包括但不限于木马、病毒、违法信息和SQL注入攻击;S5.对于不合法的HTTP协议POST方法,对HTTP协议POST方法进行拦截,阻止POST数据的成功上传;同时,对于正常的HTTP协议POST方法,构造目的IP地址为HTTP协议POST方法的目的IP地址的特殊ICMP应答数据包,通知虚拟机宿主取消当前HTTP协议POST方法最后一个数据包的延时;S6.在虚拟机宿主服务器中,通过异常检测程序模块定时扫描网卡eth0和网卡veth0流量情况,如果两张网卡流量数据包相差过大,则辅助程序模块停止工作,并将网卡eth0直接加入网桥br0中,并清除虚拟机宿主服务器ARP缓存。本专利技术的有益效果是:本专利技术能够成功拦截HTTP协议POST方法的请求,阻止通过HTTP协议POST方法上传的木马、病毒、违法信息和SQL注入攻击等有害信息进行拦截。附图说明图1为本专利技术的方法流程图;图2为本专利技术方法中所采用的部署架构示意图。具体实施方式下面结合附图进一步详细描述本专利技术的技术方案,但本专利技术的保护范围不局限于以下所述。如图1~2所示,一种大规模云环境中分布式部署的HTTP协议POST拦截方法,其特征在于:包括以下步骤:S1.配置若干个虚拟机宿主服务器,所述虚拟机宿主服务器包含外网网卡eth0、辅助程序模块、异常检测程序模块、VETH虚拟网卡veth0~veth1、网桥br0以及通过虚拟网卡与网桥br0连接的多个虚拟机,其中veth1作为虚拟端口接入网桥br0;将每个虚拟机宿主服务器的外网网卡eth0与机房入口交换机连接;S2.辅助程序模块通过抓包技术,捕获网卡eth0读队列上的网络数据包,对于HTTP协议POST方法的最后一个数据包,延时15毫秒后转发到网卡veth0;带RST标志的数据包以及其它数据包不会被延时,且立即转发到网卡veth0;同时,辅助程序模块捕获网卡veth0读队列的网络数据包,并将这些数据包转发到网卡eth0,完成网桥br0与互联网的互通;其中,通过TCP/IP协议对TCP数据进行重组,根据HTTP请求头中Content-Length字段,并记录已经获取到的HTTP协议POST方法的数据部分大小,据此确定HTTP协议POST方法的最后一个数据包。其中将HTTP协议POST方法的最后一个数据包加入延时队列,独立线程处理延时队列数据,将所有延时后的数据包转发到网卡veth0。S3.当辅助程序模块从网卡eth0上捕获到ICMP应答包,且ICMP应答包的序列号和标识都是0xFFFF时,解析ICMP数据部分,获取TCP连接源IP地址、目的IP地址、源端口和目的端口,通过这四元素查询延时队列中的HTTP协议POST方法的延时数据包,并将数据包立即转发到网卡veth0;S4.通过端口镜像技术,将机房入口交换机所有流量导入镜像服务器,并通过抓包技术,捕获所有数据包;获取每个HTTP协议POST方法的数据部分,检测数据部分是否包含有害信息,从而判断HTTP协议POST方法是否合法;所述的有害信息包括但不限于木马、病毒、违法信息和SQL注入攻击;其中,通过TCP/IP协议对TCP数据进行重组,并根据HTTP协议获取POST请求的数据部分;采用规则匹配的方式,对数据部分进行匹配;当匹配结果分值大于系统设定阈值时,则判定此次HTTP协议POST方法不合法,需要进行拦截。在本申请的实施例中,其中规则匹配可以采用Aho-Corasick多模式匹配算法,和一个关键词库,对数据部分进行多关键词匹配,并对本文档来自技高网...
【技术保护点】
1.一种大规模云环境中分布式部署的HTTP协议POST拦截方法,其特征在于:包括以下步骤:/nS1.配置若干个虚拟机宿主服务器,所述虚拟机宿主服务器包含外网网卡eth0、辅助程序模块、异常检测程序模块、VETH虚拟网卡veth0~veth1、网桥br0以及通过虚拟网卡与网桥br0连接的多个虚拟机,其中veth1作为虚拟端口接入网桥br0;将每个虚拟机宿主服务器的外网网卡eth0与机房入口交换机连接;/nS2.辅助程序模块通过抓包技术,捕获网卡eth0读队列上的网络数据包,对于HTTP协议POST方法的最后一个数据包,延时15毫秒后转发到网卡veth0;带RST标志的数据包以及其它数据包不会被延时,且立即转发到网卡veth0;同时,辅助程序模块捕获网卡veth0读队列的网络数据包,并将这些数据包转发到网卡eth0,完成网桥br0与互联网的互通;/nS3.当辅助程序模块从网卡eth0上捕获到ICMP应答包,且ICMP应答包的序列号和标识都是0xFFFF时,解析ICMP数据部分,获取TCP连接源IP地址、目的IP地址、源端口和目的端口,通过这四元素查询延时队列中的HTTP协议POST方法的延时数据包,并将数据包立即转发到网卡veth0;/nS4.通过端口镜像技术,将机房入口交换机所有流量导入镜像服务器,并通过抓包技术,捕获所有数据包;获取每个HTTP协议POST方法的数据部分,检测数据部分是否包含有害信息,从而判断HTTP协议POST方法是否合法;/nS5.对于不合法的HTTP协议POST方法,对HTTP协议POST方法进行拦截,阻止POST数据的成功上传;同时,对于正常的HTTP协议POST方法,构造目的IP地址为HTTP协议POST方法的目的IP地址的特殊ICMP应答数据包,通知虚拟机宿主取消当前HTTP协议POST方法最后一个数据包的延时;/nS6.在虚拟机宿主服务器中,通过异常检测程序模块定时扫描网卡eth0和网卡veth0流量情况,如果两张网卡流量数据包相差过大,则辅助程序模块停止工作,并将网卡eth0直接加入网桥br0中,并清除虚拟机宿主服务器ARP缓存。/n...
【技术特征摘要】
1.一种大规模云环境中分布式部署的HTTP协议POST拦截方法,其特征在于:包括以下步骤:
S1.配置若干个虚拟机宿主服务器,所述虚拟机宿主服务器包含外网网卡eth0、辅助程序模块、异常检测程序模块、VETH虚拟网卡veth0~veth1、网桥br0以及通过虚拟网卡与网桥br0连接的多个虚拟机,其中veth1作为虚拟端口接入网桥br0;将每个虚拟机宿主服务器的外网网卡eth0与机房入口交换机连接;
S2.辅助程序模块通过抓包技术,捕获网卡eth0读队列上的网络数据包,对于HTTP协议POST方法的最后一个数据包,延时15毫秒后转发到网卡veth0;带RST标志的数据包以及其它数据包不会被延时,且立即转发到网卡veth0;同时,辅助程序模块捕获网卡veth0读队列的网络数据包,并将这些数据包转发到网卡eth0,完成网桥br0与互联网的互通;
S3.当辅助程序模块从网卡eth0上捕获到ICMP应答包,且ICMP应答包的序列号和标识都是0xFFFF时,解析ICMP数据部分,获取TCP连接源IP地址、目的IP地址、源端口和目的端口,通过这四元素查询延时队列中的HTTP协议POST方法的延时数据包,并将数据包立即转发到网卡veth0;
S4.通过端口镜像技术,将机房入口交换机所有流量导入镜像服务器,并通过抓包技术,捕获所有数据包;获取每个HTTP协议POST方法的数据部分,检测数据部分是否包含有害信息,从而判断HTTP协议POST方法是否合法;
S5.对于不合法的HTTP协议POST方法,对HTTP协议POST方法进行拦截,阻止POST数据的成功上传;同时,对于正常的HTTP协议POST方法,构造目的IP地址为HTTP协议POST方法的目的IP地址的特殊ICMP应答数据包,通知虚拟机宿主取消当前HTTP协议POST方法最后一个数据包的延时;
S6...
【专利技术属性】
技术研发人员:王先炼,
申请(专利权)人:成都西维数码科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。