本发明专利技术提供了一种请求走私攻击的检测方法、装置、电子设备及存储介质,所述方法包括:接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令,其中检测指令包括目标站点和检测方式,检测方式为主动检测方式和被动检测方式;响应于检测方式为主动检测方式,生成包含特征值的检测数据包,根据特征值确定目标站点是否存在请求走私攻击的攻击漏洞;响应于检测方式为被动检测方式,定时获取目标站点接收到的请求数据并将请求数据中的头部信息帧解压生成头部信息;通过确定头部信息中是否存在目标字符来确定目标站点是否受到请求走私攻击。通过主动探测可能存在的攻击漏洞和被动监测请求走私攻击降低站点被攻击的风险。被动监测请求走私攻击降低站点被攻击的风险。被动监测请求走私攻击降低站点被攻击的风险。
【技术实现步骤摘要】
请求走私攻击的检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全
,特别是涉及一种请求走私攻击的检测方法、装置、电子设备及存储介质。
技术介绍
[0002]HTTP/2是一种网络协议,是HTTP/1.1的升级版本,由IETF在2015年发布。HTTP/2旨在提高Web性能,减少延迟,增加安全性,使Web应用更加快速、高效和可靠。目前多数网站站点采用反向代理技术加快用户访问速度并减轻后端服务器的负载压力。反向代理是指以代理服务器接收客户端流量,然后转发给内部网络上的服务器,获取资源后返回给客户端。为了使代理服务器与后端服务器同步接收数据,需要对客户端传入的数据进行请求结束定位,HTTP/1.1规范提供了两种不同的方法来指定请求的结束位置:Content
‑
Length标头和Transfer
‑
Encoding标头。HTTP/1.1请求走私就是利用了不同服务器解释请求长度之间的差异进行攻击。但在HTTP/2中,这些标头是多余的,HTTP/2消息是以一系列单独的数据帧的形式通过网络发送的,每个消息正文都具有一个内置长度的字段,该字段确切地告诉服务器要读入多少字节,因此请求的长度是数据帧长度的总和。但这并不意味着HTTP/2不会受到请求走私攻击的影响,HTTP/2降级仍然会使网站面临请求走私攻击的风险。
[0003]HTTP/2降级是使用HTTP/2语法重写HTTP/1.1请求以生成等效HTTP/1.1请求的过程。Web服务器和反向代理使用HTTP/2降级是为了向客户端提供HTTP/2支持,同时与仅使用HTTP/1.1的后端服务器进行通信。黑客通过HTTP/2降级这一手段实现HTTP/2请求走私攻击比如后端服务器中的网络站点,而HTTP/2请求走私攻击主要分为以下两种类型:(1)H2
‑
CL,反向代理服务器使用HTTP/2协议的内置请求长度,后端HTTP/1.1服务器使用Content
‑
Length标头;(2)H2
‑
TE,反向代理服务器使用HTTP/2协议的内置请求长度,后端HTTP/1.1服务器使用Transfer
‑
Encoding标头。目前已有的HTTP走私攻击检测均针对HTTP/1.1协议,通过构造或生成请求数据包并根据响应判断是否存在HTTP走私攻击或通过响应时间判断是否存在走私攻击漏洞,由于HTTP协议的差异,已有的检测方式无法针对HTTP/2请求走私攻击进行有效、快速、准确的检测。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种能够自动检测目标站点是否存在HTTP/2请求走私攻击的攻击漏洞以及是否受到HTTP/2请求走私攻击的请求走私攻击的检测方法、装置、电子设备及存储介质。
[0005]第一方面,提供一种请求走私攻击的检测方法,所述方法包括:
[0006]接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令,其中所述检测指令包括目标站点和检测方式,所述检测方式为主动检测方式和被动检测方式;
[0007]响应于所述检测方式为所述主动检测方式,生成包含特征值的检测数据包,
[0008]根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞;
[0009]响应于所述检测方式为所述被动检测方式,根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据;
[0010]根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息;
[0011]确定所述头部信息中是否存在目标字符;
[0012]若是,则根据所述目标字符确定目标攻击类型;
[0013]若否,则确定所述目标站点未受到所述请求走私攻击。
[0014]在其中一个实施例中,所述根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞包括:
[0015]其中所述特征值包括第一特征值和第二特征值;
[0016]根据所述第一特征值生成第一检测数据包并向所述目标站点发送所述第一检测数据包;
[0017]响应于接收到所述目标站点返回的第一检测响应数据,确定所述第一检测响应数据中是否存在所述第一特征值;
[0018]若是,则确定所述目标站点存在所述攻击漏洞并向所述用户告警;
[0019]若否,则根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞。
[0020]在其中一个实施例中,所述根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞包括:
[0021]根据所述第二特征值生成第二检测数据包并向所述目标站点发送所述第二检测数据包;
[0022]响应于接收到所述目标站点返回的第二检测响应数据,确定所述第二检测响应数据中是否存在所述第二特征值;
[0023]若是,则确定所述目标站点存在所述攻击漏洞并向所述用户告警;
[0024]若否,则确定所述目标站点不存在所述攻击漏洞。
[0025]在其中一个实施例中,所述根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息,包括:
[0026]根据所述头部信息帧对应的头部索引和所述头部压缩算法对应的映射字典生成所述头部信息,
[0027]其中所述映射字典包含头部信息和索引之间的映射关系表。
[0028]在其中一个实施例中,所述方法还包括:
[0029]响应于所述头部信息中存在目标字符,根据所述请求数据中的正文信息帧和所述头部压缩算法解压生成正文信息;
[0030]确定正文信息中是否存在所述请求行数据;
[0031]若是,则确定所述目标站点受到所述目标攻击类型的请求走私攻击;
[0032]其中所述目标字符包括第一目标字符和第二目标字符,所述目标攻击类型包括第一目标攻击类型和第二目标攻击类型。
[0033]在其中一个实施例中,所述方法还包括获取所述目标站点发送的响应数据,所述确定所述目标站点受到所述目标攻击类型的请求走私攻击之后还包括:
[0034]确定所述目标站点是否报错;
[0035]若是,则确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致;
[0036]若否,则确定所述目标站点不存在所述目标攻击类型的攻击漏洞。
[0037]在其中一个实施例中,所述确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致包括:
[0038]若是,则确定所述目标站点受到所述目标攻击类型的请求走私攻击;
[0039]若否,则确定所述目标站点还受到其他基于所述第2版超文本传输协议的请求走私攻击。
[0040]另一方面,提供一种请求走私攻击的检测装置,所述装置包括:
[0041]接收模块,用于接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令,其中所述检测指令包括目标站点和检测方式,所述检测方式包括主动检测本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种请求走私攻击的检测方法,所述方法包括:接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令,其中所述检测指令包括目标站点和检测方式,所述检测方式为主动检测方式和被动检测方式;响应于所述检测方式为所述主动检测方式,生成包含特征值的检测数据包,根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞;响应于所述检测方式为所述被动检测方式,根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据;根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息;确定所述头部信息中是否存在目标字符;若是,则根据所述目标字符确定目标攻击类型;若否,则确定所述目标站点未受到所述请求走私攻击。2.根据权利要求1所述的方法,其特征在于,所述根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞包括:其中所述特征值包括第一特征值和第二特征值;根据所述第一特征值生成第一检测数据包并向所述目标站点发送所述第一检测数据包;响应于接收到所述目标站点返回的第一检测响应数据,确定所述第一检测响应数据中是否存在所述第一特征值;若是,则确定所述目标站点存在所述攻击漏洞并向所述用户告警;若否,则根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞。3.根据权利要求2所述的方法,其特征在于,所述根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞包括:根据所述第二特征值生成第二检测数据包并向所述目标站点发送所述第二检测数据包;响应于接收到所述目标站点返回的第二检测响应数据,确定所述第二检测响应数据中是否存在所述第二特征值;若是,则确定所述目标站点存在所述攻击漏洞并向所述用户告警;若否,则确定所述目标站点不存在所述攻击漏洞。4.根据权利要求1所述的方法,其特征在于,所述根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息,包括:根据所述头部信息帧对应的头部索引和所述头部压缩算法对应的映射字典生成所述头部信息,其中所述映射字典包含头部信息和索引之间的映射关系表。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:响应于所述头部信息中存在目标字符,根据所述请求数据中的正文信息帧和所述头部压缩...
【专利技术属性】
技术研发人员:石培硕,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。