一种基于Web服务器的带宽放大攻击漏洞检测方法
【技术领域】
[0001]本发明涉及信息安全中的漏洞检测技术,尤其涉及一种基于Web服务器的带宽放大攻击漏洞检测方法。
【背景技术】
[0002]随着互联网时代的来临,世界全面信息化时代也随之到来。借助以计算机、互联网等先进技术,人们越来越习惯于在各种各样的网站上获得信息和接受服务,Web系统由于其高兼容性和用户友好性,已成为当下互联网信息系统中最主流的系统类型。于此同时,Web系统的安全性也正面临严峻的挑战。
[0003]Web系统通常由Web浏览器和Web服务器两部分组成,浏览器和服务器之间使用超文本传输协议(Hyper Text Transfer Protocol, HTTP)进行信息交互。由于HTTP协议的开放性,攻击者可以模拟Web浏览器请求消耗Web服务器带宽和资源,使得Web服务器不能正常响应所传入的请求,以至失去响应或宕机,即通常所说的拒绝访问攻击(Denial ofService, DOS)。其中,带宽放大攻击(Bandwidth Amplificat1n Attack)是 DOS 中一种常用的攻击手段。
[0004]带宽放大攻击通过发送特殊构造的HTTP报文请求,使得Web服务器逻辑处理出错,并返回超过正常响应流(Response Stream)长度数倍的畸形响应流,从而消耗Web服务器带宽,以实现DOS的目的。
[0005]目前大多数Web服务器程序,如Apache HTTP Server等,对于带宽放大攻击均增加了相应的过滤模块,以预防可能发生的攻击。但是,在这些过滤模块中仍然存在一定的脆弱性,使得攻击者可绕过过滤模块发动带宽放大攻击。
【发明内容】
[0006]本发明所要解决的技术问题是针对【背景技术】中所涉及的问题,提供一种基于Web服务器的带宽放大攻击漏洞检测方法,用以检测Web服务器是否有潜在的带宽放大攻击漏洞,进而增强Web系统的安全性。
[0007]本发明为解决上述技术问题采用以下技术方案:
一种Web服务器宽带放大攻击漏洞检测方法,包含以下步骤:
步骤1),确定待检测的对象Web服务器及部署在Web服务器上的资源文件,获取该资源文件的统一资源定位符T ;
步骤2),向T发送HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度
N;
步骤3),将N与2作比较,若N小于等于2,终止检测流程,Web服务器不存在带宽放大攻击漏洞;若N大于2,则执行步骤4);
步骤4),构造字符串R,并对字符串R赋予初始值“bytes=” ;
步骤5),对整数O至N中的所有偶数j,依次构造字符串“ j_j,”,并插入字符串R的尾部;
步骤6),对整数I至N中的所有奇数k,依次构造字符串“k-k,”,并插入字符串R的尾部;
步骤7),删除字符串R尾部最后一个字符“,”;
步骤8),将字符串R设为请求标头中的Range值后再次向T发送HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度M ;
步骤9),比较M与N的大小,若M大于N,判断待检测的对象Web服务器存在带宽放大攻击漏洞;若M小于或等于N,判断待检测的对象Web服务器不存在带宽放大攻击漏洞。
[0008]作为本发明一种Web服务器宽带放大攻击漏洞检测方法进一步的优化方案,所述Web服务器采用机架式服务器。
[0009]作为本发明一种Web服务器宽带放大攻击漏洞检测方法进一步的优化方案,所述Web服务器的型号为联想万全R520 G7。
[0010]作为本发明一种Web服务器宽带放大攻击漏洞检测方法进一步的优化方案,所述Web服务器采用塔式服务器。
[0011]作为本发明一种Web服务器宽带放大攻击漏洞检测方法进一步的优化方案,所述Web服务器的型号为联想万全T260 G3。
[0012]本发明采用以上技术方案与现有技术相比,具有以下技术效果:
本发明设计简单,使用方便,通过构造特殊的Byte Range值,可绕过Web服务器程序的Byte Range过滤器(Fi I ter ),具有极高的穿透性,能够发现深度隐藏的带宽放大攻击漏洞。
【附图说明】
[0013]图1是本发明的方法流程图。
【具体实施方式】
[0014]下面结合附图对本发明的技术方案做进一步的详细说明:
如图1所示,本发明中公开了一种基于Web服务器的带宽放大攻击漏洞检测方法,步骤如下:
步骤101:确定检测对象Web服务器及部署在Web服务器上的资源文件所对应的统一资源定位符(Uniform Resource Locator,URL)字符为字符串T。其中,字符串T的值为 “http://127.0.0.1/index, html ”,Web 服务器操作系统为 Microsoft Windows Server2003,Web 服务程序为 Apache HTTP Server 2.4.7。
[0015]步骤102:向T发送HTTP请求,并读取响应流数据。响应流数据如下: <html><body><hl>It works!</hl></body></html>
记录响应流数据长度N,N为46,单位为字节(Bytes)。因为46>2,继续以下步骤。
[0016]步骤103:构造字符串R,R由步骤104到步骤107生成。
[0017]步骤104:字符串R初始值为“bytes=”。
[0018]步骤105:对O至N中的所有偶数j,依次构造字符串“ j_j,”,并插入字符串R尾部。根据步骤 102 可知 N 为 46,因此 R 为“bytes=0-0,2-2,4-4,...46-46,”。
[0019]步骤106:对I至N中的所有奇数k,依次构造字符串“k-k,”,并插入字符串R尾部。根据步骤 102 可知 N 为 46,因此 R 为“bytes=0-0,2-2,4-4,...46-46,1-1,3-3,5-5,...45-45,”。
[0020]步骤107:删除字符串R尾部最后一个字符“,”。
[0021]步骤108:再次向T发送HTTP请求,将字符串R设为该请求标头(header)中的Range值,并读取响应流数据。响应流数据如下:
—91el8d22cccc5ddlContent-type: text/htmlContent-range: bytes 0-0/46<
—91el8d22cccc5ddlContent-type: text/htmlContent-range: bytes 2-2/46t
—91el8d22cccc5ddlContent-type: text/htmlContent-range: bytes 4-4/46I
—91el8d22cccc5ddlContent-type: text/htmlContent-range: bytes 6-6/46
>
—91el8d22cccc5ddlContent-type: text/htmlContent-range: bytes 45-45/46—91el8d22cccc5ddl—
记录响应流数据长度M,M为3730,单位为字节(Bytes)。
[0022]步骤109:比较正整数M与正整数N的大小,其中M为3730,N为46。显然M大于N,说明Web服务器接受并响应了步骤108中构造的HTTP请求,并返回了超出正常长度的响应流,因此Web服务器存在带宽放大攻击漏洞。
[0023]所述Web服务器可以采用机架式服务器,优先采用联想万全R520 G7。
[0024]所述Web服务器也可以采用塔式服务器,优先采用联想万全T260 G3。
[0025]本技术领域技术人员可以理解的是,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
[0026]以上所述的【具体实施方式】,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的【具体实施方式】而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种Web服务器宽带放大攻击漏洞检测方法,其特征在于,包含以下步骤: 步骤1),确定待检测的对象Web服务器及部署在Web服务器上的资源文件,获取该资源文件的统一资源定位符T ; 步骤2),向T发送HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度N; 步骤3),将N与2作比较,若N小于等于2,终止检测流程,Web服务器不存在带宽放大攻击漏洞;若N大于2,则执行步骤4); 步骤4),构造字符串R,并对字符串R赋予初始值“bytes=” ; 步骤5),对整数O至N中的所有偶数j,依次构造字符串“ j_j,”,并插入字符串R的尾部; 步骤6),对整数I至N中的所有奇数k,依次构造字符串“k-k,”,并插入字符串R的尾部; 步骤7),删除字符串R尾部最后一个字符“,”; 步骤8),将字符串R设为请求标头中的Range值后再次向T发送HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度M ; 步骤9),比较M与N的大小,若M大于N,判断待检测的对象Web服务器存在带宽放大攻击漏洞;若M小于或等于N,判断待检测的对象Web服务器不存在带宽放大攻击漏洞。
2.根据权利要求1所述的Web服务器宽带放大攻击漏洞检测方法,其特征在于,所述Web服务器采用机架式服务器。
3.根据权利要求2所述的Web服务器宽带放大攻击漏洞检测方法,其特征在于,所述Web服务器的型号为联想万全R520 G7。
4.根据权利要求1所述的Web服务器宽带放大攻击漏洞检测方法,其特征在于,所述Web服务器采用塔式服务器。
5.根据权利要求4所述的Web服务器宽带放大攻击漏洞检测方法,其特征在于,所述Web服务器的型号为联想万全T260 G3。
【专利摘要】本发明公开了一种Web服务器宽带放大攻击漏洞检测方法,首先向待检测的对象web服务器上的资源发送一般的HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度N;然后根据N构建字符串作为新HTTP请求的Range值后,再次向T发送HTTP请求,并读取响应流数据,以字节为单位记录响应流数据的长度M;最后比较M和N来判断是否存在宽带放大攻击漏洞。本发明设计简单,使用方便,通过构造特殊的Byte Range值,可绕过Web服务器程序的Byte Range过滤器(Filter),具有极高的穿透性,能够发现深度隐藏的带宽放大攻击漏洞。
【IPC分类】H04L29-08, H04L29-06
【公开号】CN104735075
【申请号】CN201510149162
【发明人】傅晓, 王志坚, 吕鑫, 吴昊, 杨家奇, 王自钊
【申请人】河海大学
【公开日】2015年6月24日
【申请日】2015年4月1日