平码五不中公式规律
  • / 7
  • 下载费用:30 金币  

一种HTTP成环攻击的处理方法.pdf

关 键 ?#21097;?/dt>
一种 HTTP 攻击 处理 方法
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
摘要
申请专利号:

CN201910093194

申请日:

20190130

公开号:

CN109660457A

公开日:

20190419

当前法律状态:

公开

有效性:

审中

法?#19978;?#24773;: 公开
IPC分类号: H04L12/705;H04L12/733 主分类号: H04L12/705;H04L12/733
申请人: 北京云端智度科技有限公司
发明人: 刘晓光;汪志武;温伟球
地址: 北京市朝阳区常惠路6号楼5层5单元503
优先权:
专利代理机构: 代理人:
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

CN201910093194

授权公告号:

法律状态公告日:

20190419

法律状态类型:

公开

摘要

本发明涉及一种http成环攻击的处理方法,通过增加跳数字段头部的机制,限制了同一个请求经过代理系统的最大次数,到达最大次数后丢弃该请求,从而阻断了后续继续成环,依赖于代理系统将请求头部全部转发给下一级,在实际环境中,代理系统因不知道业务对头部的使用请求,绝大部?#26234;?#20917;不会调整请求头部,因此得以使用,只需要在成环路径中部分代理系统中支持该机制,就能达到避免成环的目的,相比传统方案的好处在于:只丢弃成环的请求,正常的请求不受影响,因为能准确区分出成环,能在系?#25104;?#26410;产生压力情况下快速恢复,操作简单,易于实现,便于广?#21644;?#24191;和普及。

权利要求书

1.一种http成环攻击的处理方法,其特征在于,以限制代理转发最大跳数的机制来防止成环,其步骤如下: Q1:设置一个转发最大跳数; Q2:代理系统收到用户请求后,如果请求头不包含跳数字段头部,则在请求头部插入该跳数字段的头部,再将包含头部的请求转发给下一级系?#24120;?Q3:下一级代理系统收到用户请求后,如果请求头部包含跳数头部,但该头部信息合法性校验不通过,则在?#22659;?#21407;有的包含跳数字段头部信息,并插入入新的包含跳数字段的头部,再将包含该新的包含跳数字段头部的请求转发给再下一级系?#24120;?Q4:再下一级代理系统收到用户请求后,如果请求头部包含跳数头部,并且跳数信息合法,则将该跳数头部信息减一后更新至该跳数头部,此时,更新的减一后的跳数头部信息如果不为0,则将该请求转发给再下一级系?#24120;?#22914;果减一后等于0,则将该数据包丢弃。

说明书


一种http成环攻击的处理方法
技术领域


本发明涉及互联网技术领域,具体涉及一种http成环攻击的处理方法。


背景技术


http代理理系统(如正向代理理、反向代理理、CDN系统等等)提供了一种http请求
代理理转发的系?#24120;?#23558;用户请求转发给真实源站,由真实源站提供该数据的访问。如图1所
示,在目前的现有技术中,正常情况下,系统收到用户http请求后,将用户请求转发给上游
系?#24120;?#25910;到上游系统响应后,再将响应转发给用户。但在配置错误、或者恶意构造等一些特
殊情况下,真实源站可能仍然是http代理理系?#24120;?#36825;样在多级代理情况下,只要存在交叉引
用就可能出现局部环路,或者全局环路。


全局环路的形成有多种方式,本文在?#21496;?#20363;如下:


一种情况为,用户发送请求到代理系统1,代理系统1将相关请求发送到代理系统2
上,但是在配置错误、或者恶意构造等一些特殊情况下,代理系统2?#32440;?#35831;求再次返回至代
理系统1,导致代理系统1、代理系统2各自将数据源指向对方,代理系统1、代理系统2形成一
个闭合环路,请求来回在代理系统1、代理系统2之间转发;


另一种情况为,用户发送请求到代理系统1,代理系统1将相关请求发送到代理系
统2上,代理系统2发送请求至代理系统2、代理系统3……代理系统N,但是在配置错误、或者
恶意构造等一些特殊情况下,代理系统2、代理系统3……代理系统N,?#32440;?#35831;求再次返回至
代理系统1,代理系统1、代理系统2、代理系统3……代理系统N相连形成一个闭合环路,请求
来回在该闭合环路之间转发。


很明显,上述情况导致了用户请求得不到正确处理,并且?#21152;?#20102;大量资源,在出现
成环后,会导致请求在代理系?#25345;?#38388;循环转发,从而导致请求成百上千倍放大,消耗各级代
理系统的资源,极端情况下影响代理系统对外正常服务,从而形成一种成环放大攻击。


为了避免上述的成环问题,目前现有技术中,传统方案中会分析http请求中的资
源信息,包括请求源ip、请求uri、请求host等等,当请求频率到达一定程度后,随机丢弃部
分请求,当随机丢弃的请求是成环的请求时,就阻断了了成环的请求继续转发,阻断了成
环。


但是,因传统方案通过随机丢弃方式来阻断成环现象,随机丢弃会有几个问题:


无法区分正常的请求和异常的请求,发生随机丢弃时,正常的请求?#19981;?#21463;到影响;


需要为随机丢弃设置门限,设置时需要考虑系统正常运行时的请求频率,一般门
限会设置的较大;


这样发生随机丢弃的时候,系统资源已经受到了部分影响,系统实际已经承受损
失。


发明内容


针对现有技术的缺陷和不足,本发明公开了一种http成环攻击的处理方法,以限
制代理转发最大跳数的机制来防止成环。


本发明通过以下技术方案予以实现:


一种http成环攻击的处理方法,以限制代理转发最大跳数的机制来防止成环,其
步骤如下:


Q1:设置一个转发最大跳数TTL:n(n为最大跳数,典型为16);


Q2:代理系统收到用户请求后,会按照如下几种情况进行处理:


(1)如果请求头不包含跳数字段头部,则在请求头部插入该跳数字段的头部,再将
包含头部的请求转发给下一级代理系?#24120;?br>

(2)如果请求头部包含跳数头部,但该头部信息跳数信息合法性校验不通过,则在
?#22659;?#21407;有的包含跳数字段头部信息,并插入新的包含跳数字段的头部,再将包含该新的包
含跳数字段头部的请求转发给再下一级代理系?#24120;?br>

(3)如果请求头部包含跳数头部,并且跳数信息合法,则将该跳数头部信息减一后
更新至该跳数头部,此时,更新的减一后的跳数头部信息如果不为0,则将该请求转发给再
下一级代理系?#24120;?#22914;果减一后等于0,则将该数据包丢弃。


Q3:下一级代理系统收到用户请求后,如果包含TTL头部,并且跳数信息合法,则将
TTL减一再更新跳数头部,如果减一后TTL等于0,则将该数据包丢弃。


本发明的有益效果为:


本发明涉及到的一种http成环攻击的处理方法,有着极强的实际应用前景,在实
际操作中,依赖于代理系统将请求头部全部转发给下一级,在实际环境中代理理系统因不
知道业务对头部的使用请求,绝大部?#26234;?#20917;不会调整请求头部,因此得以使用,通过增加跳
数字段头部的机制,限制了同一个请求经过代理系统的最大次数,到达最大次数后丢弃该
请求,从而阻断了后续继续成环,实际使用中,只需要在成环路径中部分代理系统中支持该
机制,就能达到避免成环的目的,相比传统方案的好处在于:只丢弃成环的请求,正常的请
求不受影响,因为能准确区分出成环,能在系?#25104;?#26410;产生压力情况下快速恢复,操作简单,
易于实现,便于广?#21644;?#24191;和普及。


附图说明


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现
有技术描述中所需要使用的附图作简单地介绍,显而?#20934;?#22320;,下面描述中的附图仅仅是本
发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。


图1是本发明的一种http成环攻击的处理方法的现有技术中的代理系统处理用户
请求的结构示意图;


图2是本发明实施例的一种http成环攻击的处理方法的步骤流程示意图。


具体实施方式


为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例
中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是
本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员
在没有作出创造性劳动前提?#28388;?#33719;得的所有其他实施例,?#38469;?#20110;本发明保护的?#27573;А?br>

实施例


如图1-2所示,本发明涉及一种http成环攻击的处理方法,步骤如下:


代理系统收到用户请求后,如果请求头不包含跳数(TTL)头部,则在请求头部插入
TTL:n(n为最大跳数,典型为16)的头部;再将包含TTL头部的请求转发给下一级代理系?#24120;?br>代理系统收到用户请求后,如果请求头包含跳数(TTL)头部,但TTL信息合法性校验不通过
(如无法解析、或者超过最大值),则在?#22659;?#21407;有的TTL头,并插入新的TTL:n(n为最大跳数,
典型为16)的头部;再将包含TTL头部的请求转发给下一级代理系?#24120;?#20195;理系统收到用户请
求后,如果包含TTL头部,并且跳数信息合法,则将TTL减一再更新跳数头部,如果减一后TTL
不为0,则将包含TTL头部的请求转发给下一级代理系?#24120;?br>

下一级代理系统收到用户请求后,如果包含TTL头部,并且跳数信息合法,则将TTL
减一再更新跳数头部,如果减一后TTL等于0,则将该数据包丢弃。


为避免TTL被恶意产生,可以对TTL头部进行行加密,避免被其它系统读取和修改。
TTL字段只是示例,实?#39318;?#27573;名称可以是?#25105;猓?#23383;段可以被加密,只有支持该功能的系统方
可读取或者修改。通过增加TTL机制,限制了同一个请求经过代理系统的最大次数,到达最
大次数后丢弃该请求,从而阻断了后续继续成环。实际使用中,只需要在成环路径中部分代
理系统中支持TTL机制,就能达到避免成环的目的。注意:该方案依赖于代理系统将请求头
部全部转发给下一级,在实际环境中代理理系统因不知道业务对头部的使用请求,绝大部
?#26234;?#20917;不会调整请求头部,因此得以使用。


相比传统方案的好处:只丢弃成环的请求,正常的请求不受影响。因为能准确区分
出成环,能在系?#25104;?#26410;产生压力情况下快速恢复。


以上实施例仅用?#36816;?#26126;本发明的技术方案,而非?#20113;?#38480;制;尽管参照前述实施例
对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施
例所记载的技术方案进行修改,或者?#20113;?#20013;部分技术特征进?#26800;?#21516;替换;而这些修改或者
替换,并不使相应技术方案的?#23616;?#33073;离本发明各实施例技术方案的精神和?#27573;А?br>

关于本文
本文标题:一种HTTP成环攻击的处理方法.pdf
链接地址:http://www.pqiex.tw/p-6151708.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
平码五不中公式规律 高频彩公式 球探nba蓝球比分 体彩浙江十一选五走势图基本走势 天津11选5漏号 qq分分彩票 上海时时乐走势图2oo期 下载麻将游戏免费 蓝球nba比分 陕西11选5前三4码遗漏 360彩票网官网