寫在前面的話

HTTP/1.1自1991年至2014年，已經走過了一段很長的發展歷程：

HTTP/0.9– 1991
HTTP/1.0– 1996
HTTP/1.1
RFC 2068– 1997
RFC 2616- 1999
RFC 7230- 2014

這也就意味著，互聯網中各種各樣的服務器和客戶端，可能會存在很多安全問題，這也會給HTTP走私攻擊（HTTP資料接收不同步攻擊）創造了機會，

遵循最新的RFC建議似乎很簡單，然而，對于已經存在一段時間的大型系統，它可能會帶來很多在系統可用性方面令人無法接受的影響，

http_desync_guardian這個工具庫便應運而生，該工具可以幫助廣大研究人員分析HTTP請求，以防止HTTP走私攻擊（HTTP資料接收不同步攻擊）的發生，同時還能夠兼顧安全性和可用性，該工具可以將請求進行分類，并并提供針對每一層的處理建議，

該工具既可以分析原始的HTTP請求Header，也可以對那些已經被HTTP引擎分析過的請求資料進行二次分析，

工具特性

1、服務的統一性是關鍵，這意味著請求分類、日志記錄和度量必須在后臺進行，并使用最少的可用設定（例如，日志檔案目的地址），

2、關注可審查性，測驗套件不需要關于庫/編程語言的知識，而只需要關于HTTP協議的知識即可，因此，它很容易審查、貢獻代碼和重復使用，

3、安全性對于用戶來說是最重要的，

4、輕量級，開銷非常小，并且處理請求不需要額外開銷，

支持的HTTP版本

該工具主要針對的是HTTP/1.1，具體可以參考提供的覆寫測驗用例，

HTTP/1.1的前身不支持連接重用，這限制了HTTP去同步的機會，但是一些代理可能會將此類請求升級到HTTP/1.1，并重新使用后端連接，這可能會導致惡意HTTP/1.0請求，這也就是為什么我們選擇使用與HTTP/1.1相同的標準來分析它們，對于其他協議版本，可以參考這篇【檔案】，

工具下載

廣大研究人員可以使用下列命令將該專案原始碼克隆至本地：

git clone https://github.com/aws/http-desync-guardian.git
復制代碼

C代碼使用

這個工具庫主要使用的是C/C++開發的HTTP引擎，工具安裝配置方法如下：

1、安裝cbindgen：

cargo install --force cbindgen
復制代碼

2、生成Header檔案：

C：

cbindgen --output http_desync_guardian.h --lang c
復制代碼

C++：

cbindgen --output http_desync_guardian.h --lang c++
復制代碼

3、運行下列命令，其中相關代碼位于“
./target/release/libhttp_desync_guardian.*”檔案：

cargo build --release
復制代碼

#include "http_desync_guardian.h"

 

/*

 * http_engine_request_t - already parsed by the HTTP engine

 */

static int check_request(http_engine_request_t *req) {

    http_desync_guardian_request_t guardian_request = construct_http_desync_guardian_from(req);

    http_desync_guardian_verdict_t verdict = {0};

 

    http_desync_guardian_analyze_request(&guardian_request, &verdict);

 

    switch (verdict.tier) {

        case REQUEST_SAFETY_TIER_COMPLIANT:

            // The request is good. green light

            break;

        case REQUEST_SAFETY_TIER_ACCEPTABLE:

            // Reject, if mode == STRICTEST

            // Otherwise, OK

            break;

        case REQUEST_SAFETY_TIER_AMBIGUOUS:

            // The request is ambiguous.

            // Reject, if mode == STRICTEST

            // Otherwise send it, but don't reuse both FE/BE connections.

            break;

        case REQUEST_SAFETY_TIER_SEVERE:

            // Send 400 and close the FE connection.

            break;

        default:

            // unreachable code

            abort();

    }

}
復制代碼

許可證協議

本專案的開發與發布遵循Apache-2.0開源許可證協議，

轉載請註明出處，本文鏈接：https://www.uj5u.com/qiye/433304.html

標籤：訊息安全

上一篇：ValueError與scipy.signal.find_peaks

下一篇：分析HTTP請求以降低HTTP走私攻擊HTTP資料接收不同步攻擊的風險