一种HTTP请求走私防御方法、装置、介质与流程

一种http请求走私防御方法、装置、介质
技术领域
1.本技术涉及网络安全领域，特别是涉及一种http请求走私防御方法、装置、介质。


背景技术：

2.为了提高服务器的安全性，越来越多的个人或公司选择使用反向代理或cdn架构。随着互联网技术的发展，反向代理架构与cdn的安全问题也逐渐被用户所重视。其中，http请求走私就是其中显现出来的问题之一。
3.http请求走私是指在反向代理或cdn架构下，前端服务器负责接收用户请求与安全控制，经过处理后将被允许的请求转发给后端服务器，而后端服务器无条件的相信前端服务器转发过来的全部请求，并对每一个请求都进行响应。但前后端的服务器对rfc标准的具体实现不一，导致攻击者可以将无法访问的请求走私给后端服务器以获得响应。该漏洞利用了前端服务器和后端服务器对数据包边界定义不一致的情况，将前一个数据包的内容插入至下一个数据包中，可能会导致用户或管理员账号被窃取、信息泄露等危害。
4.由此可见，如何提供一种http请求走私防御方法，以提高用户信息的安全性，是本领域技术人员亟需解决的问题。


技术实现要素：

5.本技术的目的是提供一种http请求走私防御方法，以提高用户信息的安全性。
6.为解决上述技术问题，本技术提供一种http请求走私防御方法，包括：
7.获取输入所述前端服务器的第一数据包；
8.当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与所述第一数据包对应的第二数据包；
9.对所述第一数据包和所述第二数据包进行校验，以判断所述第一数据包和所述第二数据包是否一致；
10.若所述第一数据包和所述第二数据包一致，则确定服务器系统安全；
11.若所述第一数据包和所述第二数据包不一致，则确定存在http请求走私。
12.优选的，所述预设条件为：
13.所述前端服务器将所述第一数据包发送至所述后端服务器。
14.优选的，所述获取输入所述前端服务器的第一数据包的步骤后，还包括：
15.获取发送所述第一数据包的服务器的ip信息；
16.判断所述ip信息是否为异常ip；
17.若为异常ip，则丢弃所述第一数据包；
18.否不为异常ip，则执行所述当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与所述第一数据包对应的第二数据包的步骤。
19.优选的，利用插装探针技术获取所述第一数据包、所述第二数据包，并对所述第一数据包和所述第二数据包进行校验。
20.优选的，所述对所述第一数据包和所述第二数据包进行校验包括：
21.计算所述第一数据包的第一md5值、所述第二数据包的第二md5值；
22.判断所述第一md5值、所述第二md5值是否一致。
23.优选的，所述确定服务器系统安全的步骤后，还包括：
24.控制后端服务器处理所述第二数据包。
25.优选的，所述确定存在http请求走私的步骤后，还包括：
26.向管理人员发送告警信息。
27.为解决上述技术问题，本技术还提供一种http请求走私防御装置，包括：
28.第一获取模块，用于获取输入所述前端服务器的第一数据包；
29.第二获取模块，用于当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与所述第一数据包对应的第二数据包；
30.校验模块，用于对所述第一数据包和所述第二数据包进行校验，以判断所述第一数据包和所述第二数据包是否一致；
31.若所述第一数据包和所述第二数据包一致，则确定服务器系统安全；
32.若所述第一数据包和所述第二数据包不一致，则确定存在http请求走私。
33.为解决上述技术问题，本技术还提供了一种http请求走私防御装置，包括存储器，用于存储计算机程序；
34.处理器，用于执行所述计算机程序时实现所述的http请求走私防御方法的步骤。
35.为解决上述技术问题，本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现所述的http请求走私防御方法的步骤。
36.本技术提供了一种http请求走私防御方法，包括：获取输入前端服务器的第一数据包；当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与第一数据包对应的第二数据包，以便于后续判断前端服务器和后端服务器所获取到的数据包是否一种；对第一数据包和第二数据包进行校验，以判断第一数据包和第二数据包是否一致；若第一数据包和第二数据包一致，则确定服务器系统安全；若第一数据包和第二数据包不一致，则确定存在http请求走私。由此可见，本技术所提供的技术方案，通过对第一数据包、第二数据包进行校验，以判断前端服务器和后端服务器所获取到的数据包是否相同，从而提高用户信息的安全性，提高用户体验。
37.此外，本技术还提供了一种http请求走私防御装置、介质，与上述http请求走私防御方法相对应，效果同上。
附图说明
38.为了更清楚地说明本技术实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
39.图1为本技术实施例所提供的一种http请求走私防御方法的流程图；
40.图2为本技术实施例所提供的一种http请求走私防御系统模型的示意图；
41.图3为本技术实施例所提供的一种http请求走私防御装置的结构图；
42.图4为本技术实施例所提供的另一种http请求走私防御装置的结构图。
具体实施方式
43.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本技术保护范围。
44.本技术的核心是提供一种http请求走私防御方法、装置、介质，以提高用户信息的安全性。
45.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。
46.图1为本技术实施例所提供的一种http请求走私防御方法的流程图，如图1所示，本技术所提供的http请求走私防御方法包括：
47.s10：获取输入所述前端服务器的第一数据包；
48.s11：当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与所述第一数据包对应的第二数据包；
49.s12：对所述第一数据包和所述第二数据包进行校验，以判断所述第一数据包和所述第二数据包是否一致；
50.s121：若所述第一数据包和所述第二数据包一致，则确定服务器系统安全；
51.s122：若所述第一数据包和所述第二数据包不一致，则确定存在http请求走私。
52.在具体实施中，用户输入的数据首先传输至前端服务器，再由前端服务器发送至后端服务器以对数据进行处理。在数据传输过程中，可能会由于前端服务器与后端服务器的rfc标准的具体实现不一致，使攻击者可以将异常访问请求走私至后端服务器，导致数据泄露。为了解决这一问题，本技术所提供的技术方案通过对前端服务器和后端服务器获取到的数据包进行校验，以判断数据包从前端服务器发送至后端服务器的过程中，数据包中的是否发生了变化，若发生变化，则表明存在http请求走私。
53.可以理解的是，可以通过数据包中的参数对第一数据包、第二数据包进行校验，也可以通过计算第一数据包括和第二数据包的特征值进行计算，此处不做限定。
54.在具体实施中，可以对前端服务器发送的全部数据包进行校验，也可以随机挑选数据包进行校验，或仅对预设ip地址发送至前端服务器的数据包进行校验，此处不做限定。
55.可以理解的是，为了保证原有程序逻辑完整性，减少http请求走私防御过程中耗费的人力物力，可以使用插装的方式获取第一数据包和第二数据包。
56.本实施例提供了一种http请求走私防御方法，包括：获取输入前端服务器的第一数据包；当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与第一数据包对应的第二数据包，以便于后续判断前端服务器和后端服务器所获取到的数据包是否一种；对第一数据包和第二数据包进行校验，以判断第一数据包和第二数据包是否一致；若第一数据包和第二数据包一致，则确定服务器系统安全；若第一数据包和第二数据包不一致，则确定存在http请求走私。由此可见，本技术所提供的技术方案，通过对第一数据包、第二数据包进行校验，以判断前端服务器和后端服务器所获取到的数据包是否相同，从而提
高用户信息的安全性，提高用户体验。
57.在具体实施中，可以对前端服务器发送的全部数据包进行校验，也可以根据预先设置的规则对部分数据包进行校验，后者所占用的计算资源较少，但系统安全性也随之降低。
58.在上述实施例的基础上，本实施例中对全部数据包的安全性进行校验，预设条件为：所述前端服务器将所述第一数据包发送至所述后端服务器。当前端服务器向后端服务器发送任意数据包后，均对该数据包和与该数据包对应的前端服务器获取到的数据包进行校验。
59.进一步的，为了减少服务器系统的工作量，还可以预先根据向前端服务器发送数据包的服务器的ip信息对数据包进行筛选，若发送数据包的服务器的ip信息为异常ip，则丢弃该数据包，并向管理人员发送告警信息。若不为异常ip，则正常执行后续步骤。
60.在具体实施中，为了保证原有程序逻辑完整性，可以利用插桩探针技术收集程序运行过程中产生的信息。
61.在上述实施例的基础上，利用插装探针技术获取第一数据包、所述第二数据包，并对所述第一数据包和所述第二数据包进行校验。
62.在具体实施中，通过在程序中特定位置插入代码段，从而收集程序运行时的动态上下文信息，以获取第一数据包、第二数据包，并对二者进行校验，以判断前端服务器与后端服务器所获取的数据包是否一致。
63.可以理解的是，对第一数据包和第二数据包进行校验的目的在于判断第一数据包和第二数据包是否一致，若一致，则表明数据包在传输过程中并不存在http访问走私的情况。判断数据包是否一致的方式可以为通过参数判断，也可以通过数据包的特征值判断。当通过参数判断时，需要首先根据数据包的不同类型确定需要校验的参数，例如：当数据包为用户登录数据时，则需要校验的参数为数据包中的登录名和密码。当通过数据包的特征值判断时，可以计算数据包的md5值。通过比较第一数据包的md5值和第二数据包的md5值是否一致，从而判断第一数据包和第二数据包是否一致。后一种方案的准确性更高，且更容易实施，因此，本技术文件中选用比较md5值的方式对第一数据包和第二数据包进行校验。
64.在上述实施例的基础上，为了提高服务器的安全性和校验速度，对第一数据包和第二数据包进行校验包括：计算第一数据包的第一md5值、第二数据包的第二md5值；判断第一md5值、第二md5值是否一致。其中，md5信息摘要算法(md5 message-digest algorithm)是一种被广泛使用的密码散列函数，可以产生出一个128位(16字节)的散列值(hash value)，用于确保信息传输完整一致。此外，还可以选用其他的校验算法对第一数据包和第二数据包的一致性进行校验，此处不做限定。
65.作为优选的实施例，当确定第一数据包与第二数据包一致后，表明服务器未受到http走私访问的攻击，服务器当前安全，则控制后端服务器处理所述第二数据包，以响应用户访问请求。否则，则向管理人员发送告警信息，以使管理人员及时维护服务器系统安全。
66.图2为本技术实施例所提供的一种http请求走私防御系统模型的示意图，如图2所示，当前端服务器获取到用户发送的数据包后，判断发送数据包的设备的ip地址是否为意见被判断为具有攻击行为的ip地址(即判断当前ip地址是否在黑名单上)，若是，则丢弃数据包，以保护服务器的安全。若否，则通过分别设置在前端服务器、后端服务器中的插桩探
针模块获取前端服务器所收到的数据包、后端服务器所收到的数据包，并计算二者的md5值进行计算，以判断二者是否一致，若一致，则控制后端服务器对第二数据包进行处理，以相应用户的访问请求。若不一致，则丢弃数据包。
67.在上述实施例中，对于http请求走私防御方法进行了详细描述，本技术还提供http请求走私防御装置对应的实施例。需要说明的是，本技术从两个角度对装置部分的实施例进行描述，一种是基于功能模块的角度，另一种是基于硬件的角度。
68.图3为本技术实施例所提供的一种http请求走私防御装置的结构图，如图3所示，该装置包括：
69.第一获取模块10，用于获取输入所述前端服务器的第一数据包；
70.第二获取模块11，用于当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与所述第一数据包对应的第二数据包；
71.校验模块12，用于对所述第一数据包和所述第二数据包进行校验，以判断所述第一数据包和所述第二数据包是否一致；
72.若所述第一数据包和所述第二数据包一致，则确定服务器系统安全；
73.若所述第一数据包和所述第二数据包不一致，则确定存在http请求走私。
74.由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。
75.本实施例提供了一种http请求走私防御装置，包括：获取输入前端服务器的第一数据包；当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与第一数据包对应的第二数据包，以便于后续判断前端服务器和后端服务器所获取到的数据包是否一种；对第一数据包和第二数据包进行校验，以判断第一数据包和第二数据包是否一致；若第一数据包和第二数据包一致，则确定服务器系统安全；若第一数据包和第二数据包不一致，则确定存在http请求走私。由此可见，本技术所提供的技术方案，通过对第一数据包、第二数据包进行校验，以判断前端服务器和后端服务器所获取到的数据包是否相同，从而提高用户信息的安全性，提高用户体验。
76.图4为本技术实施例提供的另一种http请求走私防御装置的结构图，如图4所示，http请求走私防御装置包括：存储器20，用于存储计算机程序；
77.处理器21，用于执行计算机程序时实现如上述实施例http请求走私防御方法的步骤。
78.本实施例提供的http请求走私防御装置可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
79.其中，处理器21可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器21可以采用数字信号处理器(digital signal processor，dsp)、现场可编程门阵列(field－programmable gate array，fpga)、可编程逻辑阵列(programmable logic array，pla)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器(central processing unit，cpu)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以集成有图像处理器(graphics processing unit，gpu)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器21还可以包括
人工智能(artificial intelligence，ai)处理器，该ai处理器用于处理有关机器学习的计算操作。
80.存储器20可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器20至少用于存储以下计算机程序201，其中，该计算机程序被处理器21加载并执行之后，能够实现前述任一实施例公开的http请求走私防御方法的相关步骤。另外，存储器20所存储的资源还可以包括操作系统202和数据203等，存储方式可以是短暂存储或者永久存储。其中，操作系统202可以包括windows、unix、linux等。数据203可以包括但不限于第一数据包、第二数据包、校验数据等。
81.在一些实施例中，http请求走私防御装置还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
82.本领域技术人员可以理解，图4中示出的结构并不构成对http请求走私防御装置的限定，可以包括比图示更多或更少的组件。
83.本技术实施例提供的http请求走私防御装置，包括存储器和处理器，处理器在执行存储器存储的程序时，能够实现如下方法：
84.获取输入所述前端服务器的第一数据包；
85.当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与所述第一数据包对应的第二数据包；
86.对所述第一数据包和所述第二数据包进行校验，以判断所述第一数据包和所述第二数据包是否一致；
87.若所述第一数据包和所述第二数据包一致，则确定服务器系统安全；
88.若所述第一数据包和所述第二数据包不一致，则确定存在http请求走私。
89.本实施例提供了一种http请求走私防御装置，包括：获取输入前端服务器的第一数据包；当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与第一数据包对应的第二数据包，以便于后续判断前端服务器和后端服务器所获取到的数据包是否一种；对第一数据包和第二数据包进行校验，以判断第一数据包和第二数据包是否一致；若第一数据包和第二数据包一致，则确定服务器系统安全；若第一数据包和第二数据包不一致，则确定存在http请求走私。由此可见，本技术所提供的技术方案，通过对第一数据包、第二数据包进行校验，以判断前端服务器和后端服务器所获取到的数据包是否相同，从而提高用户信息的安全性，提高用户体验。
90.最后，本技术还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
91.可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘
等各种可以存储程序代码的介质。
92.以上对本技术所提供的http请求走私防御方法、装置、介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。
93.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

技术特征：
1.一种http请求走私防御方法，其特征在于，包括：获取输入前端服务器的第一数据包；当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与所述第一数据包对应的第二数据包；对所述第一数据包和所述第二数据包进行校验，以判断所述第一数据包和所述第二数据包是否一致；若所述第一数据包和所述第二数据包一致，则确定服务器系统安全；若所述第一数据包和所述第二数据包不一致，则确定存在http请求走私。2.根据权利要求1所述的http请求走私防御方法，其特征在于，所述预设条件为：所述前端服务器将所述第一数据包发送至所述后端服务器。3.根据权利要求1所述的http请求走私防御方法，其特征在于，所述获取输入前端服务器的第一数据包的步骤后，还包括：获取发送所述第一数据包的服务器的ip信息；判断所述ip信息是否为异常ip；若为异常ip，则丢弃所述第一数据包；若不为异常ip，则执行所述当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与所述第一数据包对应的第二数据包的步骤。4.根据权利要求1所述的http请求走私防御方法，其特征在于，利用插装探针技术获取所述第一数据包、所述第二数据包，并对所述第一数据包和所述第二数据包进行校验。5.根据权利要求1所述的http请求走私防御方法，其特征在于，所述对所述第一数据包和所述第二数据包进行校验包括：计算所述第一数据包的第一md5值、所述第二数据包的第二md5值；判断所述第一md5值、所述第二md5值是否一致；若一致，则确定所述第一数据包和所述第二数据包一致。6.根据权利要求1至5任一项所述的http请求走私防御方法，其特征在于，所述确定服务器系统安全的步骤后，还包括：控制后端服务器处理所述第二数据包。7.根据权利要求1所述的http请求走私防御方法，其特征在于，所述确定存在http请求走私的步骤后，还包括：向管理人员发送告警信息。8.一种http请求走私防御装置，其特征在于，包括：第一获取模块，用于获取输入所述前端服务器的第一数据包；第二获取模块，用于当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与所述第一数据包对应的第二数据包；校验模块，用于对所述第一数据包和所述第二数据包进行校验，以判断所述第一数据包和所述第二数据包是否一致；若所述第一数据包和所述第二数据包一致，则确定服务器系统安全；若所述第一数据包和所述第二数据包不一致，则确定存在http请求走私。9.一种http请求走私防御装置，其特征在于，包括存储器，用于存储计算机程序；
处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的http请求走私防御方法的步骤。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的http请求走私防御方法的步骤。

技术总结
本申请涉及网络安全领域，公开了一种HTTP请求走私防御方法、装置、介质，包括：获取输入前端服务器的第一数据包；当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与第一数据包对应的第二数据包，以便于后续判断前端服务器和后端服务器所获取到的数据包是否一种；对第一数据包和第二数据包进行校验，以判断第一数据包和第二数据包是否一致；若第一数据包和第二数据包一致，则确定服务器系统安全；若第一数据包和第二数据包不一致，则确定存在HTTP请求走私。本申请通过对第一数据包、第二数据包进行校验，以判断前端服务器和后端服务器所获取到的数据包是否相同，从而提高用户信息的安全性，提高用户体验。提高用户体验。提高用户体验。


技术研发人员：范苏文 王欣
受保护的技术使用者：杭州安恒信息技术股份有限公司
技术研发日：2023.04.10
技术公布日：2023/8/9