当前位置:首页HTTP Evasions原理解析:分块传输绕过防火墙 举报文章

HTTP Evasions原理解析:分块传输绕过防火墙

作者:admin    来源:用户投稿    时间:2016.1.29   

  主要是通过Transfer-Encoding字段分块请求包来绕过防火墙。例如说,可以通过以下结构的请求包绕过防火墙的恶意软件检测:

  HTTP/1.0 200 ok

  Transfer-Encoding: chunked

  content which is not chunked

  分块传是什么?

  在HTTP 0.9中,响应包的结束只是简单的依赖于TCP的连接断开。在HTTP 1.0的响应头增加了一些字段,比如,Content-length用于表示响应包的大小,但却只有在服务器预先知道HTTP头长度的情况下,才能确定Content-length的值。这就意味着如果发送的是动态的内容,那么首先需要缓存数据,在发送前必须要计算出要发送的HTTP头的大小。否则如果依旧按过去的方式,可能TCP连接断开的时候,数据还没有传完,这时候就不得不中断数据传,要解决这种情况就不得不让TCP连接一直保持活跃状态。

  因此,在HTTP1.1标准中增加了分块传技术。按这种数据传方式的话,服务器首先会在每个分块前面添加上他的长度,这样的话,只要获取到第一个数据块就可以立刻发送出去。每一个数据块的长度都是用十六进制数表示。结束的响应包是一个空包,他的大小是0。例如,在下面的例子中,需要把字符串“0123456789ABCDEFGH”分成3个数据块和一个结束的空数据块发送:

  数据块:

  HTTP/1.1 200 ok

  Transfer-Encoding: chunked

  b

  0123456789A

  3

  BCD

  4

  EFGH

  0

  注意,在HTTP头中,每一行的换行符是\r\n,并且,每个数据分块也是以\r\n结束的。最后一块是单行,由块大小(0),一些可选的填充白空格,以及\r\n组成。

  防火墙看到的是各个分块,而浏览器看到的是整个数据包,所以只要稍微修改下分块,就会使防火墙和浏览器看到的内容大不相同,这样就有可能绕过防火墙。

  结合Transfer-Encoding和Content-Length进行绕过

  在HTTP 1.1标准中清楚的规定如果Content-Length和Transfer-Encoding分块模式同时给出的时候,所使用的传的模式是分块传,Content-Length字段必须被忽略掉。所有浏览器都遵守这个原则,但是仍然有15%的防火墙用相反的方式来解析。因此,可以通过这个简单的技巧绕过这类防火墙:

  HTTP/1.1 200 ok

  Transfer-Encoding: chunked

  Content-length: 22

  3

  MAL

  4

  WARE

  0

  令人惊讶的是,这些受影响的防火墙忽略了一点:这些响应包可能不是被分块过的包,并且直接让这样的包通过防火墙。有些防火墙,比如,Sophos UTM,把HTTP1.0包中的分块转化解析了,但是,至少这些防火墙对响应包进行了足够的清理,想在这种情况下绕过防火墙也是有一定的难度的。

  另外一些防火墙,虽然没有解析HTTP1.0中的Transfer-Encoding,如果他使用了一些特定的浏览器,也有可能被绕过。与所有浏览器相反的是Safari 浏览器并不看响应包使用的HTTP版本,就直接把带有Transfer-Encoding的头按分块传技术解析出来,无论这个响应包是否使用HTTP1.0。因此,除非防火墙对响应包进行清理,过滤掉坏包头,否则的话使用Safari浏览器的用户就有可能被以下的包攻击:

  HTTP/1.0 200 ok

  Transfer-Encoding: chunked

  3

  MAL

  4

  WARE

  0

  浏览器的处理方法也是不同的。IE浏览器会只解析后面的Transfer-Encoding,其他的主流浏览器只是查看响应头中是否存在Transfer-Encoding字段,如果该字段的值为“chunked”,就直接解析了。

  "chunked" vs. "xchunked" vs. "x chunked" 等等

  想Chrome和IE这样的浏览器会严格的控制Transfer-Encoding的值,并且只允许他的值为字符串“chunked”。但是,Firefox却可以接受“chunked”和其他词组合的情况。例如,“for chunked” 或者“chunked foo”。Safari更糟糕,他只是检查了是否存在“chunked”这个字符串,只要存在就都能接受,例如“this-is-not-chunked-and-I-mean-it”。

  当然同样的,也有好几款防火墙并不考虑响应体在这种情况下是否被分块,却依然按这个无效的包头解析。当然,这并不仅限于一些未知的防火墙和Gartner Top NGFW中。因此,以下的HTTP响应包可以使得差不多25%的测试防火墙在使用Firebox或者Safari的时候被绕过:

  HTTP/1.1 200 ok

  Transfer-Encoding: x chunked

  3

  MAL

  4

  WARE

  0

  还有几种方法可以把Transfer-Encoding隐藏掉来绕过防火墙,例如,在一些特定的地方添加空格或者其他的字符。浏览器经常忽略这些特征而继续解析响应体。

  除此以外,被测试的防火墙中还有20%的防火墙在解析扩展块的时候没有正确处理这些,这些都能导致绕过防火墙。

好文打赏,给Ta鼓励
扫一扫用手机阅读本文
Tags:原理  理解  解析  传输  绕过  防火  防火墙  火墙  
  • 相关搜索
图片推荐
    如何通过软文扩张外链?

    如何通过软文扩张外链?

    如何做外链是很多站长朋友关心的问题,而说起如何发外链就会提到资源,有了好的资源就可以在不同的资源平台上发外链,而这一点主要都是自己做自己的外链,我们发多少它就是多少,累死的是自己。简单的说,这种外链有
    “淫乱”的微商 谁来拯救那些“被绑架”的女孩!

    “淫乱”的微商 谁来拯救那些“被绑架”的女孩!

    文/杨君君(微信:yangjunjun420)  对于微商,我实在想不出任何一个正面的形容词。  如果说之前的微商,仅仅是通过吹一吹牛逼,招一些代理来维持站在金字塔顶端的人享受荣华富贵还可以让人理解的
    娱乐营销神借势:武媚娘的胸没了,P图软件却火了

    娱乐营销神借势:武媚娘的胸没了,P图软件却火了

    摘要:娱乐话题流量大、活跃度高、粉丝群年轻,因此成为营销界一直热衷和努力争抢的,但是让一个app极短冲击到相对热门分类的应用商店榜单头名,估计没有几个能玩到这程度。  广电总局的一纸剪令给火爆的《武媚
    江湖科技一周细节优化 究竟升华了哪里?

    江湖科技一周细节优化 究竟升华了哪里?

    为了客户大大能够更好的做好业务运营,江湖科技的码农哥哥不仅要开启智慧之光迸发出更多特色功能,还要对已经上线的产品做细节优化,让江湖科技的客户朋友们享受到更好的产品体验。So,让我们来看一下本周都优化了
    雷军反驳李彦宏:我说的飞猪不是机会主义

    雷军反驳李彦宏:我说的飞猪不是机会主义

    网易科技讯 6月2日消息,由SOHO中国主办的新一期潘谈会今日在北京光华路SOHO3Q举行,SOHO中国董事长潘石屹、小米科技董事长雷军与万通控股董事长冯仑与创业者进行了一场关于创业的持续对话。雷军称
    软文没那么简单 斗智斗勇才是硬道理

    软文没那么简单 斗智斗勇才是硬道理

    软文就相当于我们的打仗时机枪,想要战胜敌人就要有强有力的武器。也是成本最低,传播价值最高的产品营销方式,应用于企业,能够让你迅速拥有以低成本打造产品和管理企业的能力。  对于互联网运营者来说,广告绝对
    印度互联网到底有多大的机会?

    印度互联网到底有多大的机会?

    一、市场实际状况、机遇和挑战  沉寂了多年的印度互联网投资市场去年捷报频传。2015 年总融资额超过 40 亿美元。红杉,经纬,老虎基金等等都在积极攻城拔寨。阿里和软银 5 亿美金领投印度第二大电商
    BAOCMS商圈O2O系统之商户端用户评论在线解答功能

    BAOCMS商圈O2O系统之商户端用户评论在线解答功能

    听说泳坛健儿都抵达京城了,看着洪荒少女傅园慧和她的小伙伴小鲜肉宁泽涛回归,小编这迷妹的心有上来了,不管怎样,平安回来就好,再把视角移到BAOCMS商户APP的端口上,昨天说了商品核销,今天我们聊聊他的
你是怎么知道非凡网赚网的?
  •   
  • 联系QQ 邮箱:976382653@qq.com 微信:976382653
    在线留言
    发布软文
    广告自助购
    文章调用
    常见问题
    保存到桌面