【協議分析】HTTP2技術變革的沖擊和影響分析

HTTP2技術變革的沖擊和影響分析

HTTP2于今年2月28日正式通過IETF組織批準發布，正式定稿，那末甚么是HTTP2，HTTP2將給我們帶來哪些改變，將對我們的業務和產品產生哪些影響，利用安全研究部的協議分析研究員對此進行了深入的分析。

HTTP協議發展及特點

HTTP是來回“閱讀器”與“WEB Server”的協議（即：HTTP Protocol）。

HTTP 0.9

只有基本的文本 GET 功能，具有典型的無狀態性，每一個事務獨立進行處理。事務結束時就釋放這個連接。

客戶沒法使用內容協商，所以服務器也沒法返回實體的媒體類型。

HTTP 1.0（1982年）

面向事務的利用層協議，每次要求/響應，建立并撤除1次連接。

對客戶要求響應慢，網絡堵塞嚴重，安全性不佳。

HTTP 1.1（1997年）

流水方式，客戶端對同1服務器發出多個要求，并等待這些要求發送終了，再等待響應。

HTTP 1.1的服務器端處理要求時依照收到的順序進行，服務器端產生中斷時，會自動重傳要求。也就是我們所說的PipeLine模式。

有內容協商機制，提供了（1）身份驗證，（2）狀態管理，（3）Cache緩存機制。

HTTP2 (201502)

HTTP 2.0 首個 draft 已于 2012 年 11 月發布，2015年2月正式批準發布。它保證了與 HTTP 1.1 的完全語義兼容，最初斟酌的是 Google SPDY 協議、微軟的 SM 協議和 Network-Friendly HTTP 更新。終究各方推薦了 SPDY 協議，并在此基礎上進行了相應更新，詳細見后面介紹。

HTTP2協議的優勢

?多路復用

1個流上分配多個HTTP要求響應交換，流在很大程度上是相互獨立的，由于1個要求上的阻塞和終止不會影響其他要求的處理，相比HTTP1.x協議的PipeLine模式更加靈活。

?HEAD 緊縮

HTTP2中最基本的協議單位是幀。每一個幀都有不同的類型和用處。例如，報頭(HEADERS)和數據(DATA)幀組成了基本的http要求和響應。幀包括的HTTP報頭字段是緊縮的。HTTP要求有多是高度冗余的，因此緊縮能顯著減少要求和響應的大小，相比HTTP1.x傳輸大量的報文頭性能更高。

?服務器推送

添加了1種新的交互模式，即服務器能推送消息給客戶端。服務器推送允許服務端預測客戶端需要來發送相干數據內容，相比HTTP1.x按要求發送性能更高。

?優先級要求

流量控制和優先級確保正確使用復用流，流量控制有助于確保只傳播接受需要的數據，優先級確保有限的資源能被重要的要求使用，相比HTTP1.x按順序接收數據更加穩定高效。

HTTP1.x與HTTP2報文頭差異

通過分析發現HTTP1.X和HTTP2協議之間存在較大差異，詳細分析以下：

HTTP1.x

HTTP1.x協議中我們可以很容易提取出HTTP的頭部字段，以下紅色部份包括要求方法、主機域名地址、援用地址、客戶端信息等。圖1為HTTP1.x報文內容

GET /ebook/478d1a62376baf1ffc4fad99 HTTP/1.1

Accept: */*

Referer: http://www.csdn.net/article/2014-09⑴7/2821721

Accept-Language: zh-CN

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; .NET4.0C; .NET4.0E; InfoPath.3)

Accept-Encoding: gzip, deflate

Host: yuedu.baidu.com

圖1為HTTP1.x報文格式

HTTP2

    HTTP2協議中報文頭可以采取Haffman編碼，我們看到的報文頭信息都是2進制信息，以下為HTTP2協議的報頭幀，對報文幀數據進行解碼后內容以下：圖2為HTTP2報文格式

圖2 HTTP2報文格式

1、還原后報頭內容以下：

:authority = localhost:3000

:method = Get

:path = /doc/manual/html/index.html

:scheme = http

:accept = */*

:accept-encoding = gzip,deflate

:user-agent = nghttp..

詳細分析以下：

0000   50 52 49 20 2a 20 48 54 54 50 2f 32 2e 30 0d 0a

0010   0d 0a 53 4d 0d 0a 0d 0a 00 0c 04 00 00 00 00 00

0020   00 03 00 00 00 64 00 04 00 00 ff ff 00 39 01 05

0030   00 00 00 01 41 8a a0 e4 1d 13 9d 09 b8 c8 00 0f

0040   82 04 94 62 43 91 8a 47 55 a3 a1 89 d3 4d 0c 1a

0050   a9 0b e5 79 d3 4d 1f 86 53 03 2a 2f 2a 90 7a 8d

0060   aa 69 d2 9a c4 c0 17 6d 71 2d 7f 07 1f

分析還原：

1、連接敘言：

0000   50 52 49 20 2a 20 48 54 54 50 2f 32 2e 30 0d 0a

0010   0d 0a 53 4d 0d 0a 0d 0a

2、設置幀及數據

0010             00 0c 04 00 00 00 00 00

0020   00 03 00 00 00 64 00 04 00 00 ff ff

設置幀及數據內容

設置最大流數為96，滑動窗口大小65535

3、報頭幀及數據

0020                                    00 39 01 05

0030   00 00 00 01 41 8a a0 e4 1d 13 9d 09 b8 c8 00 0f

0040   82 04 94 62 43 91 8a 47 55 a3 a1 89 d3 4d 0c 1a

0050   a9 0b e5 79 d3 4d 1f 86 53 03 2a 2f 2a 90 7a 8d

0060   aa 69 d2 9a c4 c0 17 6d 71 2d 7f 07 1f

41：:authority
8a: len = 10 data = a0 e4  1d 13 9d 09 b8 c8 00 0f  data dec = localhost:3000

82: :method = Get

04: :path
94: len = 20 data 62 43 91 8a 47  55 a3 a1 89 d3 4d 0c 1a a9 0b e5 79 d3 4d 1f data dec /doc/manual/html/index.html

86: :scheme = http

53: :accept
03 len = 3 data = 2a 2f 2a */*

90: :accept-encoding = gzip,deflate
7a: :user-agent
8d: len = 13 data = aa 69 d2 9a c4 c0 17 6d  71 2d 7f 07 1f data dec = nghttp

HTTP2產生的影響

工具的影響

?  傳統的使用HTTP1.x的爬蟲工具沒法爬取并獲得到HTTP2的網頁內容信息。

?  傳統的攻防工具使用HTTP1.x的協議沒法對HTTP2網站進行滲透測試，沒法驗證原有攻擊是不是有效。

對業務的影響

?  利用辨認：目前我們只能辨認到HTTP2，還沒法對HTTP2協議進行細分辨認，如目前在HTTP1.x上，我們可以對Youku、愛奇藝等進行細分辨認，但對HTTP2還沒法做到細分。

?  URL分類：域名分類業務失效，傳統的網頁爬取工具緊支持HTTP1.x，對HTTP2網頁沒法還原獲得，與此同時URL分類引擎目前只能對HTTP1.x的HOST字段進行提取過濾，暫時不支持HTTP2。

?  WAF特點：傳統的HTTP1.x的檢測特點沒法對使用了HTTP2協議的SQL注入跨站等進行檢測。

?  IDP特點：傳統的HTTP1.x的特點沒法對使用了HTTP2協議的溢出、掃描等攻擊進行檢測。

?  病毒特點：病毒特點對HTTP2協議傳輸的病毒文件將沒法進行檢測。

對產品的影響：

使用了上面特點庫的產品或項目或多或少都會被HTTP2所沖擊，1旦HTTP2被大范圍推行使用，這將意味著現網所銷售的產品都將全面升級，影響范圍巨大。

應對策略

特點庫：在提取辨認和攻擊檢測規則時要重點斟酌HTTP1.x和HTTP2協議之間的差異，重點斟酌如何提取1個高質量的通用規則。

引擎開發：支持對HTTP2協議的解碼審計，目前利用安全研究部正在著手分析并開發對HTTP2協議的解碼審計功能，計劃在下半年落地到版本中。

產品：將HTTP2協議帶來的需求和挑戰落入版本，綜合斟酌影響，制定輸出全網解決方案，在大范圍推行使用HTTP2前，將現網版本逐漸升級，以此應對風險和挑戰。

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈