如何判断数据包为http协议的GET请求包？

Godbach

原帖由 qtdszws 于 2008-8-28 16:47 发表
放入内核？那你可以参考v2.4中khttpd

对，我这个要在内核实现。LS是指2.4内核中的这个文件吗

dreamice

原帖由 Godbach 于 2008-8-27 17:54 发表
rt.偶想对http协议中的GET请求的数据包做自己的处理，因此涉及到如何判断为该种类型的数据包。
这里涉及到两个地方需要判断：
1. 如何判断是http协议；
2. 如何判断是Get请求。

大家有什么思路，讨论一下啊。

应用层协议数据分析，分析关键字。单从连接的五元组来看，似乎分析比较困难。

Godbach

原帖由 dreamice 于 2008-8-28 17:33 发表


应用层协议数据分析，分析关键字。单从连接的五元组来看，似乎分析比较困难。

我这部分功能准备在内核中实现，如果分析应用数据，是不是会导致内核模块的效率变低啊

dreamice

原帖由 Godbach 于 2008-8-29 14:20 发表


我这部分功能准备在内核中实现，如果分析应用数据，是不是会导致内核模块的效率变低啊

肯定对效率是有影响的，而且本身没有先兆特征，等于说每一个包都要去分析，网络流量大的时候，就可想而知了。

[ 本帖最后由 dreamice 于 2008-8-29 15:04 编辑 ]

Godbach

原帖由 dreamice 于 2008-8-29 14:30 发表


肯定对效率是有影响的，而且本身没有先兆特征，等于说没有一个包都要去分析，网络流量大的时候，就可想而知了。

看来，有可能还要加一些状态分析啊

kwest

1.先分析目的端口号是否为80，绝大多数http协议都是用这个端口。
2.再分析TCP协议的状态是否是在三次握手以后。
3.最后分析应用层关键字，比如读出的第一行数据是否是:GET / HTTP/1.1，这个可以参考RFC文档中关于http协议的描述。

Godbach

原帖由 kwest 于 2008-9-1 19:50 发表
1.先分析目的端口号是否为80，绝大多数http协议都是用这个端口。
2.再分析TCP协议的状态是否是在三次握手以后。
3.最后分析应用层关键字，比如读出的第一行数据是否是:GET / HTTP/1.1，这个可以参考RFC文档中 ...

多谢LS的，说的很详细。
对于第1点，有可能再加上8080的分析。
对于第3点，我觉得人家未必请求的一定是缺省的页，所以还是判定GET 以及 HTTP/1.1应该就可以了吧

jaycu

其实现在性能是一个大问题，这样对每个包都分析应用层关键字对性能有很大损失。
个人愚见：
    用类似于conntrack，基于连接的思想，对每个连接开始的N个包（N<20）进行应用层匹配检查，然后其余的包只检查源目的ip、port，就可以看作同一条连接。这样可以优化应用层检查的性能损失。

我没试过，只是个人觉得应该可以这样。
至于是Get还是Post，暂时还没想到可以优化性能的辙

欢迎大家拍砖

Godbach

原帖由 jaycu 于 2008-9-2 10:34 发表
其实现在性能是一个大问题，这样对每个包都分析应用层关键字对性能有很大损失。
个人愚见：
    用类似于conntrack，基于连接的思想，对每个连接开始的N个包（N

也就是需要保存一些链接的状态，如果刚开始的连接通过了，以后查询状态就可以了。如果状态中没有的，在经过自己的代码进行处理。。

dreamice

原帖由 jaycu 于 2008-9-2 10:34 发表
其实现在性能是一个大问题，这样对每个包都分析应用层关键字对性能有很大损失。
个人愚见：
    用类似于conntrack，基于连接的思想，对每个连接开始的N个包（N

实际的很多协议分析的产品都是这么做的。在没有识别之前，利用应用层的关键字进行判断，当识别出来后，就添加相应的conntrack连接，这样以后只需要在内核识别就可以了，而不需要每次都分析应用层数据来判断。可以说，应用层的协议通过数据关键字判断分析，优先级放到最低，如果netfilter能够通过五元组识别了，那么就无需分析应用层数据了。