关于学习网络通讯协议的心得体会(二)

<imgsrc="https://img.alicdn.com/simba/img/TB1Wsq4OpXXXXaNXpXXSutbFXXX.jpg" data-rawwidth="459" data-rawheight="301" class="content_image" width="459" data-original="https://img.alicdn.com/simba/img/TB1Wsq4OpXXXXaNXpXXSutbFXXX.jpg">这里会发现，服务端会向客户端发送 CSS，java script 以及图片文件，而无需通知客户端，服务端知道客户端可能会需要什么。所以它使用 Server Push 发送多个响应给客户端。节省了 Round Trip ，此时就变成了一个，这里发现，服务端会向客户端发送 CSS，java script 以及图片文件，而无需通知客户端，服务端知道客户端可能会需要什么。所以它使用 Server Push 发送多个响应给客户端。节省了 Round Trip ，此时就变成了一个 Less chatty 的协议，同时也充分的利用了网络资源。

4. TCP

在 HTTP 开始之前 TCP 需要进行三次握手，来协商新连接的参数。这意味着在建立连接的时候，一个最简单的 HTTP 请求也需要 2 个 Round-Trip Time 才能完成 。

TCP Fast Open 允许应用在 TCP 握手期间（SYN 和 SYN+ACK packets）交换数据，这样可以减少一次 RTT，不幸的是目前只支持 Linux 以及 OSX，未来 TFO 在 HTTP上将会有更多巧妙的运用。

TFO 不保证与 SYN 数据包发送的数据将只出现一次;这是容易重复（由于重传），甚至被恶意的重放攻击。 因此，在一个 TFO 连接上使用 HTTP POST 并不是建立第一个请求的好主意。 并且，使用 GET 也依然会有很大的副作用，浏览器也没有好的办法来检测哪个 URL 可以做到这一点的。

5. TLS

在传输应用数据之前，客户端必须与服务端协商密钥、加密算法等信息，服务端还要把自己的证书发给客户端表明其身份，这些环节构成 TLS 握手过程，还没把客户端和服务端处理时间算进去。光是 TLS 握手就需要消耗两个 RTT（Round-Trip Time，往返时间）而 Session Tickets可以将 TLS 握手所需 RTT 减少到 1 个。

二、HTTP/2现状

虽然11%的占比看起来是一个非常低的采用率，但考虑到HTTP/2是一个在2015年刚刚诞生的新协议，而且目前所有主流的PC端和移动端浏览器都支持HTTP/2，所以现在的情况也算不错了。目前包括Google和Twitter在内的很多大型网站都开始使用HTTP/2了，而升级协议的主要驱动力在于网站希望给用户提供更好地性能体验。

使用HTTP/2之后，网站性能平均可以提升10%，而有的网站其效率甚至可以提升30-50个百分点。

三、HTTP/2现有问题

对于HTTP 2.0草案，HTTP 2.0在往返时延（RTT）上仍是一个问题，尤其是在移动网络方面。所以谷歌正在测试另一项协议，即QUIC。QUIC在TCP到UDP的网络转换上更加流畅。

导致RTT的因素有：信号传播延迟(光在光纤和铜介质导线中传播速度是不同的)、网络服务器端以及用户端路由器跨越的数量、路由器是否拥堵以及路由器自身容量等。这些都不是Web用户或服务器端可以控制的。

与此同时，客户端和服务器端处理网页的方式也会导致RTT，任何需要数据包传送的信号，即便数据包丢失或出错，都会增加客户端往返时延。所以这需要进行误差校正以及“数据包校验”，QUIC建议使用UDP传输代替TCP以避免TCP头线屏蔽。

四、HTTP/2产生的影响

1.工具的影响

传统的使用HTTP1.x的爬虫工具无法爬取并获取到HTTP2的网页内容信息。

传统的攻防工具使用HTTP1.x的协议无法对HTTP2网站进行渗透测试，无法验证原有攻击是否有效。

2.对业务的影响

应用识别：目前我们只能识别到HTTP2，还无法对HTTP2协议进行细分识别，如目前在HTTP1.x上，我们可以对Youku、爱奇艺等进行细分识别，但对HTTP2还无法做到细分。

URL分类：域名分类业务失效，传统的网页爬取工具紧支持HTTP1.x，对HTTP2网页无法还原获取，与此同时URL分类引擎目前只能对HTTP1.x的HOST字段进行提取过滤，暂时不支持HTTP2。

WAF特征：传统的HTTP1.x的检测特征无法对使用了HTTP2协议的SQL注入跨站等进行检测。

IDP特征：传统的HTTP1.x的特征无法对使用了HTTP2协议的溢出、扫描等攻击进行检测。

病毒特征：病毒特征对于HTTP2协议传输的病毒文件将无法进行检测。

3.对产品的影响

使用了上面特征库的产品或项目或多或少都会被HTTP2所冲击，一旦HTTP2被大范围推广使用，这将意味着现网所销售的产品都将全面升级，影响范围巨大。

4.应对策略

特征库：在提取识别和攻击检测规则时要重点考虑HTTP1.x和HTTP2协议之间的差异，重点考虑如何提取一个高质量的通用规则。

引擎开发：支持对HTTP2协议的解码审计，目前应用安全研究部正在着手分析并开发对HTTP2协议的解码审计功能，计划在下半年落地到版本中。

产品：将HTTP2协议带来的需求和挑战落入版本，综合考虑影响，制定输出全网解决方案，在大范围推广使用HTTP2前，将现网版本逐步升级，以此应对风险和挑战

五、总结

HTTP/2和TLS组合可以提升你的站点性能，并且让用户觉得你的网站很安全。无论是率先在自己的应用里实现HTTP/2，还是要赶超竞争对手，都可以又快又好地实现对HTTP/2的支持。