Im Beitrag HTTP-Header erwartete Anzahl Zeilen haben wir diskutiert, welche Anzahl an Header-Zeilen in HTTP-Anfragen durch einen Webbrowser erwartet werden können. Diese statistische Auswertung ist von Wichtigkeit, wenn es darum geht, mittels Proxy und mod_security eine Hochsicherheitslösung zu schaffen.

Eine Betrachtung der gleichen Art fokussiert sich auf die erwartete Grösse der HTTP-Header, wie sie bei regulären GET-Anfragen beobachtet werden können. Auch hier liegen uns statistische Werte, die eine Ableitung zulassen, vor.

Insgesamt wurden die Header von 65’536 GET-Anfragen in einem Zeitraum von 4 Tagen protokolliert. Dies geschah auf computec.ch, wo mittels PHP ein Skript bei jedem Aufruf inkludiert wurde, welches die jeweiligen Header protokolliert hat. Als Basis wurde die entsprechende Funktion des browserrecon project verwendet.

Zuerst war es fragwürdig, ob und inwiefern doppelte Anfragen bzw. Anfragen gleicher Clients berücksichtigt werden sollten. Um ein möglichst realitätsnahes Abbild der Browserlandschaft darlegen zu können, wurde auf eine Bereinigung – diese hätte sowieso nur geringe Abweichungen aufgezeigt – verzichtet. Es wurden jedoch absichtlich offensichtliche Anfragen des reinen Zwecks eines Angriffs nach Möglichkeiten ausgeklammert (z.B. sehr lange Anfragen).

Die gezeigte Abbildung illustriert die Anfragesequenzen für die ersten 20’000 Anfragen. Hierbei ist sehr schön zu beobachten, wie längere Besuche, die mehrere Anfragen zur Folge haben, herauskristallisiert werden können. Dies ist anhand der horizontalen Verläufe auszumachen. Dabei fallen auch schon die typischen Wertbereiche ins Auge. Die minimale Header-Länge der beobachteten GET-Anfragen betrug 22 Bytes und die maximale beobachtete Länge betrug 1’679 Bytes. Als Durchschnittswert konnte 294.33 Bytes ausgemacht werden.

Die detaillierte Analyse der Grössenverteilung zeigt einzelne Spitzen auf, die auf populäre Implementierungen zurückzuführen sind. Sie ist in nachfolgender Grafik ersichtlich. Die höchste Anzahl von 16’016 Anfragen (24.44%) ist bei 201-210 auszumachen. Der zweithöchste Ausschlag findet sich mit 6’964 Anfragen (10.63%) bei 441-450 und der dritthöchste mit 4’543 Anfragen (6.93%) bei 251-260.

Aufgrund der mehrfachen Ausschläge in verschiedenen Wertebereichen ist es nicht einfach, eine absolute Empfehlung auszusprechen. Man kann jedoch sagen, dass HTTP GET Header mit einer Grösse über 800 Bytes im Alltag nicht vorkommen, deshalb genau untersucht oder verworfen werden sollten. In den meisten Fällen werden sie für Auswertungen und Angriffe eingesetzt werden.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• https://www.computec.ch
• https://www.computec.ch/projekte/browserrecon/