传统的SQL注入攻击,WAF可以轻松拦截。但如果攻击者把SQL语句拆成几十个“小碎片”,分块发送,你的WAF还能认出来吗?这就是chunked编码注入——一种专门用来绕过WAF检测的高级攻击手法。今天我们就来详细拆解这种攻击的原理,并介绍百度云防护如何用一条规则(规则ID 4207)精准拦截它。
一、 什么是chunked编码注入?
1.1 分块传输编码(Chunked Transfer Encoding)
HTTP协议中,有一种传输方式叫“分块传输编码”(Chunked Transfer Encoding)。它允许服务器将响应分成多个“块”发送,每个块前面标注了该块的大小。这种方式常用于动态生成内容,服务器不必提前知道内容总长度。
正常格式如下:
HTTP/1.1 200 OK
Transfer-Encoding: chunked
25
这是第一个数据块的内容
1A
这是第二个数据块的内容
01.2 攻击者如何利用?
攻击者将恶意SQL语句拆分成多个小块,通过分块传输编码发送给服务器。传统的WAF通常是在接收到完整请求后才进行检测。如果攻击者把SQL语句拆成几十个小块,WAF可能只看到每个小块(单独看都是无害的),从而漏过完整的攻击载荷。
示例:攻击者想注入' OR 1=1 --,可以拆成:
块1: ' O
块2: R 1
块3: =1 -
块4: -每个小块单独看都不是SQL注入,但拼接起来就是致命攻击。
这种手法被称为 “chunked SQL注入”,是高级攻击者绕过WAF的常用手段。
二、 为什么传统WAF容易漏掉chunked注入?
2.1 检测时机问题
大部分WAF在完整请求接收后才进行检测。chunked编码的请求是边传边处理,如果攻击者控制发送速度,WAF可能无法在请求结束前获得完整载荷。
2.2 性能开销大
如果需要重组每个chunked请求再进行检测,会消耗大量CPU和内存资源。很多WAF为了性能,选择不完全重组,从而留下检测盲区。
2.3 编码混淆
攻击者还可以结合其他编码(如URL编码、Base64)进一步混淆,让chunked块更难被识别。
三、 百度云防护如何拦截chunked注入?
从截图可以看到,百度云防护的内置规则库中,专门有一条针对chunked注入的规则:
| 规则名称 | 规则ID | 风险等级 | 防护类型 | 规则描述 |
|---|---|---|---|---|
| Injection.mysql_chunked_inject | 4207 | 中风险 | 注入 | 检测使用chunked模式对MySQL进行注入攻击 |
这条规则的工作原理如下:
3.1 完整重组分块数据
百度云防护WAF在接收到chunked编码请求时,先完整重组所有数据块,还原出完整的HTTP请求体,再进行检测。这确保了攻击者无法通过分块来绕过检测。
3.2 深度SQL语法解析
重组后的请求体,会经过百度自研的SQL语义分析引擎,而不是简单的关键词匹配。即使攻击者将SQL语句拆得很碎、混入注释或编码,引擎也能通过分析SQL语法结构,识别出恶意意图。
3.3 高性能实现
百度云防护采用分布式边缘节点架构,重组和检测都在CDN节点上完成,不影响源站性能。即便攻击者发送大量chunked请求,每个节点也能独立完成检测,不造成单点瓶颈。
3.4 低误报保障
规则经过海量真实流量训练,对正常分块传输(如文件上传、大数据提交)影响极小。只有在检测到SQL语法结构异常时才会拦截。
四、 规则实战效果
在真实攻击场景中,这条规则的表现如何?
- 拦截率:针对已知chunked注入工具(如sqlmap的
--chunked选项),规则可以100%拦截。 - 绕过尝试:攻击者尝试改变分块大小、顺序、混合编码,均被引擎识别。
- 性能影响:边缘节点处理,源站无感知,正常请求不受影响。
- 误报情况:极少,仅极少数特殊业务(如长文本提交)可能触发,可通过白名单放行。
五、 如何启用这条规则?
如果你已经接入百度云防护,只需两步:
- 登录百度云防护控制台 → 防护配置 → Web防护 → 内置规则
- 搜索规则ID 4207,确认状态为“开启”,动作为“拦截”(或先设为“观察”测试)
如果你还没接入,欢迎联系主机吧,我们提供免费安全评估和配置指导,5分钟帮你开启全面防护。
六、 延伸思考:chunked注入只是冰山一角
chunked注入只是SQL注入众多绕过技术的一种。攻击者还有:
- 编码绕过:Hex、Base64、Unicode编码
- 注释混淆:
/**/、--、#绕过空格过滤 - 等价替换:
AND换&&,=换LIKE - 时间盲注、布尔盲注、DNS外带……
百度云防护的WAF规则库(共973条)覆盖了这些所有变种。从基础防护到高级绕过,从SQL注入到XSS、XXE、SSTI,百度云防护已经为你筑好了完整的防线。
最后问一句:你的WAF,能挡住chunked注入吗?如果不能,现在就该行动了。
主机吧 | 百度云防护官方合作伙伴
提供WAF接入、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让每一种注入都无处遁形,让每一次攻击都无功而返。
