專利名稱:防范cc攻擊的方法和設備的制作方法
技術領域:
本發(fā)明涉及網絡安全技術���,特別涉及防范挑戰(zhàn)黑洞(CC :ChalIengeCollapsar)攻 擊的方法和設備��。
背景技術:
隨著計算機網絡尤其是因特網(Internet)在全球的普及和深入����,計算機網絡技 術在各行各業(yè)中得到推廣和普及��。然而�,網絡應用的快速發(fā)展以及網絡規(guī)模的急劇膨脹,使 得網絡中的安全漏洞無處不在�����,網絡攻擊正是利用這些存在的安全漏洞對目標服務器進行 攻擊���。近年來流行的CC攻擊就是網絡攻擊的一種��。所謂CC攻擊是一種基于頁面的分布式拒絕服務(DDOS :DistributedDenial of Service)攻擊�����,其通過不斷發(fā)送耗性能的請求報文來消耗目標服務器的性能資源�,CC攻擊 的原理如圖1所示,攻擊者利用網絡中的多臺代理服務器多次向目標服務器發(fā)送耗性能的 請求報文��,導致目標服務器不斷執(zhí)行大量計算����,很快達到自身的處理能力極限,從而拒絕所 有用戶的服務請求�����。從單個CC攻擊來看���,CC攻擊者對目標服務器的攻擊與合法用戶發(fā)送請求報文訪 問目標服務器完全一樣��。如此����,目標服務器并不能正確區(qū)分接收的請求報文哪些是CC攻 擊者發(fā)送的請求報文,哪些是合法用戶發(fā)送的請求報文�。針對這種情況,現(xiàn)有的防范CC攻 擊的方法是在被保護的目標服務器之前設置安全設備����,由安全設備控制單位時間內訪問目 標服務器的請求報文的個數��,即在單位時間內只允許預設值N個請求報文來訪問目標服務 器�。但是,這種現(xiàn)有的防范CC攻擊的方法中�,如果N比較大,就可能會導致過多的CC攻擊 者發(fā)送的請求報文混入�,如此,不能對CC攻擊進行有效的防范�;而如果N比較小,就會導致 合法用戶的訪問受到限制��,達到了攻擊者讓服務器拒絕服務的目的�����?��?梢钥闯?�,一種有效防范CC攻擊的方法是當前亟待解決的技術問題���。
發(fā)明內容
本發(fā)明提供了一種防范CC攻擊的方法和設備�����,以便有效防范CC攻擊��,實現(xiàn)對目標 服務器的有效保護���。—種防范CC攻擊的方法����,在客戶端和被保護的目標服務器之間設置安全設備;所 述安全設備執(zhí)行以下步驟A���,接收到來自客戶端發(fā)送的請求報文時����,確定該接收的請求報文所攜帶的動作標 識1 ���;B�����,從預先配置的動作標識和目標服務器單位時間內執(zhí)行動作標識對應的動作的 閾值之間的對應關系中確定出動作標識1對應的閾值���,根據確定的閾值判斷當前單位時間 內是否要將所述請求報文發(fā)送給目標服務器�����,如果是�����,在當前單位時間內將所述請求報文 發(fā)送給所述目標服務器;否則�����,在當前單位時間內丟棄所述請求報文�。一種防范CC攻擊的設備,該設備設置在被保護的目標服務器之前���,包括動作標識確定單元��、判斷單元�����、發(fā)送單元和丟棄單元����;
所述動作標識確定單元用于接收來自客戶端發(fā)送的請求報文,確定該接收的請求 報文所攜帶的動作標識1 ���;所述判斷單元用于從預先配置的動作標識和目標服務器單位時間內執(zhí)行動作標 識對應的動作的閾值之間的對應關系中確定出動作標識1對應的閾值�,根據確定的閾值判 斷當前單位時間內是否要將所述請求報文發(fā)送給目標服務器��;所述發(fā)送單元用于在所述判斷單元的判斷結果為是時���,在當前單位時間內發(fā)送所 述請求報文給所述目標服務器����;所述丟棄單元用于在所述判斷單元的判斷結果為否時���,在當前單位時間內丟棄所 述請求報文�。由以上技術方案可以看出��,本發(fā)明提供的防范CC攻擊的方法和設備中���,在客戶端 和被保護的目標服務器之間設置安全設備�����;當安全設備接收到來自客戶端發(fā)送的請求報文 時�����,確定該接收的請求報文所攜帶的動作標識1 �����;從預先配置的動作標識和目標服務器單 位時間內執(zhí)行動作標識對應的動作的閾值之間的對應關系中確定出動作標識1對應的閾 值��,根據確定的閾值判斷當前單位時間內是否要將所述請求報文發(fā)送給目標服務器���,如果 是,在當前單位時間內將所述請求報文發(fā)送給所述目標服務器�����;否則�����,在當前單位時間內丟 棄所述請求報文。這種方式有針對性的對攜帶各個動作標識的各個請求報文進行限制�,相 比于現(xiàn)有技術,能夠有效防范CC攻擊�����,實現(xiàn)對目標服務器的有效保護�。
圖1為現(xiàn)有技術中CC攻擊的示意圖;圖2是本發(fā)明實施例中防范CC攻擊的基本流程圖�;圖3a是本發(fā)明實施例中防范CC攻擊的詳細流程圖;圖北是本發(fā)明實施例中配置動作標識和目標服務器執(zhí)行該動作標識對應的動作 的閾值之間對應關系的流程圖��;圖4是本發(fā)明實施例中防范CC攻擊的設備結構圖�。
具體實施例方式為了使本發(fā)明的目的、技術方案和優(yōu)點更加清楚���,下面結合附圖和具體實施例對 本發(fā)明進行詳細描述�����。本發(fā)明實施例在客戶端和被保護的目標服務器之間設置安全設備�����,該安全設備所 執(zhí)行的主要方法可以如圖2所示�,主要包括以下步驟步驟201,接收到來自客戶端發(fā)送的請求報文時�,確定接收的請求報文攜帶的動作 標識。這里���,請求報文攜帶的動作標識與目標服務器在接收到該動作標識時所執(zhí)行的動 作對應��。通常���,動作標識可用數字代碼或者關鍵字等來表示,比如���,動作標識010201表示目 標服務器執(zhí)行檢索數據庫的動作���,動作標識010202表示目標服務器執(zhí)行數據排序輸出的 動作等。這里����,為便于描述����,將步驟201確定出的動作標識記為動作標識1。步驟202,從預先配置的動作標識和目標服務器單位時間內執(zhí)行動作標識對應的動作的閾值之間的對應關系中確定出動作標識1對應的閾值���,根據確定的閾值判斷當前單 位時間內是否要將所述請求報文發(fā)送給目標服務器����,如果是���,執(zhí)行步驟203;否則����,執(zhí)行步 驟 204��。這里��,單位時間可為1秒或者為1分鐘����,本發(fā)明實施例并不具體限定。目標服務器單位時間內執(zhí)行動作標識對應的動作的閾值具體實現(xiàn)時可有多種形 式��,比如�����,可為目標服務器單位時間內執(zhí)行動作標識對應的動作的個數閾值或者為用于表 示攜帶該動作標識的請求報文直接發(fā)送給目標服務器的標識值等,本發(fā)明實施例并不具體 限定�,其中,根據確定的閾值判斷當前單位時間內是否要將所述請求報文發(fā)送給目標服務 器的具體操作可參見圖3a所示的步驟30 至步驟308a���,這里不再詳述����。步驟203�,在當前單位時間內將所述請求報文發(fā)送給所述目標服務器。這里����,本步驟203中發(fā)送的請求報文攜帶了動作標識1。步驟204�����,在當前單位時間內丟棄所述請求報文�。
至此,實現(xiàn)了本發(fā)明實施例提供的方法的基本流程�。為使本發(fā)明實施例提供的方法更加清楚,下面結合具體實施例對上述方法進行詳 細描述����。參見圖3a,圖3a為本發(fā)明實施例提供的詳細方法流程圖�����。如圖3a所示���,該方法可 以包括以下步驟步驟301a��,預先配置動作標識和目標服務器單位時間內執(zhí)行動作標識對應的動作 的閾值之間的對應關系����。這里�,步驟301a中的對應關系的配置操作具體可參見圖北所示,包括步驟301b����,針對目標服務器能夠執(zhí)行的每一動作,判斷目標服務器執(zhí)行該動作 所耗費的時間是否大于等于預設的耗費時間�,如果是,則執(zhí)行步驟30 ;否則�,執(zhí)行步驟 302b。通常��,目標服務器的管理員對目標服務器的性能都有一定的了解��,比如,了解目標 服務器能夠執(zhí)行的各個動作(其中�����,該動作具體用動作標識來表示����,比如表示該動作的特 征碼或者關鍵字),以及執(zhí)行各個動作所耗費的時間等���,如此�����,本發(fā)明實施例中�,可根據管理 員對目標服務器性能的了解確定出目標服務器能夠執(zhí)行的各個動作�����,以及執(zhí)行各個動作時 所耗費的時間����。之后,針對每一動作�����,判斷目標服務器執(zhí)行該動作所耗費的時間是否大于等 于預設的耗費時間,其中��,預設的耗耗費時間可為預先獲知的所有耗費時間的平均值���,或者 為設定的一個固定值比如0. 001秒或者為其他值,本發(fā)明實施例并不具體限定���。為便于描 述��,這里將耗費時間大于等于預設的耗費時間的動作記為動態(tài)動作�����,而將耗費時間小于預 設的耗費時間的動作記為靜態(tài)動作���。步驟302b,配置該動作對應的動作標識和表示攜帶該動作標識的請求報文直接發(fā) 送給目標服務器的標識值之間的對應關系����。這里,步驟302b是在步驟301b判斷出該動作為靜態(tài)動作時執(zhí)行的���。本步驟302b 之所以在確定出靜態(tài)動作后��,配置該靜態(tài)動作的標識對應的閾值為表示攜帶該靜態(tài)動作標 識的請求報文直接發(fā)送給目標服務器的標識值�����,是因為靜態(tài)動作耗費目標服務器的時間比 較短�����,相應地����,耗費目標服務器的性能資源也會比較少,通常攻擊者為達到攻擊目標服務器 的目的���,不會發(fā)送由目標服務器執(zhí)行靜態(tài)動作的請求報文���,因此,本實施例可在接收到攜帶靜態(tài)動作標識的請求報文后����,直接發(fā)送該請求報文給目標服務器,即設置該靜態(tài)動作標識 對應的閾值為用于表示攜帶該靜態(tài)動作標識的請求報文直接發(fā)送給目標服務器的標識值����。 這里標識值可為數值“0”���,也可為一個以上的字符,本發(fā)明實施例并不具體限定����。至此��,結束 與該動作有關的對應關系的配置��。步驟30北�����,確定目標服務器單位時間內執(zhí)行該動作的最大個數��。之后����,執(zhí)行步驟 304b。這里���,步驟30 是在步驟301b判斷出該動作為動態(tài)動作時執(zhí)行的����。其中,目標服 務器單位時間內執(zhí)行該動作的最大個數具體為單位時間與該動作的耗費時間的比值���。比 如����,若目標服務器能夠執(zhí)行的動態(tài)動作分別為動作1和動作2�����,其中�����,動作1和動作2的耗費 時間分別為0. 01秒和0. 005秒�����,如果單位時間為秒����,則目標服務器每秒內最多執(zhí)行1/0. 01 =100個動作1和1/0. 005 = 200個動作2,也就是說,目標服務器每秒內執(zhí)行動作1的最 大個數為1/0. 01 = 100��,執(zhí)行動作2的最大個數為1/0. 005 = 200����。步驟304b,按照單位時間內不使目標服務器的總性能資源完全被消耗的原則設置 單位時間內該動作占用目標服務器的性能資源值�。這里,該動作的性能資源值為該動作單 位時間內被允許占用目標服務器的性能資源與目標服務器總性能資源的比值�����。比如����,若目標服務器能夠執(zhí)行的動作分別為動作1和動作2���,則可按照步驟304b中 的原則分別設置單位時間內動作1和動作2占用目標服務器的性能資源值���,比如,設置動作 1單位時間內占用目標服務器的性能資源值為30%�,設置動作2單位時間內占用目標服務 器的性能資源值為20%。這里�,為保證目標服務器的靈活性,本步驟304b中,可設置單位時間內各個動作 占用目標服務器的性能資源值的總和小于100%�。步驟30 ,確定目標服務器單位時間內執(zhí)行該動作的最大個數和設置的該動作單 位時間內占用目標服務器的性能資源值的乘積為目標服務器單位時間內執(zhí)行該動作的個 數閾值����。比如,若目標服務器單位時間內執(zhí)行動作1的最大個數為100�,步驟304b中設置出 單位時間內動作1占用目標服務器的性能資源值為30%,則本步驟30 中目標服務器單位 時間內執(zhí)行動作1的個數閾值為100*30%= 30��,也就是說����,目標服務器單位時間內最多只 能執(zhí)行30個動作1。如此�����,通過上述步驟30 至步驟30 ����,實現(xiàn)了目標服務器單位時間內執(zhí)行各個動 態(tài)動作對應的個數閾值的操作。步驟306b��,配置該動作對應的動作標識與目標服務器單位時間內執(zhí)行該動作的個 數閾值之間的對應關系���。至此���,通過上述步驟30 至步驟306b實現(xiàn)了與動態(tài)動作有關的對應關系的配置�。步驟30 ���,安全設備接收到請求報文時�,確定該請求報文攜帶的動作標識�。本實施例中,為便于描述����,將步驟30 確定的請求報文攜帶的動作標識記為動作 標識1。這里�����,請求報文的格式可與現(xiàn)有技術中HTTP請求報文的格式類似�����。為便于描述���, 這里以請求報文為HTTP請求報文為例。需要說明的是,通常����,有些客戶端發(fā)送的HTTP請求報文可能沒有攜帶動作標識,本實施例中�,針對不攜帶動作標識的HTTP請求報文,可直接發(fā)送該HTTP請求報文給目標服 務器����;或者,預先設置目標服務器單位時間內處理的請求報文的總數閾值�,其中,該總數閾 值為目標服務器單位時間內處理的請求報文的最大個數����,由網絡帶寬資源確定,目的是為 了保證網絡不出現(xiàn)擁塞現(xiàn)象�,如此,可先判斷當前所處的單位時間內已發(fā)送給目標服務器 的HTTP請求報文的總數是否達到預設的總數閾值���,如果是��,則執(zhí)行下述步驟307a�����,如果否�, 在當前時間內將該接收的HTTP請求報文發(fā)送給目標服務器。步驟303a���,判斷步驟301a配置的對應關系中是否存在動作標識1�����,如果是��,執(zhí)行步 驟3(Ma ���;否則,執(zhí)行步驟309a��。步驟30 �,確定動作標識1對應的閾值為目標服務器單位時間內執(zhí)行動作標識1 對應的動作的個數閾值還是為用于表示攜帶動作標識1的請求報文直接發(fā)送給目標服務 器的標識值,如果是個數閾值��,則執(zhí)行步驟306a �;如果是標識值���,則執(zhí)行步驟30fe��。步驟30 ��,在當前單位時間內將攜帶了動作標識1的HTTP請求報文發(fā)送給目標服務器�。優(yōu)選地,如果本實施例預先設置了目標服務器單位時間內處理的請求報文的總數 閾值���,則本步驟30 具體為判斷當前單位時間內已發(fā)送給目標服務器的所有HTTP請求報 文的總數是否達到預設的總數閾值�,如果是���,執(zhí)行下述步驟307a��,否則�����,發(fā)送該接收的攜帶 了動作標識1的HTTP請求報文給目標服務器��。至此�,結束當前接收的報文訪問目標服務器 的流程�。步驟306a,判斷當前所處的單位時間內已發(fā)送給目標服務器的攜帶了動作標識1 的HTTP請求報文的個數是否達到所述對應關系中動作標識1對應的個數閾值����,如果是��,執(zhí) 行步驟307a �����;否則�,執(zhí)行步驟308a�。需要說明的是,本領域技術人員知道�,CC攻擊者為隱蔽身份,通常經由客戶端和安 全設備之間設置的代理服務器發(fā)送HTTP請求報文��,為有效防范CC攻擊�,本實施例步驟301a 中預先配置的對應關系中如果動作標識對應的閾值為目標服務器單位時間內執(zhí)行動作標 識對應的動作的個數閾值,則該個數閾值具體可包含不經由代理服務器轉發(fā)的攜帶該動作 標識的請求報文的第一個數閾值和經由代理服務器轉發(fā)的攜帶該動作標識的請求報文的 第二個數閾值����;其中,由于CC攻擊者通常經由代理服務器發(fā)送HTTP請求報文����,可設置第一 個數閾值大于等于第二個數閾值。這里����,經由代理服務器發(fā)送的HTTP請求報文通常含有特征字段 Χ-Forwarded-FOR,而不經由代理服務器發(fā)送的HTTP請求報文一般不含有特征字 段X-Forwarded-FOR,因此���,可根據當前接收的HTTP請求報文是否含有特征字段 Χ-Forwarded-FOR來確定經由代理服務器發(fā)送的HTTP請求報文和不經由代理服務器發(fā)送 的HTTP請求報文����。如此��,步驟306a可包括判斷接收的攜帶了動作標識1的請求報文是經 由代理服務器發(fā)送的還是不經由代理服務器發(fā)送的���,如果是經由代理服務器發(fā)送的��,則判 斷當前單位時間內已發(fā)送給目標服務器的動作標識1是否達到動作標識1對應的第二個數 閾值����;如果是�,執(zhí)行步驟307a ;否則�����,執(zhí)行步驟308a �;如果是不經由代理服務器發(fā)送的,則判 斷當前單位時間內已發(fā)送給目標服務器的動作標識1是否達到動作標識1對應的第一個數 閾值���,如果是�,執(zhí)行步驟307a ;否則�,執(zhí)行步驟308a。步驟307a���,在當前單位時間內丟棄接收的HTTP請求報文��。至此����,結束當前接收的報文訪問目標服務器的流程�����。步驟308a���,在當前單位時間內發(fā)送HTTP請求報文給目標服務器����。如果本實施例預先設置了目標服務器單位時間內處理的請求報文的總數閾值�,則 本步驟308a具體包括判斷當前所處的單位時間內已發(fā)送給目標服務器的所有請求報文 的總數是否達到預設的總數閾值,如果是,執(zhí)行上述步驟307a的操作�����;否則���,發(fā)送該接收的 HTTP請求報文給目標服務器。其中����,在發(fā)送接收的HTTP請求報文給目標服務器時,安全設 備為便于獲知當前單位時間內已發(fā)送給目標服務器的HTTP請求報文的個數和動作標識1 的個數�,還可進一步對發(fā)送的HTTP請求報文攜帶的動作標識1和對發(fā)送的HTTP請求報文 進行計數。至此��,結束當前接收的報文訪問目標服務器的流程���。步驟309a����,記錄接收到該HTTP請求報文的時間�,之后,將該HTTP請求報文發(fā)送給 目標服務器����。執(zhí)行到本步驟309a時�����,如果本實施例預先設置了目標服務器單位時間內處理的 請求報文的總數閾值�,則本步驟309a還需要判斷當前所處的單位時間內已發(fā)送給目標服 務器的所有請求報文的總數是否達到預設的總數閾值����,如果是,丟棄該接收的HTTP請求報 文給目標服務器���;否則���,發(fā)送該接收的HTTP請求報文給目標服務器。這里以當前所處的單 位時間內已發(fā)送給目標服務器的所有請求報文的總數還未達到預設的總數閾值為例進行 描述�。如此,目標服務器可接收到HTTP請求報文����,之后,根據該HTTP請求報文攜帶的動作 標識1執(zhí)行相應的動作��,當完成該HTTP請求報文攜帶的動作標識1對應的動作后����,返回該 HTTP請求報文對應的響應報文���。本步驟309a是在步驟303a判斷出步驟301a配置的對應關系中不存在動作標識 1時執(zhí)行的,之所以出現(xiàn)這種情況�,主要是因為根據步驟301a中的描述可以知道步驟301a 配置的對應關系主要依賴于管理員對目標服務器的了解,如果管理員不了解目標服務器還 能執(zhí)行動作標識1對應的動作����,則步驟303a就會判斷出步驟301a配置的對應關系中不存 在動作標識1�,如此,執(zhí)行本步驟309a�。需要說明的是,如果本步驟309a中HTTP請求報文是CC攻擊者發(fā)送的報文�����,由于 CC攻擊者剛開始并不知道哪一動作比較消耗目標服務器的性能資源����,因此,其需要通過發(fā) 送HTTP請求報文來學習哪一動作比較消耗目標服務器的性能資源��;之后�����,根據學習的結果 才會連續(xù)不斷地發(fā)送消耗目標服務器的性能資源比較大的請求報文。也就是說����,CC攻擊者 由于事先不知道消耗目標服務器性能資源比較大的動作,因此�,在其學習過程中不可能連 續(xù)不斷地發(fā)送HTTP請求報文,如此����,本實施例可以趁攻擊者學習的時機確定出耗性能比較 大的動作,并設置單位時間內該動作的個數閾值�,具體參見步驟310a至步驟313a。步驟310a�,接收目標服務器所返回的響應報文,記錄接收到該響應報文的時間��。步驟311a���,根據記錄的接收到響應報文的時間和與該響應報文對應的HTTP請求 報文的時間��,計算目標服務器執(zhí)行該HTTP請求報文攜帶的動作標識1對應的動作耗費的時 間���。本步驟311a中�����,安全設備可按照現(xiàn)有技術確定出接收的HTTP響應報文與已接收 的哪一個HTTP請求報文對應���,之后,查找到已記錄的與該HTTP響應報文對應的HTTP請求 報文的時間��。
這里���,步驟311a中計算的動作標識1對應的動作的耗費時間具體可為記錄的接收 到響應報文的時間和與該響應報文對應的且攜帶了動作標識1的HTTP請求報文的時間的差值��。步驟312a,判斷步驟311a計算出的耗費時間是否大于等于預設的耗費時間��,如果 是����,執(zhí)行步驟313a ;否則����,執(zhí)行步驟3Ha。步驟313a���,確定動作標識1和目標服務器單位時間內執(zhí)行動作標識1對應的動作 的個數閾值之間的對應關系�,將該得到的對應關系添加到預先配置的對應關系中。這里��,步驟313a中確定對應關系的操作具體實現(xiàn)時可與圖北所示的步驟30 至 步驟306b類似,具體包括步驟1����,根據計算出的耗費時間確定目標服務器單位時間內執(zhí)行該HTTP請求報文 攜帶的動作標識對應的動作的最大個數�����。這里���,步驟313a中的確定操作與圖北中的步驟30 中的操作類似��,這里不再贅 述����。步驟2��,根據已設置的各個動作的性能資源值并按照單位時間內不使目標服務器 的性能資源完全被消耗的原則���,設置接收的HTTP請求報文攜帶的動作標識1對應的動作的 性能資源值����。這里,根據步驟304b中的描述�����,可以知道����,配置對應關系時所設置的各個動作占 用目標服務器的性能資源值的總和并沒有完全占用目標服務器的性能資源,因此�,執(zhí)行到 本步驟2時,可從目標服務器剩下的性能資源中設置接收的HTTP請求報文所攜帶的動作標 識1對應的動作的性能資源值���。當然���,若目標服務器剩下的性能資源中沒有足夠的性能資 源提供給接收的HTTP請求報文所攜帶的動作標識1對應的動作�����,則按照單位時間內不使目 標服務器的性能資源完全被消耗的原則重新設置對應關系中所有動作和動作標識1對應 的動作所占用的性能資源值����;或者有選擇性地從對應關系中比較空閑且不經常用的動作所 占用的性能資源值中抽取一部分性能資源給動作標識1對應的動作�����。具體情況具體分析��, 這里并不限定����。步驟3���,將確定的最大個數和設置的性能資源值的乘積確定為請求報文攜帶的動 作標識1對應的個數閾值���。需要說明的是,動作標識1對應的個數閾值也可由目標服務器的管理員手工設 置�。如此,只需安全設備提供確定的目標服務器單位時間內執(zhí)行該HTTP請求報文攜帶的動 作標識1對應的動作的最大個數和計算出的耗費時間給管理員���;若需要同時提供多個HTTP 請求報文攜帶的動作標識對應的動作的最大個數和對應的耗費時間���,則優(yōu)選地,本發(fā)明實 施例可按照耗費時間的大小順序提供����。之后����,管理員按照上述步驟1至步驟3確定動作標 識1對應的個數閾值��。其中���,在管理員進行設置時����,可由該管理員在特定的客戶端上設置����, 之后,由該特定客戶端將設置的信息加密��,交由安全設備管理�。步驟4,得到動作標識1和目標服務器單位時間內執(zhí)行動作標識1對應的動作的個 數閾值之間的對應關系�。至此,結束確定動作標識1和目標服務器單位時間內執(zhí)行動作標 識1對應的動作的個數閾值之間的對應關系的操作��。步驟314a����,確定動作標識1和用于表示攜帶動作標識1的請求報文直接發(fā)送給目 標服務器的標識值之間的對應關系,將該確定的對應關系添加到預先配置的對應關系中�。
如此,通過上述操作實現(xiàn)了本發(fā)明實施例提供的防范CC攻擊的方法����。需要說明的是,本領域技術人員知道�,同一個合法用戶通常不會連續(xù)發(fā)送多個含 有相同動作標識的HTTP請求報文,比如�����,如果單位時間為秒���,即同一個合法用戶通常不會 在每兩秒發(fā)送2個以上含有相同動作標識的HTTP請求報文����,因此��,為進一步有效防范CC攻 擊����,可設置目標服務器處理來自同一源地址的且攜帶了同一動作標識的請求報文的時間間 隔,比如設置每隔兩個單位時間處理1個來自源地址1,且攜帶了動作標識1的請求報文�����,因 此���,在步驟30 和步驟308b執(zhí)行發(fā)送HTTP請求報文操作時�,針對當前要發(fā)送的HTTP請求 報文��,比如該HTTP請求報文攜帶的源地址為源地址2�,動作標識為動作標識2,則判斷上一 次發(fā)送的攜帶了源地址2和動作標識2的HTTP請求報文的時間是否與當前時間相隔兩個 單位時間�����,如果是��,發(fā)送該HTTP請求報文��;否則���,不發(fā)送該HTTP請求報文�。如此�,通過上述 操作��,對CC攻擊進行了更進一步的防范。上述是對本發(fā)明實施例提供的方法進行的描述�,下面對本發(fā)明實施例提供的設備 進行描述。參見圖4���,圖4為本發(fā)明實施例提供的防范CC攻擊的設備結構圖�����。如圖4所示�����,該 設備設置在被保護的目標服務器之前��,包括動作標識確定單元401�����、判斷單元402�����、發(fā)送單 元403和丟棄單元404��。其中����,動作標識確定單元401用于接收來自客戶端發(fā)送的請求報文,確定該接收 的請求報文所攜帶的動作標識1 ���;判斷單元402用于從預先配置的動作標識和目標服務器單位時間內執(zhí)行動作標 識對應的動作的閾值之間的對應關系中確定出動作標識1對應的閾值�����,根據確定的閾值判 斷當前單位時間內是否要將所述請求報文發(fā)送給目標服務器���;發(fā)送單元403用于在判斷單元402的判斷結果為是時,在當前單位時間內發(fā)送攜 帶了動作標識1的請求報文給所述目標服務器����;這里,如果本實施例預先設置了目標服務 器單位時間內處理的請求報文的總數閾值�����,則發(fā)送單元403首先判斷當前所處的單位時間 內已發(fā)送給目標服務器的請求報文的總數是否達到預設的總數閾值����,所述總數閾值為目標 服務器單位時間內處理的請求報文的最大個數��,由網絡帶寬資源確定�;如果否�,在當前單位 時間內發(fā)送攜帶了動作標識1的請求報文給目標服務器;否則�����,觸發(fā)丟棄單元404執(zhí)行在當 前單位時間內丟棄確定單元401接收的攜帶了動作標識1的請求報文的操作�。丟棄單元404用于在判斷單元402的判斷結果為否時�,在當前單位時間內丟棄確 定單元401接收的攜帶了動作標識1的請求報文。本實施例中���,預先配置的對應關系中動作標識對應的閾值具體為如果目標服務器單位時間內執(zhí)行該動作標識對應的動作所耗費的時間大于等于 預設的耗費時間�����,則該動作標識對應的閾值為目標服務器單位時間內執(zhí)行該動作標識對應 的動作的個數閾值���;如果目標服務器單位時間內執(zhí)行該動作標識對應的動作所耗費的時間 小于預設的耗費時間,則該動作標識對應的閾值為用于表示攜帶該動作標識的請求報文直 接發(fā)送給目標服務器的標識值��?��;谶@種情況���,如圖4所示�,本實施例提供了判斷單元402 的一種結構圖����,如圖4所示,判斷單元402具體包括閾值確定模塊4021���、第一判斷模塊 4022和第二判斷模塊4023�����,其中����,閾值確定模塊4021��,用于從預先配置的動作標識和目標服務器單位時間內執(zhí)行動作標識對應的動作的閾值之間的對應關系中確定出動作標識1對應的閾值��;以及在第一判 斷模塊4022的判斷結果為標識值時����,或者在第二判斷模塊4023的判斷結果為是時���,確定當 前單位時間內將所述請求報文發(fā)送給目標服務器,在第二判斷模塊4023的判斷結果為否 時���,確定當前單位時間內不將所述請求報文發(fā)送給目標服務器���。第一判斷模塊4022用于判斷閾值確定模塊4021確定的閾值為目標服務器單位時 間內執(zhí)行動作標識1對應的動作的個數閾值還是為用于表示攜帶該動作標識的請求報文 直接發(fā)送給目標服務器的標識值;第二判斷模塊4023在第一判斷模塊4022的判斷結果為個數閾值時����,判斷當前已 發(fā)送給目標服務器的動作標識1是否達到該動作標識1對應的個數閾值�。本實施例中,這 里�,動作標識1對應的個數閾值可包含不經由代理服務器轉發(fā)的攜帶動作標識1的請求報 文的第一個數閾值和經由代理服務器轉發(fā)的攜帶動作標識1的請求報文的第二個數閾值; 所述第一個數閾值大于等于第二個數閾值���,所述不經由代理服務器轉發(fā)的請求報文為不攜 帶特征字段X-Forwarded-FOR的請求報文��,經由代理服務器轉發(fā)的請求報文為攜帶特征字 段X-Forwarded-FOR的請求報文��;如此��,第二判斷模塊4023的判斷具體為在接收的攜帶 了動作標識1的請求報文是不經由代理服務器發(fā)送時���,判斷當前單位時間內已發(fā)送給目標 服務器的動作標識1是否達到動作標識1對應的第一個數閾值���;在接收的攜帶了動作標識 1的請求報文是經由代理服務器發(fā)送時,則判斷當前單位時間內已發(fā)送給目標服務器的動 作標識1是否達到動作標識1對應的第二個數閾值����。優(yōu)選地,如圖4所示���,該設備還可包括耗費時間確定單元405和更新單元406�。其中�����,耗費時間確定單元405用于在預先配置的對應關系中不存在動作標識確定 單元401確定的動作標識1時��,確定目標服務器執(zhí)行動作標識1對應的動作所耗費的時間��, 這里�����,耗費時間確定單元405確定耗費時間的方法具體為記錄接收到請求報文的時間,將 該請求報文發(fā)送給所述目標服務器�����;以及記錄接收到所述目標服務器根據所述請求報文攜 帶的動作標識1完成相應的動作后返回的與該請求報文對應的響應報文的時間����;根據記錄 的接收到請求報文的時間和接收到與該請求報文對應的響應報文的時間計算所述目標服 務器執(zhí)行該請求報文攜帶的動作標識1對應的動作所耗費的時間。更新單元406用于根據耗費時間確定單元405確定的耗費時間確定動作標識1和 目標服務器單位時間內執(zhí)行動作標識1對應的動作的閾值之間的對應關系��,將確定的對應 關系更新到所述預先配置的對應關系中��。如圖4所示����,更新單元406具體可包括第三判斷模塊4061�����,用于判斷耗費時間確定單元405確定的耗費時間是否大于等 于預設的耗費時間��;第一對應關系確定模塊4062�,用于在第三判斷模塊4061的判斷結果為是時,根據 確定的耗費時間確定目標服務器單位時間內執(zhí)行所述動作標識1對應的動作的最大個數���, 按照單位時間內不使目標服務器的性能資源完全被消耗的原則���,設置單位時間內動作標識 1對應的動作占用目標服務器的性能資源值����,所述動作標識1對應的動作占用目標服務器 的性能資源值為動作標識1對應的動作單位時間內占用目標服務器的性能資源與目標服 務器的總性能資源的比值����;將確定的最大個數和設置的性能資源值的乘積確定為動作標識 1對應的個數閾值;得到動作標識1和對應的個數閾值之間的對應關系�;
第二對應關系確定模塊4063,用于在第三判斷模塊4061的判斷結果為否時����,確定 動作標識1和用于表示攜帶動作標識1的請求報文直接發(fā)送給目標服務器的標識值之間的 對應關系。由以上技術方案可以看出���,本發(fā)明提供的防范CC攻擊的方法和設備中���,在客戶端 和被保護的目標服務器之間設置安全設備;當安全設備接收到來自客戶端發(fā)送的請求報文 時��,確定該接收的請求報文所攜帶的動作標識1 �;從預先配置的動作標識和目標服務器單 位時間內執(zhí)行動作標識對應的動作的閾值之間的對應關系中確定出動作標識1對應的閾 值��,根據確定的閾值判斷當前單位時間內是否要將所述請求報文發(fā)送給目標服務器���,如果 是,在當前單位時間內將所述請求報文發(fā)送給所述目標服務器��;否則����,在當前單位時間內丟 棄所述請求報文。這種方式有針對性的對攜帶各個動作標識的各個請求報文進行限制�,相 比于現(xiàn)有技術,能夠有效防范CC攻擊���,實現(xiàn)對目標服務器的有效保護�����。以上所述僅為本發(fā)明的較佳實施例而已��,并不用以限制本發(fā)明,凡在本發(fā)明的精 神和原則之內�����,所做的任何修改、等同替換���、改進等�����,均應包含在本發(fā)明保護的范圍之內��。
權利要求
1.一種防范CC攻擊的方法�,其特征在于���,在客戶端和被保護的目標服務器之間設置安 全設備�;所述安全設備執(zhí)行以下步驟A�,接收到來自客戶端發(fā)送的請求報文時,確定該接收的請求報文所攜帶的動作標識1 ���;B���,從預先配置的動作標識和目標服務器單位時間內執(zhí)行動作標識對應的動作的閾值 之間的對應關系中確定出動作標識1對應的閾值,根據確定的閾值判斷當前單位時間內是 否要將所述請求報文發(fā)送給目標服務器��,如果是�,在當前單位時間內將所述請求報文發(fā)送 給所述目標服務器�����;否則�����,在當前單位時間內丟棄所述請求報文�。
2.根據權利要求1所述的方法�,其特征在于,所述預先配置的對應關系中動作標識對 應的閾值為如果目標服務器單位時間內執(zhí)行該動作標識對應的動作所耗費的時間大于等于預設 的耗費時間��,則該動作標識對應的閾值為目標服務器單位時間內執(zhí)行該動作標識對應的動 作的個數閾值�;如果目標服務器單位時間內執(zhí)行該動作標識對應的動作所耗費的時間小于預設的耗 費時間,則該動作標識對應的閾值為用于表示攜帶該動作標識的請求報文直接發(fā)送給目標 服務器的標識值��。
3.根據權利要求2所述的方法���,其特征在于����,所述步驟B中根據確定的閾值判斷當前單 位時間內是否要將請求報文發(fā)送給目標服務器包括判斷確定的閾值為目標服務器單位時間內執(zhí)行動作標識1對應的動作的個數閾值還 是為用于表示攜帶動作標識1的請求報文直接發(fā)送給目標服務器的標識值��,如果是標識值����,則確定當前單位時間內要將所述請求報文發(fā)送給目標服務器; 如果是個數閾值�,則判斷當前已發(fā)送給目標服務器的動作標識1是否達到該動作標識 1對應的個數閾值,如果是��,確定當前單位時間內要將所述請求報文發(fā)送給目標服務器�,否 則,確定當前單位時間內不將所述請求報文發(fā)送給目標服務器�。
4.根據權利要求2所述的方法,其特征在于���,所述步驟B中��,如果預先配置的對應關系 中不存在動作標識1���,則確定目標服務器執(zhí)行動作標識1對應的動作所耗費的時間,包括Bi���,記錄接收到請求報文的時間�����,之后���,發(fā)送該請求報文給所述目標服務器�; B2�,接收所述目標服務器返回的與該請求報文對應的響應報文,記錄接收到該響應報 文的時間���;B3�,根據記錄的接收到請求報文的時間和接收到與該請求報文對應的響應報文的時間 計算目標服務器執(zhí)行動作標識1對應的動作所耗費的時間�。
5.根據權利要求4所述的方法,其特征在于�����,在確定出動作標識1對應的動作所耗費的 時間后���,進一步包括B4�,根據確定的耗費時間確定動作標識1和目標服務器單位時間內執(zhí)行動作標識1對 應的動作的閾值之間的對應關系�����,將確定的對應關系更新到所述預先配置的對應關系中���。
6.根據權利要求5所述的方法���,其特征在于��,所述步驟B4中確定對應關系包括 B41,判斷確定的耗費時間是否大于等于預設的耗費時間��,如果是����,執(zhí)行步驟B42;否則,執(zhí)行步驟B43;B42���,確定動作標識1和目標服務器單位時間內執(zhí)行動作標識1對應的動作的個數閾值之間的對應關系�;B43���,確定動作標識1和用于表示攜帶動作標識1的請求報文直接發(fā)送給目標服務器的 標識值之間的對應關系��。
7.根據權利要求6所述的方法�����,其特征在于��,所述步驟B42包括Cl�,根據確定的耗費時間確定目標服務器單位時間內執(zhí)行動作標識1對應的動作的最 大個數;C2��,按照單位時間內不使目標服務器的性能資源完全被消耗的原則�����,設置單位時間內 動作標識1對應的動作占用目標服務器的性能資源值���,所述性能資源值為動作標識1對應 的動作單位時間內占用目標服務器的性能資源與目標服務器的總性能資源的比值����;C3�����,將確定的最大個數和設置的性能資源值的乘積確定為動作標識1對應的個數閾 值��;得到動作標識1和目標服務器單位時間內執(zhí)行動作標識1對應的動作的個數閾值之間 的對應關系����。
8.根據權利要求3所述的方法,其特征在于��,所述動作標識1對應的個數閾值包含不 經由代理服務器轉發(fā)的攜帶動作標識1的請求報文的第一個數閾值和經由代理服務器轉 發(fā)的攜帶動作標識1的請求報文的第二個數閾值,所述第一個數閾值大于等于第二個數閾 值�����,所述不經由代理服務器轉發(fā)的請求報文為不攜帶特征字段X-Forwarded-FOR的請求報 文�,經由代理服務器轉發(fā)的請求報文為攜帶特征字段X-Forwarded-FOR的請求報文;所述判斷當前已發(fā)送給目標服務器的動作標識1是否達到該動作標識1對應的個數閾 值包括如果接收的攜帶了動作標識1的請求報文是不經由代理服務器發(fā)送的����,則判斷當前單 位時間內已發(fā)送給目標服務器的動作標識1是否未達到動作標識1對應的第一個數閾值�; 如果接收的攜帶了動作標識1的請求報文是經由代理服務器發(fā)送的,則判斷當前單位時間 內已發(fā)送給目標服務器的動作標識1是否未達到動作標識1對應的第二個數閾值���。
9.根據權利要求1至8任一所述的方法��,其特征在于�����,發(fā)送請求報文給目標服務器包括判斷當前所處的單位時間內已發(fā)送給目標服務器的請求報文的總數是否達到預設的 總數閾值�����,所述總數閾值為目標服務器單位時間內處理的請求報文的最大個數�����,由網絡帶 寬資源確定����;如果否,發(fā)送請求報文給目標服務器�����;否則����,在當前所處的單位時間內不發(fā)送 該請求報文。
10.一種防范CC攻擊的設備����,其特征在于,該設備設置在被保護的目標服務器之前���,包 括動作標識確定單元���、判斷單元、發(fā)送單元和丟棄單元�;所述動作標識確定單元用于接收來自客戶端發(fā)送的請求報文�,確定該接收的請求報文 所攜帶的動作標識1 ����;所述判斷單元用于從預先配置的動作標識和目標服務器單位時間內執(zhí)行動作標識對 應的動作的閾值之間的對應關系中確定出動作標識1對應的閾值,根據確定的閾值判斷當 前單位時間內是否要將所述請求報文發(fā)送給目標服務器���;所述發(fā)送單元用于在所述判斷單元的判斷結果為是時�����,在當前單位時間內發(fā)送所述請 求報文給所述目標服務器�����;所述丟棄單元用于在所述判斷單元的判斷結果為否時,在當前單位時間內丟棄所述請求報文����。
11.根據權利要求10所述的設備,其特征在于����,所述預先配置的對應關系中動作標識 對應的閾值為如果目標服務器單位時間內執(zhí)行該動作標識對應的動作所耗費的時間大于 等于預設的耗費時間,則該動作標識對應的閾值為目標服務器單位時間內執(zhí)行該動作標識 對應的動作的個數閾值��;如果目標服務器單位時間內執(zhí)行該述動作標識對應的動作所耗費 的時間小于預設的耗費時間,則該動作標識對應的閾值為用于表示攜帶該動作標識的請求 報文直接發(fā)送給目標服務器的標識值�����;所述判斷單元包括閾值確定模塊�����、第一判斷模塊和第二判斷模塊����;其中,所述閾值確定模塊用于從預先配置的動作標識和目標服務器單位時間內執(zhí)行動作標 識對應的動作的閾值之間的對應關系中確定出動作標識1對應的閾值�����;以及在所述第一判 斷模塊的判斷結果為標識值時���,或者在所述第二判斷模塊的判斷結果為是時���,確定當前單 位時間內將所述請求報文發(fā)送給目標服務器,在所述第二判斷模塊的判斷結果為否時����,確 定當前單位時間內不將所述請求報文發(fā)送給目標服務器����;所述第一判斷模塊用于判斷所述閾值確定模塊確定的閾值為目標服務器單位時間內 執(zhí)行動作標識1對應的動作的個數閾值還是為用于表示攜帶該動作標識的請求報文直接 發(fā)送給目標服務器的標識值���;第二判斷模塊在所述第一判斷模塊的判斷結果為個數閾值時�����,判斷當前已發(fā)送給目標 服務器的動作標識1是否達到該動作標識1對應的個數閾值���。
12.根據權利要求11所述的設備,其特征在于�����,該設備還包括耗費時間確定單元�����,用于在預先配置的對應關系中不存在所述動作標識確定單元確定 的動作標識1時�,確定目標服務器執(zhí)行動作標識1對應的動作所耗費的時間��;更新單元��,用于根據所述耗費時間確定單元確定的耗費時間確定動作標識1和目標服 務器單位時間內執(zhí)行動作標識1對應的動作的閾值之間的對應關系,將確定的對應關系更 新到所述預先配置的對應關系中�����。
13.根據權利要求12所述的設備�,其特征在于,所述更新單元包括第三判斷模塊���,用于判斷所述耗費時間確定單元確定的耗費時間是否大于等于預設的 耗費時間�����;第一對應關系確定模塊���,用于在所述第三判斷模塊的判斷結果為是時,根據確定的耗 費時間確定目標服務器單位時間內執(zhí)行動作標識1對應的動作的最大個數�,按照單位時間 內不使目標服務器的性能資源完全被消耗的原則,設置單位時間內動作標識1對應的動作 占用目標服務器的性能資源值����,所述性能資源值為動作標識1對應的動作單位時間內占用 目標服務器的性能資源與目標服務器的總性能資源的比值;將確定的最大個數和設置的性 能資源值的乘積確定為動作標識1對應的個數閾值����;得到動作標識1和目標服務器單位時 間內執(zhí)行動作標識1對應的動作的個數閾值之間的對應關系���;第二對應關系確定模塊,用于在所述第三判斷模塊的判斷結果為否時����,確定動作標識1 和用于表示攜帶動作標識1的請求報文直接發(fā)送給目標服務器的標識值之間的對應關系。
14.根據權利要求11所述的設備����,其特征在于,所述動作標識1對應的個數閾值包含不 經由代理服務器轉發(fā)的攜帶動作標識1的請求報文的第一個數閾值和經由代理服務器轉 發(fā)的攜帶動作標識1的請求報文的第二個數閾值����;所述第一個數閾值大于等于第二個數閾值,所述不經由代理服務器轉發(fā)的請求報文為不攜帶特征字段X-Forwarded-FOR的請求報 文���,經由代理服務器轉發(fā)的請求報文為攜帶特征字段X-Forwarded-FOR的請求報文�����;所述第二判斷模塊在接收的攜帶了動作標識1的請求報文是不經由代理服務器發(fā)送 時,判斷當前單位時間內已發(fā)送給目標服務器的動作標識1是否達到動作標識1對應的第 一個數閾值���;在接收的攜帶了動作標識1的請求報文是經由代理服務器發(fā)送時�,則判斷當 前單位時間內已發(fā)送給目標服務器的動作標識1是否達到動作標識1對應的第二個數閾 值。
全文摘要
本發(fā)明公開了一種防范CC攻擊的方法和設備���,在被保護的目標服務器之前設置安全設備�;該安全設備執(zhí)行以下步驟接收到來自客戶端發(fā)送的請求報文時��,確定該接收的請求報文所攜帶的動作標識1�����;從預先配置的動作標識和目標服務器單位時間內執(zhí)行動作標識對應的動作的閾值之間的對應關系中確定出動作標識1對應的閾值��,根據確定的閾值判斷當前單位時間內是否要將所述請求報文發(fā)送給目標服務器����,如果是,在當前單位時間內將所述請求報文發(fā)送給所述目標服務器����;否則,在當前單位時間內丟棄所述請求報文����。采用本發(fā)明,能夠有效防范CC攻擊,實現(xiàn)對目標服務器的有效保護����。
文檔編號H04L9/00GK102045327SQ20091023581
公開日2011年5月4日 申請日期2009年10月9日 優(yōu)先權日2009年10月9日
發(fā)明者韓艷輝 申請人:杭州華三通信技術有限公司