防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法�����、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域���,具體而言����,涉及一種防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法、裝置及系統(tǒng)��。
【背景技術(shù)】
[0002]目前��,各種組織的業(yè)務(wù)系統(tǒng)都是基于瀏覽器/服務(wù)器架構(gòu)���,作為提供業(yè)務(wù)系統(tǒng)支撐的Web服務(wù)器���,受到的各種網(wǎng)絡(luò)攻擊日益增多。
[0003]例如���,有一種網(wǎng)絡(luò)攻擊名為“挑戰(zhàn)黑洞”(challenge collapsar��,簡稱為CC)����,CC攻擊利用代理的服務(wù)器向Web服務(wù)器通過三次握手后建立連接��,發(fā)送HTTP請求某一個計算資源較大的URL�����,然后以不做任何ACK或FIN包回應(yīng)�����。重復(fù)上述過程,不斷消耗服務(wù)器資源�����,使服務(wù)器連接池和資源池耗盡�,無法響應(yīng)正常的用戶請求,從而使業(yè)務(wù)系統(tǒng)癱瘓�。
[0004]針對現(xiàn)有技術(shù)中網(wǎng)絡(luò)攻擊Web服務(wù)器�����,消耗Web服務(wù)器資源的問題��,目前尚未提出有效的解決方案�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的主要目的在于提供一種防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法、裝置及系統(tǒng)��,以解決現(xiàn)有技術(shù)中網(wǎng)絡(luò)攻擊Web服務(wù)器��,消耗Web服務(wù)器資源的問題�。
[0006]為了實現(xiàn)上述目的,根據(jù)本發(fā)明的一個方面�����,提供了一種防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法。該方法包括:安全網(wǎng)關(guān)接收訪問請求�,其中,訪問請求是客戶端請求訪問Web服務(wù)器的請求�,訪問請求包括客戶端的標(biāo)識信息;安全網(wǎng)關(guān)檢測標(biāo)識信息中是否包括有效的訪問令牌�����,訪問令牌用于驗證客戶端請求訪問Web服務(wù)器的合法性�;如果安全網(wǎng)關(guān)檢測標(biāo)識信息中包括有效的訪問令牌,則允許客戶端對Web服務(wù)器執(zhí)行訪問�����;以及如果安全網(wǎng)關(guān)檢測標(biāo)識信息中不包括有效的訪問令牌����,則拒絕客戶端訪問Web服務(wù)器。
[0007]進(jìn)一步地�����,訪問請求包括第一訪問請求���,第一訪問請求標(biāo)識信息中不包括有效的訪問令牌��,安全網(wǎng)關(guān)在判斷出標(biāo)識信息中不包括有效的訪問令牌之后���,該方法還包括:安全網(wǎng)關(guān)發(fā)送有效的訪問令牌至客戶端���;安全網(wǎng)關(guān)檢測是否接收到客戶端發(fā)出的第二訪問請求,其中�����,第二訪問請求是客戶端在接收到有效的訪問令牌之后�����,再次請求訪問Web服務(wù)器的請求���;如果安全網(wǎng)關(guān)接收到客戶端發(fā)出的第二訪問請求,則允許客戶端對Web服務(wù)器執(zhí)行訪問���;以及如果安全網(wǎng)關(guān)沒有接收到客戶端發(fā)出的第二訪問請求���,則拒絕客戶端訪問Web服務(wù)器�����。
[0008]進(jìn)一步地�����,安全網(wǎng)關(guān)發(fā)送有效的訪問令牌至客戶端包括:安全網(wǎng)關(guān)生成請求響應(yīng)信息����,其中�����,請求響應(yīng)信息是安全網(wǎng)關(guān)根據(jù)接收到的第一訪問請求生成的信息��;安全網(wǎng)關(guān)生成有效的訪問令牌�����;安全網(wǎng)關(guān)根據(jù)有效的訪問令牌和請求響應(yīng)信息生成請求響應(yīng)包��;以及安全網(wǎng)關(guān)發(fā)送請求響應(yīng)包至客戶端���。
[0009]進(jìn)一步地�����,安全網(wǎng)關(guān)檢測標(biāo)識信息中是否包括有效的訪問令牌包括:檢測標(biāo)識信息中是否包括訪問令牌����;如果檢測出標(biāo)識信息中包括訪問令牌,判斷訪問令牌是否符合預(yù)設(shè)的合法性條件��;以及如果訪問令牌符合預(yù)設(shè)的合法性條件�����,判斷訪問令牌是否超過預(yù)設(shè)時間�����;其中����,如果判斷出標(biāo)識信息中訪問令牌沒有超過預(yù)設(shè)時間����,則確定標(biāo)識信息中訪問令牌為有效的訪問令牌,如果判斷出標(biāo)識信息中訪問令牌不符合預(yù)設(shè)的合法性條件或標(biāo)識信息中訪問令牌超過預(yù)設(shè)時間,則確定標(biāo)識信息中訪問令牌不是有效的訪問令牌�����。
[0010]進(jìn)一步地�,在安全網(wǎng)關(guān)接收訪問請求之前,該方法還包括:安全網(wǎng)關(guān)接收握手信號��,其中���,握手信號為客戶端向Web服務(wù)器發(fā)出建立連接的信號�;安全網(wǎng)關(guān)轉(zhuǎn)發(fā)握手信號至Web服務(wù)器�;安全網(wǎng)關(guān)接收應(yīng)答信號,其中�,應(yīng)答信號為Web服務(wù)器接收到握手信號后向客戶端發(fā)出的信號;安全網(wǎng)關(guān)轉(zhuǎn)發(fā)應(yīng)答信號至客戶端�;安全網(wǎng)關(guān)接收響應(yīng)信號,其中�����,響應(yīng)信號為客戶端接收到應(yīng)答信號后向Web服務(wù)器返回的響應(yīng)信號����;以及安全網(wǎng)關(guān)轉(zhuǎn)發(fā)響應(yīng)信號至Web服務(wù)器�。
[0011]進(jìn)一步地����,在安全網(wǎng)關(guān)發(fā)送有效的訪問令牌至客戶端之后,在安全網(wǎng)關(guān)檢測是否接收到客戶端發(fā)出的第二訪問請求之前�,該方法還包括:接收請求響應(yīng)包;根據(jù)請求響應(yīng)包關(guān)閉客戶端與Web服務(wù)器之間建立的連接���;解析請求響應(yīng)包��,其中�,解析出的請求響應(yīng)包包括標(biāo)識信息和訪問Web服務(wù)器的鏈接�����;以及根據(jù)標(biāo)識信息和訪問Web服務(wù)器的鏈接重新發(fā)出第二訪問請求�。
[0012]進(jìn)一步地,如果安全網(wǎng)關(guān)檢測標(biāo)識信息中包括有效的訪問令牌����,則允許客戶端對Web服務(wù)器執(zhí)行訪問包括:安全網(wǎng)關(guān)接收第二訪問請求,其中���,第二訪問請求包括標(biāo)識信息;安全網(wǎng)關(guān)檢測標(biāo)識信息中是否含有有效的訪問令牌;以及如果標(biāo)識信息中含有有效的訪問令牌��,安全網(wǎng)關(guān)轉(zhuǎn)發(fā)第二訪問請求至Web服務(wù)器對Web服務(wù)器進(jìn)行訪問��。
[0013]為了實現(xiàn)上述目的���,根據(jù)本發(fā)明的另一方面�,提供了一種防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理裝置�����。該裝置包括:第一接收單元���,用于接收訪問請求���,其中,訪問請求是客戶端請求訪問Web服務(wù)器的請求�����,訪問請求包括客戶端的標(biāo)識信息��;第一檢測單元�����,用于檢測標(biāo)識信息中是否包括有效的訪問令牌,訪問令牌用于驗證客戶端請求訪問Web服務(wù)器的合法性����;第一訪問單元,用于在檢測標(biāo)識信息中包括有效的訪問令牌的情況下�����,則允許客戶端對Web服務(wù)器執(zhí)行訪問�;以及第一處理單元,用于在檢測標(biāo)識信息中不包括有效的訪問令牌的情況下��,則拒絕客戶端訪問Web服務(wù)器�。
[0014]進(jìn)一步地,訪問請求包括第一訪問請求���,第一訪問請求標(biāo)識信息中不包括有效的訪問令牌�,該裝置還包括:發(fā)送單元�,用于發(fā)送有效的訪問令牌至客戶端;第二檢測單元�,用于檢測是否接收到客戶端發(fā)出的第二訪問請求,其中�����,第二訪問請求是客戶端在接收到有效的訪問令牌之后,再次請求訪問Web服務(wù)器的請求�;第二訪問單元�����,用于在接收到客戶端發(fā)出的第二訪問請求的情況下����,則允許客戶端對Web服務(wù)器執(zhí)行訪問;以及第二處理單元�,用于在沒有接收到客戶端發(fā)出的第二訪問請求的情況下,則拒絕客戶端訪問Web服務(wù)器����。
[0015]進(jìn)一步地,發(fā)送單元包括:第一生成模塊����,用于生成請求響應(yīng)信息,其中��,請求響應(yīng)信息是根據(jù)接收到的第一訪問請求生成的信息����;第二生成模塊��,用于生成有效的訪問令牌�����;第三生成模塊�,用于根據(jù)有效的訪問令牌和請求響應(yīng)信息生成請求響應(yīng)包��;以及發(fā)送模塊��,用于發(fā)送請求響應(yīng)包至客戶端����。
[0016]進(jìn)一步地,該裝置還包括:第二接收單元�,用于接收握手信號,其中��,握手信號為客戶端向Web服務(wù)器發(fā)出建立連接的信號�����;第一轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)握手信號至Web服務(wù)器����;第三接收單元,用于接收應(yīng)答信號���,其中�����,應(yīng)答信號為Web服務(wù)器接收到握手信號后向客戶端發(fā)出的信號;第二轉(zhuǎn)發(fā)單元��,用于轉(zhuǎn)發(fā)應(yīng)答信號至客戶端����;第四接收單元,用于接收響應(yīng)信號���,其中�����,響應(yīng)信號為客戶端接收到應(yīng)答信號后向Web服務(wù)器返回的響應(yīng)信號�;以及第三轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)響應(yīng)信號至Web服務(wù)器���。
[0017]進(jìn)一步地����,第一訪問單元包括:接收模塊��,用于接收第二訪問請求���,其中����,第二訪問請求包括標(biāo)識信息���;檢測模塊��,用于檢測標(biāo)識信息中是否含有有效的訪問令牌�����;以及訪問模塊���,用于如果標(biāo)識信息中含有有效的訪問令牌,轉(zhuǎn)發(fā)第二訪問請求至Web服務(wù)器對Web服務(wù)器進(jìn)行訪問。
[0018]為了實現(xiàn)上述目的�����,根據(jù)本發(fā)明的另一方面�,提供了一種防止網(wǎng)絡(luò)攻擊WEB服務(wù)器的處理系統(tǒng)。該系統(tǒng)包括:客戶端�����;安全網(wǎng)關(guān)�;以及Web服務(wù)器;其中����,安全網(wǎng)關(guān)接收訪問請求��,安全網(wǎng)關(guān)檢測標(biāo)識信息中是否包括有效的訪問令牌��,如果安全網(wǎng)關(guān)檢測標(biāo)識信息中包括有效的訪問令牌����,則允許客戶端對Web服務(wù)器執(zhí)行訪問,以及如果安全網(wǎng)關(guān)檢測標(biāo)識信息中不包括有效的訪問令牌����,則拒絕客戶端訪問Web服務(wù)器�����,其中�����,訪問請求是客戶端請求訪問Web服務(wù)器的請求�����,訪問請求包括客戶端的標(biāo)識信息�����,訪問令牌用于驗證客戶端請求訪問Web服務(wù)器的合法性���。
[0019]在本發(fā)明中,安全網(wǎng)關(guān)檢測接收到的訪問請求中的標(biāo)識信息是否包括有效的訪問令牌�,如果安全網(wǎng)關(guān)檢測到該標(biāo)識信息中包括有效的訪問令牌,則允許客戶端對Web服務(wù)器執(zhí)行訪問����;如果安全網(wǎng)關(guān)檢測到該標(biāo)識信息中不包括有效的訪問令牌��,則拒絕客戶端訪問Web服務(wù)器�。通過本發(fā)明��,解決了現(xiàn)有技術(shù)中網(wǎng)絡(luò)攻擊Web服務(wù)器��,消耗Web服務(wù)器資源的問題�����,進(jìn)而達(dá)到有效的防范網(wǎng)絡(luò)攻擊Web服務(wù)器��,保證Web服務(wù)器的正常運行的效果�����。
【附圖說明】
[0020]構(gòu)成本申請的一部分的附圖用來提供對本發(fā)明的進(jìn)一步理解���,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當(dāng)限定���。在附圖中:
[0021]圖1是根據(jù)本發(fā)明實施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理系統(tǒng)的示意圖��;