[0022]圖2是根據(jù)本發(fā)明實施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理系統(tǒng)中交互過程的流程圖��;
[0023]圖3是根據(jù)本發(fā)明實施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法的流程圖���;以及
[0024]圖4是根據(jù)本發(fā)明實施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理裝置的示意圖���。
【具體實施方式】
[0025]需要說明的是,在不沖突的情況下�����,本申請中的實施例及實施例中的特征可以相互組合��。下面將參考附圖并結(jié)合實施例來詳細說明本發(fā)明�。
[0026]為了使本技術(shù)領(lǐng)域的人員更好地理解本申請方案,下面將結(jié)合本申請實施例中的附圖��,對本申請實施例中的技術(shù)方案進行清楚��、完整地描述���,顯然�,所描述的實施例僅僅是本申請一部分的實施例,而不是全部的實施例����。基于本申請中的實施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�����,都應(yīng)當(dāng)屬于本申請保護的范圍����。
[0027]需要說明的是�����,本申請的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”�、“第二”等是用于區(qū)別類似的對象,而不必用于描述特定的順序或先后次序�。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本申請的實施例�。此外,術(shù)語“包括”和“具有”以及他們的任何變形����,意圖在于覆蓋不排他的包含,例如�����,包含了一系列步驟或單元的過程�����、方法����、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元���,而是可包括沒有清楚地列出的或?qū)τ谶@些過程�����、方法��、產(chǎn)品或設(shè)備固有的其它步驟或單元��。
[0028]根據(jù)本發(fā)明的實施例�����,提供了一種防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理系統(tǒng)����。
[0029]圖1是根據(jù)本發(fā)明實施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理系統(tǒng)的示意圖。如圖1所示��,該系統(tǒng)包括:客戶端100����、安全網(wǎng)關(guān)200和Web服務(wù)器300。
[0030]安全網(wǎng)關(guān)200接收訪問請求�,安全網(wǎng)關(guān)200檢測標(biāo)識信息中是否包括有效的訪問令牌,如果安全網(wǎng)關(guān)200檢測標(biāo)識信息中包括有效的訪問令牌��,則允許客戶端100對Web服務(wù)器300執(zhí)行訪問�;如果安全網(wǎng)關(guān)200檢測標(biāo)識信息中不包括有效的訪問令牌,則拒絕客戶端100訪問Web服務(wù)器300�����,其中�,訪問請求是客戶端100請求訪問Web服務(wù)器300的請求,訪問請求包括客戶端100的標(biāo)識信息�,訪問令牌用于驗證客戶端100請求訪問Web服務(wù)器300的合法性���。
[0031]通過檢測安全網(wǎng)關(guān)200接收到的訪問請求中的標(biāo)識信息是否包括有效的訪問令牌,來決定是否允許客戶端100訪問Web服務(wù)器300����。從而有效的防范網(wǎng)絡(luò)攻擊Web服務(wù)器�,保證Web服務(wù)器的正常運行的效果。
[0032]圖2是根據(jù)本發(fā)明實施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理系統(tǒng)中交互過程的流程圖�����。具體地����,如圖2所示,包括步驟S201至步驟S213��。
[0033]步驟S201�����,客戶端100發(fā)送握手信號(由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā))�����。
[0034]為了與Web服務(wù)器建立連接,客戶端100發(fā)送握手信號����。例如,客戶端100發(fā)送SYN��,其中����,SYN(synchronous)是TCP/IP建立連接時使用的握手信號。由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā)SYN包至Web服務(wù)器300����。
[0035]步驟S202,Web服務(wù)器300發(fā)送應(yīng)答信號(由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā))���。
[0036]在Web服務(wù)器300接收到客戶端100發(fā)送的握手信號之后���,Web服務(wù)器300發(fā)送應(yīng)答信號,由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā)應(yīng)答信號至Web服務(wù)器300���。
[0037]步驟S203����,客戶端100發(fā)送響應(yīng)信號(由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā))。
[0038]在客戶端100接收到Web服務(wù)器300發(fā)送的應(yīng)答信號之后��,客戶端100發(fā)送響應(yīng)信號�����,由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā)響應(yīng)信號至Web服務(wù)器300�����。從而客戶端100與Web服務(wù)器300建立連接關(guān)系����。
[0039]整個過程具體如下���,SYN (synchronous)是TCP/IP建立連接時使用的握手信號��。在客戶端100和Web服務(wù)器300之間建立正常的TCP網(wǎng)絡(luò)連接時���,客戶端100首先發(fā)出一個SYN消息,Web服務(wù)器300使用SYN+ACK應(yīng)答表示接收到了這個消息����,最后客戶端100再以ACK消息響應(yīng)���。這樣在客戶端100和Web服務(wù)器300之間才能建立起可靠的TCP連接,數(shù)據(jù)才可以在客戶端100和Web服務(wù)器300之間傳遞�。
[0040]步驟S204,客戶端100發(fā)送訪問請求���。
[0041]客戶端100發(fā)送訪問請求��。具體地��,正常和異常的訪問都通過發(fā)送訪問請求給Web服務(wù)器300�����。中間路過安全網(wǎng)關(guān)200����。
[0042]步驟S205��,安全網(wǎng)關(guān)200檢測訪問請求中標(biāo)識信息里是否含有有效的訪問令牌����。
[0043]正常和異常的訪問都通過發(fā)送訪問請求給Web服務(wù)器300。中間路過安全網(wǎng)關(guān)200。安全網(wǎng)關(guān)200截獲該訪問請求����,對其進行檢查。安全網(wǎng)關(guān)200檢測訪問請求中標(biāo)識信息里是否含有有效的訪問令牌�。需要說明的是,上述的標(biāo)識信息�����,在本發(fā)明的實施例中為客戶端本地站點的Cookie���。S卩�����,安全網(wǎng)關(guān)200檢測訪問請求中Cookie里是否含有有效的訪問令牌。例如���,客戶端存儲的本地站點的Cookie的形式可以為BAIDHD = 6F42E7D88F4EF309B709DBAB1323D3BD ���;BAIDUPSID = 4AC03124061673D77D35DC2BE3A3072A。
[0044]步驟S206��,如果安全網(wǎng)關(guān)200檢測出訪問請求中標(biāo)識信息里含有有效的訪問令牌,允許客戶端100對Web服務(wù)器300執(zhí)行訪問�。
[0045]合法的訪問請求包含安全網(wǎng)關(guān)200傳遞的有效訪問令牌,安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā)該訪問請求�,直接對Web服務(wù)器300執(zhí)行訪問。
[0046]步驟S207��,Web服務(wù)器300發(fā)送響應(yīng)消息(正常訪問結(jié)束)����。
[0047]安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā)該訪問請求,直接對Web服務(wù)器300執(zhí)行訪問之后��,Web服務(wù)器300發(fā)送響應(yīng)消息(正常訪問結(jié)束)��。
[0048]步驟S208���,生成請求響應(yīng)包����。
[0049]異常的訪問請求和正常的訪問請求在第一次訪問時不包含安全網(wǎng)關(guān)200傳遞的有效的訪問令牌��,因此����,安全網(wǎng)關(guān)200生成請求響應(yīng)包���。具體地,安全網(wǎng)關(guān)200生成請求響應(yīng)信息��,其中�����,請求響應(yīng)信息是安全網(wǎng)關(guān)200根據(jù)接收到的第一訪問請求生成的信息�����,安全網(wǎng)關(guān)200生成有效的訪問令牌���,安全網(wǎng)關(guān)200根據(jù)有效的訪問令牌和請求響應(yīng)信息生成請求響應(yīng)包����。
[0050]步驟S209����,發(fā)送請求響應(yīng)包至客戶端100�����。
[0051]在安全網(wǎng)關(guān)200生成請求響應(yīng)包之后,安全網(wǎng)關(guān)200發(fā)送請求響應(yīng)包至客戶端100�。
[0052]步驟S210,客戶端100解析該請求響應(yīng)包�����。
[0053]在客戶端100接收到安全網(wǎng)關(guān)200發(fā)送的請求響應(yīng)包之后�����,客戶端100解析該請求響應(yīng)包�����。
[0054]步驟S211�����,客戶端100根據(jù)該請求響應(yīng)包終止與Web服務(wù)器300之間的連接�����。
[0055]客戶端100根據(jù)該請求響應(yīng)包中指示��,立即關(guān)閉客戶端100與Web服務(wù)器300之間的連接�����。
[0056]步驟S212,客戶端100根據(jù)該請求響應(yīng)包從步驟S201開始重復(fù)執(zhí)行上述步驟����。
[0057]需要說明的是,上述的標(biāo)識信息���,在本發(fā)明的實施例中為客戶端本地站點的Cookie?具體地����,安全網(wǎng)關(guān)200生成訪問令牌T����,令牌T為32位隨機數(shù),此訪問令牌在安全網(wǎng)關(guān)200中記錄生成時間�,并設(shè)定有效期X秒;X值可以根據(jù)網(wǎng)絡(luò)負載情況進行調(diào)節(jié)����;安全網(wǎng)關(guān)200偽造請求響應(yīng)包,在本發(fā)明的實施例中即為HTTP 302響應(yīng)包�,在HTTP 302響應(yīng)包的 Set-Cookie 字段中�����,放入訪問令牌 T,形式如:Set-Cookie:GATEUSERID = 123456789 ��;Max-Age = 30 �����;path = / ;并在HTTP 302響應(yīng)包中指示客戶端立即關(guān)閉與Web服務(wù)器的連接��;并在HTTP 302響應(yīng)包中設(shè)定重新訪問Web服務(wù)器的鏈接為前一次訪問Web服務(wù)器的鏈接����。從步驟S201開始重復(fù)執(zhí)行上述步驟。即與Web服務(wù)器建立連接關(guān)系����,安全網(wǎng)關(guān)200檢測訪問請求中標(biāo)識信息里是否含有有效的訪問令牌。
[0058]需要說明的是��,例如����,上述前一次訪問Web服務(wù)器的鏈接為http://www.baidu.com,客戶端100根據(jù)該請求響應(yīng)包重新向http://www