.baidu.com發(fā)起訪問��。在本發(fā)明的實(shí)施例中訪問請求為HTTP請求�,判斷HTTP請求中是否含有Cookie,如果含有Cookie���,判斷Cookie中是否含有GATEUSERID字段�����;如果含有GATEUSERID字段�����,判斷GATEUSERID字段的值是否可以轉(zhuǎn)化為一個(gè)小于2~32-1的值��;如果該值可以轉(zhuǎn)化為一個(gè)小于2~32-1的值�����,判斷該Cookie是否在預(yù)設(shè)時(shí)間內(nèi);如果在預(yù)設(shè)時(shí)間內(nèi)�����,即為有效的訪問令牌�。
[0059]如果安全網(wǎng)關(guān)200檢測出訪問請求中標(biāo)識信息里含有有效的訪問令牌����,允許客戶端對Web服務(wù)器300執(zhí)行訪問�。如果安全網(wǎng)關(guān)200檢測出訪問請求中標(biāo)識信息里沒有含有有效的訪問令牌���,執(zhí)行上述步驟S208至步驟S211。
[0060]步驟S213����,安全網(wǎng)關(guān)200定時(shí)�����,老化訪問令牌���。
[0061]在步驟S212中�����,安全網(wǎng)關(guān)200生成訪問令牌T時(shí),安全網(wǎng)關(guān)200中記錄該訪問令牌T的生成時(shí)間,并設(shè)定有效期X秒��;當(dāng)訪問令牌沒有超過有效性X秒時(shí),該訪問令牌T為有效的訪問令牌,如果訪問令牌超過有效性X秒時(shí)��,該訪問令牌T為無效的訪問令牌��,即老化掉該訪問令牌��。需要說明的是,上述有效器X秒可由安全網(wǎng)關(guān)管理員根據(jù)實(shí)際情況設(shè)定����。通過該步驟,提升了對訪問令牌的可信性。
[0062]優(yōu)選地��,可以設(shè)定URL��、IP等免檢測名單����,使用在白名單中的IP、URL不受安全網(wǎng)關(guān)200的保護(hù)����。
[0063]優(yōu)選地,可以設(shè)定URL�、IP等必檢名單�����,使用在黑名單中的IP�、URL受到安全網(wǎng)關(guān)200的保護(hù)。
[0064]需要說明的是,上述的標(biāo)識信息�,在本發(fā)明的實(shí)施例中為客戶端本地站點(diǎn)的Cookie0
[0065]需要說明的是,正常用戶和攻擊者的客戶端都通過網(wǎng)絡(luò)訪問Web服務(wù)器�����。中間通過保護(hù)Web服務(wù)器的安全網(wǎng)關(guān)�����,正常用戶的客戶端請求Web服務(wù)器某一資源時(shí)�����,會有正常的包序列���,例如SYN,ACK,HTTPREQUEST����,RST等�;并且會對安全網(wǎng)關(guān)回應(yīng)的指示(例如,本實(shí)施例中的請求響應(yīng)包)做出相應(yīng)操作;而攻擊者的客戶端在發(fā)送完訪問請求包以后���,包序列有缺失��,并且不會對回應(yīng)的重定向指示做出相應(yīng)動(dòng)作���;可以據(jù)此對正常用戶和攻擊者進(jìn)行區(qū)分�,從而阻斷網(wǎng)絡(luò)攻擊�,保護(hù)Web服務(wù)器����。
[0066]具體地�����,如果客戶端發(fā)出的訪問請求是網(wǎng)絡(luò)攻擊的非法請求����,在安全網(wǎng)關(guān)發(fā)送請求響應(yīng)包至客戶端之后�����,客戶端不會根據(jù)該請求響應(yīng)包從步驟S201開始重復(fù)執(zhí)行�����,如果客戶端100發(fā)出的訪問請求是合法請求,在安全網(wǎng)關(guān)發(fā)送請求響應(yīng)包至客戶端之后�����,客戶端100根據(jù)該請求響應(yīng)包從步驟S201開始重復(fù)執(zhí)行。安全網(wǎng)關(guān)200允許該客戶端100訪問Web服務(wù)器300����。通過上述步驟,解決了現(xiàn)有技術(shù)中網(wǎng)絡(luò)攻擊Web服務(wù)器�����,消耗Web服務(wù)器資源的問題�。優(yōu)選地,解決了現(xiàn)有技術(shù)中CC攻擊Web服務(wù)器���,消耗Web服務(wù)器資源的問題�。
[0067]需要說明的是�,CC攻擊為攻擊者借助代理服務(wù)器生成指向受害主機(jī)的合法請求,實(shí)現(xiàn)DD0S���,和偽裝就叫:CC(Challenge Collapsar)���。CC主要是用來攻擊頁面。例如��,在進(jìn)行論壇訪問時(shí)���,如果該論壇較大����,訪問的人數(shù)較多���,打開頁面的速度會比較慢����,訪問的人越多��,論壇的頁面越多����,數(shù)據(jù)庫就越大,被訪問的頻率也越高����,占用的系統(tǒng)資源也就越多。CC攻擊充分利用了這個(gè)特點(diǎn)��,模擬多個(gè)用戶(即多少線程)不停的訪問服務(wù)器�,特別是訪問那些需要大量數(shù)據(jù)操作���,即需要大量CPU時(shí)間的頁面。從而消耗服務(wù)器資源�。導(dǎo)致服務(wù)器連接池和資源池耗盡,無法響應(yīng)正常用戶的請求�����,導(dǎo)致整個(gè)系統(tǒng)癱瘓的嚴(yán)重后果���。
[0068]本發(fā)明實(shí)施例提供的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理系統(tǒng)�����,客戶端100 ;安全網(wǎng)關(guān)200 ;以及Web服務(wù)器300 ;其中��,安全網(wǎng)關(guān)200接收訪問請求�,安全網(wǎng)關(guān)200檢測標(biāo)識信息中是否包括有效的訪問令牌��,如果安全網(wǎng)關(guān)200檢測標(biāo)識信息中包括有效的訪問令牌���,則允許客戶端100對Web服務(wù)器300執(zhí)行訪問����,以及如果安全網(wǎng)關(guān)200檢測標(biāo)識信息中不包括有效的訪問令牌,則拒絕客戶端100訪問Web服務(wù)器300�����,其中���,訪問請求是客戶端100請求訪問Web服務(wù)器300的請求,訪問請求包括客戶端100的標(biāo)識信息�����,訪問令牌用于驗(yàn)證客戶端100請求訪問Web服務(wù)器300的合法性���。解決了現(xiàn)有技術(shù)中網(wǎng)絡(luò)攻擊Web服務(wù)器�����,消耗Web服務(wù)器資源的問題�����,進(jìn)而達(dá)到有效的防范網(wǎng)絡(luò)攻擊Web服務(wù)器�����,保證Web服務(wù)器的正常運(yùn)行的效果�。
[0069]圖3是根據(jù)本發(fā)明實(shí)施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法的流程圖。如圖3所示���,該方法包括如下的步驟S301至步驟S304:
[0070]步驟S301����,安全網(wǎng)關(guān)接收訪問請求���。
[0071]安全網(wǎng)關(guān)接收客戶端發(fā)送的訪問請求��,其中��,訪問請求是客戶端請求訪問Web服務(wù)器的請求��,訪問請求包括客戶端的標(biāo)識信息�����。
[0072]步驟S302�,安全網(wǎng)關(guān)檢測標(biāo)識信息中是否包括有效的訪問令牌�。
[0073]安全網(wǎng)關(guān)檢測接收到的訪問請求信息中的標(biāo)識信息是否包括有效的訪問令牌,訪問令牌用于驗(yàn)證客戶端請求訪問Web服務(wù)器的合法性。
[0074]步驟S303�����,如果安全網(wǎng)關(guān)檢測標(biāo)識信息中包括有效的訪問令牌����,則允許客戶端對Web服務(wù)器執(zhí)行訪問。
[0075]如果安全網(wǎng)關(guān)檢測標(biāo)識信息中包括有效的訪問令牌����,即該訪問請求為合法的訪問請求�,因此安全網(wǎng)關(guān)允許客戶端對Web服務(wù)器執(zhí)行訪問。
[0076]步驟S304��,如果安全網(wǎng)關(guān)檢測標(biāo)識信息中不包括有效的訪問令牌���,則拒絕客戶端訪問Web服務(wù)器����。
[0077]如果安全網(wǎng)關(guān)檢測標(biāo)識信息中不包括有效的訪問令牌����,即該訪問請求為異常的訪問請求或第一次訪問Web服務(wù)器的請求,安全網(wǎng)關(guān)拒絕客戶端訪問Web服務(wù)器。
[0078]具體地���,訪問請求包括第一訪問請求�����,第一訪問請求標(biāo)識信息中不包括有效的訪問令牌���,安全網(wǎng)關(guān)在判斷出標(biāo)識信息中不包括有效的訪問令牌之后,該方法還包括:安全網(wǎng)關(guān)發(fā)送有效的訪問令牌至客戶端��;安全網(wǎng)關(guān)檢測是否接收到客戶端發(fā)出的第二訪問請求����,其中,第二訪問請求是客戶端在接收到有效的訪問令牌之后����,再次請求訪問Web服務(wù)器的請求;如果安全網(wǎng)關(guān)接收到客戶端發(fā)出的第二訪問請求���,則允許客戶端對Web服務(wù)器執(zhí)行訪問��;以及如果安全網(wǎng)關(guān)沒有接收到客戶端發(fā)出的第二訪問請求��,則拒絕客戶端訪問Web服務(wù)器�。
[0079]在檢測出出異常的訪問請求或第一次正常的訪問請求不包括有效的訪問令牌后,該安全網(wǎng)關(guān)發(fā)送有效的訪問令牌至客戶端���,檢測是否收到第二訪問請求來決定是否允許客戶端訪問Web服務(wù)器���。因?yàn)椋磳eb服務(wù)器進(jìn)行訪問�����,其中�����,第二訪問請求是客戶端重新進(jìn)行Web服務(wù)器訪問時(shí)發(fā)出的請求��,如果客戶端發(fā)出的第一訪問請求是網(wǎng)絡(luò)攻擊的非法請求����,在安全網(wǎng)關(guān)發(fā)送有效的訪問令牌至客戶端之后��,客戶端不會發(fā)出第二訪問請求���,如果客戶端發(fā)出的第一訪問請求是合法請求�,在安全網(wǎng)關(guān)發(fā)送有效的訪問令牌至客戶端之后,則客戶端重新進(jìn)行Web服務(wù)器訪問����。可以據(jù)此對合法請求和非法請求進(jìn)行區(qū)分����,從而阻斷網(wǎng)絡(luò)攻擊,保護(hù)Web服務(wù)器����。
[0080]優(yōu)選地,在本發(fā)明實(shí)施例提供的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法中����,,安全網(wǎng)關(guān)發(fā)送有效的訪問令牌至客戶端包括:安全網(wǎng)關(guān)生成請求響應(yīng)信息���,其中�����,請求響應(yīng)信息是安全網(wǎng)關(guān)根據(jù)接收到的第一訪問請求生成的信息���;安全網(wǎng)關(guān)生成有效的訪問令牌���;安全網(wǎng)關(guān)根據(jù)有效的訪問令牌和請求響應(yīng)信息生成請求響應(yīng)包;以及安全網(wǎng)關(guān)發(fā)送請求響應(yīng)包至客戶端�。
[0081]優(yōu)選地,為了保證訪問令牌的有效性����,在本發(fā)明實(shí)施例提供的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法中,安全網(wǎng)關(guān)檢測標(biāo)識信息中是否包括有效的訪問令牌包括:檢測標(biāo)識信息中是否包括訪問令牌����;如果檢測出標(biāo)識信息中包括訪問令牌,判斷訪問令牌是否符合預(yù)設(shè)的合法性條件�;以及如果訪問令牌符合預(yù)設(shè)的合法性條件,判斷訪問令牌是否超過預(yù)設(shè)時(shí)間����;其中����,如果判斷出標(biāo)識信息中訪問令牌沒有超過預(yù)設(shè)時(shí)間,則確定標(biāo)識信息中訪問令牌為有效的訪問令牌��,如果判斷出標(biāo)識信息中訪問令牌不符合預(yù)設(shè)的合法性條件或標(biāo)識信息中訪問令牌超過預(yù)設(shè)時(shí)間,則確定標(biāo)識信息中訪問令牌不是有效的訪問令牌�����。
[0082]優(yōu)選地�����,為了快速的建立客戶端與Web服務(wù)器之間的連接�,在本發(fā)明實(shí)施例提供的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法中,在安全網(wǎng)關(guān)接收訪問請求之前�����,該方法還包括:安全網(wǎng)關(guān)接收握手信號���,其中���,握手信號為客戶端向Web服務(wù)器發(fā)出建立連接的信號;安全網(wǎng)關(guān)轉(zhuǎn)發(fā)握手信號至Web服務(wù)器�����;安全網(wǎng)關(guān)接收應(yīng)