專利名稱:Cc攻擊防范方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)���,尤其涉及挑戰(zhàn)黑洞(CC, Challenge Collapsar) 攻擊防范方法及裝置。
背景技術(shù):
隨著信息技術(shù)的迅速發(fā)展��,計算機網(wǎng)絡(luò)技術(shù)在全球各行各業(yè)中得到了廣 泛普及和推廣����,然而,網(wǎng)絡(luò)應(yīng)用的快速發(fā)展以及網(wǎng)絡(luò)規(guī)模的急劇膨脹��,在為 企業(yè)帶來生產(chǎn)經(jīng)營效率的同時�,也使得網(wǎng)絡(luò)中的安全漏洞無處不在。這些安 全漏洞為網(wǎng)絡(luò)攻擊提供了滋生的土壤��,近年來流行的CC攻擊便是網(wǎng)絡(luò)攻擊 中的一種���。CC攻擊是一種基于頁面的分布式拒絕服務(wù)(DDoS����, Distributed Denial of Service)攻擊,它通過發(fā)送耗性能的超文本傳l敘協(xié)議(HTTP, Hypertext TransferProtocol)請求HTTPGET來消耗服務(wù)器資源���。圖l示出了 CC攻擊 的典型模式示意圖����,攻擊主機(attacker host)多次通過網(wǎng)絡(luò)中的代理服務(wù)器 向目標主機(target host)上開銷比較大的頁面發(fā)起HTTP請求�����,如數(shù)據(jù)庫 查詢等�,導(dǎo)致目標主機進行大量計算,很快達到處理能力極限���,從而拒絕所 有用戶的服務(wù)請求���。與普通的依靠大量報文進行攻擊、導(dǎo)致目標主機瞬間癱瘓的DDoS攻擊 不同�����,CC攻擊主要是通過多次訪問目標主機上開銷比較大的頁面來實現(xiàn)目 標主機的資源消耗的�����,其不需要過大的報文流量��,具有很強的隱蔽性���。由于 CC攻擊的流量與合法用戶的訪問流量完全一樣���,因此,普通的DDoS檢測 (如GET報文速率檢測或利用HTTP協(xié)議特性檢測)并不能準確識別CC 攻擊�,無法對目標主機實行有效的保護。
發(fā)明內(nèi)容有鑒于此��,本發(fā)明的主要目的在于提供一種cc攻擊防范方法及裝置�, 以準確識別cc攻擊,實現(xiàn)對目標主機的有效保護��。 為達到上述目的��,本發(fā)明提供的技術(shù)方案如下一種CC攻擊防范方法��,該方法包括計算目標主機發(fā)出的響應(yīng)報文數(shù) 與目標主機收到的請求報文數(shù)間的比值�����;根據(jù)計算得到的比值與預(yù)先設(shè)定的 比值閾值之間的大小關(guān)系確定目標主機是否受到CC攻擊。所述比值為目標主才幾發(fā)出的響應(yīng)t艮文數(shù)除以目標主才幾收到的請求才艮文 數(shù)的值��;所述根據(jù)計算得到的比值與預(yù)先設(shè)定的比值閾值之間的大小關(guān)系確 定目標主機是否受到CC攻擊包括判斷計算得到的比值是否小于預(yù)先設(shè)定 的比值閾值����,如果小于,則確定目標主機受到CC攻擊����。所述比值為目標主機發(fā)出的響應(yīng)報文數(shù)除以目標主機收到的請求凈艮文 數(shù)的值時,所述比值閾值通過以下方式獲得在統(tǒng)計時間內(nèi)����,以分鐘為單位, 統(tǒng)計處于正常負荷狀態(tài)下的目標主機每分鐘發(fā)出的響應(yīng)報文數(shù)除以收到的 請求報文數(shù)的值���,并從中選取最小的值作為比值閾值���。所述比值為目標主機收到的請求才艮文數(shù)除以目標主才幾發(fā)出的響應(yīng)才艮文 數(shù)的值;所述根據(jù)計算得到的比值與預(yù)先設(shè)定的比值閾值之間的大小關(guān)系確 定目標主機是否受到CC攻擊包括判斷計算得到的比值是否大于預(yù)先設(shè)定 的比值閾值��,如果大于,則確定目標主機受到CC攻擊�。所述比值為目標主機收到的請求報文數(shù)除以目標主機發(fā)出的響應(yīng)報文 數(shù)的值時,所述比值閾值通過以下方式獲得在統(tǒng)計時間內(nèi)�,以分鐘為單位, 統(tǒng)計處于正常負荷狀態(tài)下的目標主機每分鐘收到的請求報文數(shù)除以發(fā)出的 響應(yīng)報文數(shù)的值�����,并從中選取最大的值作為比值閾值����。該方法進一步包括分別計算各個向目標主機發(fā)送請求報文的客戶端收 到的響應(yīng)報文數(shù)與發(fā)出的請求報文數(shù)間的比值�,在確定目標主機受到CC攻 擊后,對所述比值滿足預(yù)定要求的客戶端執(zhí)行重定向操作�。
所述客戶端收到的響應(yīng)報文數(shù)與發(fā)出的請求報文數(shù)間的比值為客戶端 收到的響應(yīng)報文數(shù)除以客戶端發(fā)出的請求報文數(shù)的值,所述被執(zhí)行重定向操 作的客戶端為所述比值相對較小或低于預(yù)設(shè)值的客戶端���;或者�����,所述客戶端收到的響應(yīng)報文數(shù)與發(fā)出的請求報文數(shù)間的比值為客 戶端發(fā)出的請求報文數(shù)除以客戶端收到的響應(yīng)報文數(shù)的值���,所述被執(zhí)行重定 向操作的客戶端為所述比值相對較大或超過預(yù)設(shè)值的客戶端。該方法進一步包括設(shè)置阻斷閾值�,在目標主機發(fā)出的響應(yīng)報文數(shù)與收 到的請求報文數(shù)間的比值達到阻斷閾值后�����,對收到的響應(yīng)報文數(shù)與發(fā)出的請 求報文數(shù)間的比值滿足預(yù)定要求的客戶端進行阻斷�����。該方法進一步包括統(tǒng)計被阻斷的客戶端在當前統(tǒng)計周期內(nèi)發(fā)送的請求報文數(shù)量���,在目標主機發(fā)出的響應(yīng)報文數(shù)與收到的請求報文數(shù)間的比值恢復(fù) 正常后,解除對統(tǒng)計的請求報文數(shù)小于設(shè)定報文閾值的客戶端的阻斷���。一種CC攻擊防范裝置���,包括比值計算單元和攻擊判斷單元,其中���, 比值計算單元��,用于計算目標主機發(fā)出的響應(yīng)報文數(shù)與目標主機收到的請求報文數(shù)間的比值��,并將計算得到的比值發(fā)送給攻擊判斷單元�;攻擊判斷單元,用于根據(jù)收到的比值與預(yù)先設(shè)定的比值閾值之間的大小關(guān)系確定目標主機是否受到CC攻擊���。所述比值計算單元計算的比值為目標主機發(fā)出的響應(yīng)報文數(shù)除以目標 主機收到的請求報文數(shù)的值��,所述攻擊判斷單元判斷收到的比值是否小于預(yù) 先設(shè)定的比值閾值����,如果小于����,則確定目標主機受到CC攻擊���;或者�����,所述比值計算單元計算的比值為目標主機收到的請求報文數(shù)除以 目標主機發(fā)出的響應(yīng)報文數(shù)的值��,所述攻擊判斷單元判斷收到的比值是否大 于預(yù)先設(shè)定的比值閾值���,如果大于,則確定目標主機受到CC攻擊�。該裝置進一步包括重定向單元,用于分別計算各個向目標主機發(fā)送請 求報文的客戶端收到的響應(yīng)報文數(shù)與發(fā)出的請求報文數(shù)間的比值,在確定目 標主機受到CC攻擊后�����,對所述比值滿足預(yù)定要求的客戶端執(zhí)行重定向操作����。該裝置進一步包括阻斷單元,用于在目標主機發(fā)出的響應(yīng)報文數(shù)與收到的請求報文數(shù)間的比值達到預(yù)先設(shè)定的阻斷閾值后����,對收到的響應(yīng)報文數(shù) 與發(fā)出的請求報文數(shù)間的比值滿足預(yù)定要求的客戶端進行阻斷。所述阻斷單元進一步用于���,統(tǒng)計被阻斷的客戶端在當前統(tǒng)計周期內(nèi)發(fā)送 的請求報文數(shù)量�,在目標主機發(fā)出的響應(yīng)報文數(shù)與收到的請求報文數(shù)間的比 值恢復(fù)正常后����,解除對統(tǒng)計的請求報文數(shù)小于設(shè)定報文閾值的客戶端的阻 斷。該裝置位于HTTP代理服務(wù)器或網(wǎng)關(guān)設(shè)備中�����。由此可見�,本發(fā)明充分利用了目標主機在遭受CC攻擊后性能逐漸下降��, 目標主機發(fā)出的響應(yīng)報文數(shù)與收到的請求報文數(shù)之間的差距逐漸增大的特 性�����,提出了一種有效的CC攻擊防范方案��,即計算目標主機發(fā)出的響應(yīng)報文 數(shù)與收到的請求報文數(shù)間的比值���,根據(jù)計算得到的比值與預(yù)先設(shè)定的比值閾 值之間的大小關(guān)系確定目標主機是否受到CC攻擊。利用本發(fā)明所提供的技 術(shù)方案���,可以準確地識別CC攻擊,為有效保護目標主機奠定堅實基礎(chǔ)���。并且�����,進一步地���,本發(fā)明還可以通過統(tǒng)計各個客戶端收到的響應(yīng)報文tt 與發(fā)出的請求報文數(shù)間的比值,來確定哪些客戶端是最有可能發(fā)送惡意流量 的客戶端����,從而對這些惡意客戶端執(zhí)行重定向操作或者阻斷操作�,以保護目 標主機不受惡意客戶端的CC攻擊����。
圖1為CC攻擊的典型模式示意圖。圖2為本發(fā)明實施例中的CC攻擊防范方法流程圖���。圖3為本發(fā)明實施例中的CC攻擊防范裝置結(jié)構(gòu)示意圖��。
具體實施方式
為使本發(fā)明的目的�、技術(shù)方案及優(yōu)點更加清楚明白�����,下面參照附圖并舉 實施例��,對本發(fā)明作進一步詳細說明�。本發(fā)明提供了一種CC攻擊防范方法,其基本思想是統(tǒng)計目標主機發(fā)
出的響應(yīng)報文(RESPONSE)數(shù)與目標主機收到的請求報文(GET )數(shù)間的 比值�����,根據(jù)該比值的變化來確定目標主機是否受到CC攻擊���。比如�����,計算目 標主機發(fā)出的響應(yīng)報文數(shù)除以目標主機收到的請求報文數(shù)的值(下稱目標主 機的RESPONSE/GET值)���,并預(yù)先設(shè)定一個比值閾值(該比值閾值小于1 ), 然后�,判斷計算得到的比值是否小于預(yù)先設(shè)定的比值閾值��,如果小于��,則確 定目標主機受到CC攻擊����。由于CC攻擊與其它普通的DDoS攻擊不同,其不是通過構(gòu)造大量攻擊 報文使目標主機在極短的時間內(nèi)處于癱瘓狀態(tài)���,而是通過持續(xù)不斷地發(fā)送性 能消耗比較大的請求報文使目標主機的性能逐漸下降,目標主機從遭受CC 攻擊到被攻擊癱瘓需要一定的時間���,因此�,雖然本發(fā)明檢測到目標主機 RESPONSE/GET值變小確定發(fā)生CC攻擊的時候���,目標主機已經(jīng)遭受了 CC 攻擊�,但鑒于CC攻擊的特性,此時再及時采取相應(yīng)的處理措施����,還是可以 寸呆護目標主才凡的。另外����,當目標主機遭受CC攻擊時,不僅目標主機發(fā)出的響應(yīng)報文數(shù)與 目標主機收到的請求報文數(shù)的比值會變小����,同理,客戶端收到的響應(yīng)報文數(shù) 與客戶端發(fā)出的請求報文數(shù)的比值(下稱客戶端的RESPONSE/GET值)同 樣也會變小��。并且�,客戶端發(fā)出的請求報文數(shù)越多,其收到的響應(yīng)報文數(shù)與 發(fā)出的請求報文數(shù)的比值就相對越小���。鑒于攻擊主機是通過持續(xù)不斷地向目 標主機發(fā)送耗性能的請求報文來消耗目標主機的資源的��,其發(fā)出的請求報文 數(shù)比合法主機要多�,因此�,當發(fā)生CC攻擊時�����,客戶端的RESPONSE/GET 值越小�����,該客戶端是攻擊主機的嫌疑就越大��。也就是說���,本發(fā)明不僅可以通 過統(tǒng)計目標主機的RESPONSE/GET值來判斷是否發(fā)生了 CC攻擊,進一步 地����,還可以通過統(tǒng)計客戶端的RESPONSE/GET值來確定哪些客戶端是發(fā)出 惡意流量的攻擊主機。其中�����,所述統(tǒng)計目標主機RESPONSE/GET值并確定是否發(fā)生CC攻擊����, 以及統(tǒng)計客戶端RESPONSE/GET值并確定攻擊主機的操作���,可以由位于被 保護的目標主機前端的安全設(shè)備(如位于目標主機和客戶端之間的HTTP代理服務(wù)器或網(wǎng)關(guān)設(shè)備等)來完成��。為更加清楚起見���,下面結(jié)合圖2對本發(fā)明中的CC攻擊防范方法進行詳 細闡述��。如圖2所示�,該方法主要包括以下步驟步驟201 : 在目標主才幾負荷正常的情況下��,統(tǒng)計目標主才幾 RESPONSE/GET的比值閾值����。比如,在預(yù)先設(shè)定的統(tǒng)計時間內(nèi)��,安全設(shè)備以一分鐘為一個統(tǒng)計周期��, 統(tǒng)計處于正常負荷狀態(tài)下的目標主才幾在構(gòu)成統(tǒng)計時間的每個統(tǒng)計周期發(fā)出 的響應(yīng)報文數(shù)與收到的請求報文數(shù)的比值即RESPONSE/GET值��,并從中選 取最小的比值作為比值閾值����。需要說明的是,所述統(tǒng)計周期可以根據(jù)實際需 求自行設(shè)置,而不限于以分鐘為單位進行���。其中��,統(tǒng)計目標主機在每個統(tǒng)計周期發(fā)出的響應(yīng)報文數(shù)與收到的請求報 文數(shù)的比值的具體過程包括在該統(tǒng)計周期內(nèi)�����,目標主機每收到一個請求報 文(即安全設(shè)備每向目標主機轉(zhuǎn)發(fā)一個來自客戶端的請求報文)��,安全設(shè)備 就將目標主機收到的請求報文數(shù)加1;目標主才幾每發(fā)出 一個響應(yīng)報文(即安 全設(shè)備每向客戶端轉(zhuǎn)發(fā)一個來自目標主機的響應(yīng)報文)���,安全設(shè)備就將目標 主機發(fā)出的響應(yīng)報文數(shù)加1;最后,安全設(shè)備計算在該統(tǒng)計周期內(nèi)目標主才幾 發(fā)出的響應(yīng)報文總數(shù)與目標主機收到的請求報文總數(shù)的比值����,將該比值作為 該統(tǒng)計周期的RESPONSE/GET值。并且���,安全設(shè)備持續(xù)一段時間(如8小 時)反復(fù)執(zhí)行上述統(tǒng)計操作�����,并在構(gòu)成該時間段即統(tǒng)計時間的各個統(tǒng)計周期 中��,取其中最小的RESPONSE/GET值作為目標主機RESPONSE/GET的比 值閾值�。較佳地��,所述統(tǒng)計時間應(yīng)該包括目標主才幾的典型應(yīng)用時段�����,即如果 目標主機應(yīng)用最繁忙的時段是20:00 22:00 ��,則統(tǒng)計時間就應(yīng)該包含 20:00-22:00這個時段�。假設(shè)目標主片兒192.168.1.1在統(tǒng)計時間內(nèi)的各個統(tǒng)計周期中統(tǒng)計的 RESPONSE/GET值如表1所示,且在這些統(tǒng)計周期中��,比值最小的是0.8, 那么����,目標主機RESPONSE/GET的比值閾值將會被設(shè)置成0.8。表 1步驟202:實時統(tǒng)計目標主機的RESPONSE/GET值��,同時����,統(tǒng)計向目 標主機發(fā)送請求報文的各個客戶端的RESPONSE/GET值,并在每個統(tǒng)計周 期�,判斷當前統(tǒng)計周期內(nèi)統(tǒng)計的目標主機的RESPONSE/GET值是否小于步 驟201中確定的比值閾值,如果小于,則確定目標主機遭受CC攻擊����,執(zhí)行 步驟203;否則,繼續(xù)執(zhí)行步驟202����。其中,步驟202所述實時統(tǒng)計周期與確定比值閾值時的統(tǒng)計周期相同�, 在本實施例中,均是以分鐘為單位�����,即安全i殳備每分鐘統(tǒng)計一次目標主機的 RESPONSE/GET值和客戶端的RESPONSE/GET值�。統(tǒng)計客戶端的 RESPONSE/GET值是針對各個不同的客戶端分別進行的,即安全設(shè)備分別 為各個客戶端統(tǒng)計RESPONSE/GET值�����,其具體操作過程如下在當前統(tǒng)計 周期內(nèi)�����,客戶端每發(fā)出一個請求報文(即安全設(shè)備每向目標主機轉(zhuǎn)發(fā)一個來 自客戶端的請求報文)����,安全設(shè)備就將該客戶端發(fā)出的請求報文數(shù)加1;該 客戶端每收到一個響應(yīng)報文(即安全設(shè)備每向該客戶端轉(zhuǎn)發(fā)一個來自目標主 機的響應(yīng)報文)�,安全設(shè)備就將該客戶端收到的響應(yīng)報文數(shù)加1;最后����,安 全設(shè)備計算當前統(tǒng)計周期內(nèi)該客戶端收到的響應(yīng)報文總數(shù)與發(fā)出的請求報 文總數(shù)的比值��,將該比值作為該客戶端在當前統(tǒng)計周期內(nèi)的 RESPONSE/GET值���。步驟203:在確定目標主機遭受CC攻擊后�,安全設(shè)備根據(jù)步驟202中 統(tǒng)計的各個客戶端的當前RESPONSE/GET值���,確定最有可能是攻擊主機的 客戶端���,并執(zhí)行相應(yīng)處理措施,對目標主機進行保護�����。
比如���,假設(shè)安全設(shè)備維護的當前統(tǒng)計周期內(nèi)各個客戶端的RESPONSE/GET值如表2所示�����。由于客戶端的RESPONSE/GET值越小�,是 攻擊主機的嫌疑就越大,因此�,安全設(shè)備在確定目標主機遭受CC攻擊后, 可以從表2中選取RESPONSE/GET值最小的幾個客戶端(如IO個)或者選 取RESPONSE/GET值低于預(yù)設(shè)值的客戶端����,在收到來自這些被選擇的客戶 端的請求報文后,不立即轉(zhuǎn)發(fā)給目標主機�,而是向這些客戶端發(fā)送重定向報 文,要求這些客戶端重新發(fā)送請求報文����,這樣可以延遲將來自這些客戶端的 請求報文發(fā)向目標主機,從而降低目標主機的處理壓力�,防止目標主機某個 時刻流量特別大而造成誤判?�?蛻舳薘ESPONSE/GET192.168.1.20.8192.168.1.30.710.1.1.10.9表 2在執(zhí)行重定向操作后���,安全設(shè)備依然對目標主機和客戶端的 RESPONSE/GET值進行統(tǒng)計���,如果目標主機的RESPONSE/GET值繼續(xù)減 少��,低于預(yù)先設(shè)定的阻斷閾值(如0.75)�����,則安全設(shè)備可以對當前統(tǒng)計周期 內(nèi)RESPONSE/GET值較小的幾個客戶端(如10個)進行阻斷�,不允許這些 客戶端向目標主機發(fā)送請求報文�,以消除對目標主機的CC攻擊,其中����,所 述阻斷閾值小于比值閾值��。并且���,對于被阻斷的客戶端�����,安全設(shè)備分別統(tǒng)計它們在每個統(tǒng)計周期內(nèi) 發(fā)送的請求報文數(shù)量�,在目標主機的RESPONSE/GET值恢復(fù)到正常值(如 0.8)后一定時間(如2分鐘)����,如果安全設(shè)備統(tǒng)計的當前統(tǒng)計周期內(nèi)被阻 斷的某個客戶端發(fā)送的請求報文數(shù)量小于預(yù)先設(shè)定的報文閾值(如8個)�, 則安全設(shè)備解除對該客戶端的阻斷����。
在以上實施例中,對根據(jù)目標主機的RESPONSE/GET值來確定目標主 機是否受到CC攻擊�,以及根據(jù)客戶端的RESPONSE/GET值來確定最有可 能是攻擊主機的客戶端并采取相應(yīng)處理措施的方案進行了詳細說明。需要說 明的是�,本發(fā)明不僅可以通過計算目標主機的RESPONSE/GET值來確定目 標主機是否受到CC攻擊,還可以通過計算目標主機的GET/RESPONSE值 來確定目標主機是否受到CC攻擊�,即計算目標主機收到的請求報文數(shù)除以 目標主機發(fā)出的響應(yīng)報文數(shù)的值,并判斷計算得到的比值是否大于預(yù)先設(shè)定 的比值閾值(該比值閾值大于1)���,如果大于���,則確定目標主機受到CC攻 擊。與步驟201中確定比值闞值的過程同理��,這里的比值閾值也可以通過以 下方式獲得在統(tǒng)計時間內(nèi)��,以分鐘為單位��,統(tǒng)計處于正常負荷狀態(tài)下的目 標主機每分鐘收到的請求報文數(shù)與發(fā)出的響應(yīng)報文數(shù)的比值即 GET/RESPONSE值���,并從中選取最大的值作為比值閾值����。另外,在確定目標主才幾受到CC攻擊后����,不<又可以對收到的響應(yīng)番艮文數(shù) 與發(fā)出的請求報文數(shù)的比值即RESPONSE/GET值滿足預(yù)定要求的客戶端執(zhí) 行重定向或阻斷操作,也可以對發(fā)出的請求報文數(shù)與收到的響應(yīng)報文^:的比 值即GET/RESPONSE值滿足預(yù)定要求的客戶端執(zhí)行重定向或阻斷操作���。比 如�,從所有向目標主機發(fā)送請求報文的客戶端中�����,選取GET/RESPONSE值 最大的5個客戶端或者選取GET/RESPONSE值超過預(yù)設(shè)值的客戶端���,對它 們執(zhí)行重定向或阻斷操作。與本發(fā)明提供的CC攻擊防范方法相對應(yīng)���,本發(fā)明還提供了一種CC攻 擊防范裝置�����,該裝置可位于HTTP代理服務(wù)器或網(wǎng)關(guān)設(shè)備中���,其結(jié)構(gòu)參見圖 3所示����,主要包括比值計算單元和攻擊判斷單元����,其中,比值計算單元�,用于計算目標主機發(fā)出的響應(yīng)報文數(shù)與目標主機收到的 請求報文數(shù)間的比值,并將計算得到的比值發(fā)送給攻擊判斷單元���;攻擊判斷單元�����,用于根據(jù)收到的比值與預(yù)先設(shè)定的比值閾值之間的大小 關(guān)系確定目標主機是否受到CC攻擊���。
較佳地,所述比值計算單元計算的比值為目標主機發(fā)出的響應(yīng)報文數(shù)除 以目標主機收到的請求報文數(shù)的值����,所述攻擊判斷單元判斷收到的比值是否
小于預(yù)先設(shè)定的比值閾值,如果小于,則確定目標主機受到CC攻擊�;
或者,所述比值計算單元計算的比值為目標主機收到的請求報文數(shù)除以 目標主機發(fā)出的響應(yīng)報文數(shù)的值�����,所述攻擊判斷單元判斷收到的比值是否大
于預(yù)先設(shè)定的比值閾值����,如果大于,則確定目標主機受到CC攻擊���。
如圖3所示��,該裝置可進一步包括重定向單元�����,用于分別計算各個向 目標主機發(fā)送請求報文的客戶端收到的響應(yīng)報文數(shù)與發(fā)出的請求報文數(shù)間 的比值����,在確定目標主機受到CC攻擊后����,對所述比值滿足預(yù)定要求的客戶 端執(zhí)行重定向操作。
另外����,該裝置還可進一步包括阻斷單元,用于在目標主機發(fā)出的響應(yīng) 報文數(shù)與收到的請求報文數(shù)間的比值達到預(yù)先設(shè)定的阻斷閾值后�,對收到的 響應(yīng)報文數(shù)與發(fā)出的請求報文數(shù)間的比值滿足預(yù)定要求的客戶端進行阻斷。 所述阻斷單元還可進一步用于����,統(tǒng)計被阻斷的客戶端在當前統(tǒng)計周期內(nèi) 發(fā)送的請求報文數(shù)量,在目標主機發(fā)出的響應(yīng)報文數(shù)與收到的請求報文數(shù)間 的比值恢復(fù)正常后���,解除對統(tǒng)計的請求報文數(shù)小于設(shè)定報文閾值的客戶端的 阻斷����。
以上所述對本發(fā)明的目的�����、技術(shù)方案和有益效果進行了進一步的詳細說 明�����,所應(yīng)理解的是�����,以上所述并不用以限制本發(fā)明,凡在本發(fā)明的精神和原 則之內(nèi)��,所做的任何修改�����、等同替換����、改進等,均應(yīng)包含在本發(fā)明的保護范 圍之內(nèi)�����。
權(quán)利要求
1�、一種CC攻擊防范方法,其特征在于����,該方法包括計算目標主機發(fā)出的響應(yīng)報文數(shù)與目標主機收到的請求報文數(shù)間的比值;根據(jù)計算得到的比值與預(yù)先設(shè)定的比值閾值之間的大小關(guān)系確定目標主機是否受到CC攻擊���。
2、 根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述比值為目標主機發(fā)出的 響應(yīng)報文數(shù)除以目標主機收到的請求報文數(shù)的值����;所述根據(jù)計算得到的比值與預(yù)先設(shè)定的比值闊值之間的大小關(guān)系確定目標 主機是否受到CC攻擊包括判斷計算得到的比值是否小于預(yù)先設(shè)定的比值闊 值���,如果小于���,則確定目標主機受到CC攻擊。
3��、 根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述比值閾值通過以下方式 獲得在統(tǒng)計時間內(nèi)��,以分鐘為單位���,統(tǒng)計處于正常負荷狀態(tài)下的目標主機每 分鐘發(fā)出的響應(yīng)報文數(shù)除以收到的請求報文數(shù)的值��,并從中選取最小的值作為 比值閾值��。
4�����、 根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述比值為目標主機收到的 請求報文數(shù)除以目標主機發(fā)出的響應(yīng)報文數(shù)的值;所述根據(jù)計算得到的比值與預(yù)先設(shè)定的比值閾值之間的大小關(guān)系確定目標 主機是否受到CC攻擊包括判斷計算得到的比值是否大于預(yù)先設(shè)定的比值閾 值�����,如果大于��,則確定目標主機受到CC攻擊���。
5����、 根據(jù)權(quán)利要求4所述的方法����,其特征在于,所述比值閾值通過以下方式 獲得在統(tǒng)計時間內(nèi)�����,以分鐘為單位,統(tǒng)計處于正常負荷狀態(tài)下的目標主機每 分鐘收到的請求報文數(shù)除以發(fā)出的響應(yīng)報文數(shù)的值���,并從中選取最大的值作為 比值閾值。
6�����、 根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,該方法進一步包括 分別計算各個向目標主機發(fā)送請求報文的客戶端收到的響應(yīng)報文數(shù)與發(fā)出的請求報文數(shù)間的比值����,在確定目標主機受到CC攻擊后���,對所述比值滿足預(yù)定要求的客戶端執(zhí)行重定向操作�。
7�、 根據(jù)權(quán)利要求6所述的方法,其特征在于��,所ii^戶端收到的響應(yīng)報文 數(shù)與發(fā)出的請求報文數(shù)間的比值為客戶端收到的響應(yīng)報文數(shù)除以客戶端發(fā)出的 請求報文數(shù)的值,所述被執(zhí)行重定向操作的客戶端為所述比值相對較小或低于預(yù)設(shè)值的客戶端���;或者����,所述客戶端收到的響應(yīng)報文數(shù)與發(fā)出的請求報文數(shù)間的比值為客戶 端發(fā)出的請求報文數(shù)除以客戶端收到的響應(yīng)報文數(shù)的值����,所述被執(zhí)行重定向操 作的客戶端為所述比值相對較大或超過預(yù)設(shè)值的客戶端。
8��、 根據(jù)權(quán)利要求1或7所述的方法���,其特征在于����,該方法進一步包括 設(shè)置阻斷閾值����,在目標主機發(fā)出的響應(yīng)報文數(shù)與收到的請求報文數(shù)間的比值達到阻斷閾值后,對收到的響應(yīng)報文數(shù)與發(fā)出的請求報文數(shù)間的比值滿足預(yù) 定要求的客戶端進行阻斷����。
9�����、 根據(jù)權(quán)利要求8所述的方法���,其特征在于��,該方法進一步包括 統(tǒng)計被阻斷的客戶端在當前統(tǒng)計周期內(nèi)發(fā)送的請求報文數(shù)量�,在目標主機發(fā)出的響應(yīng)報文數(shù)與收到的請求報文數(shù)間的比值恢復(fù)正常后,解除對統(tǒng)計的請 求報文數(shù)小于設(shè)定報文閾值的客戶端的阻斷�。
10、 一種CC攻擊防范裝置��,其特征在于����,包括比值計算單元和攻擊判 斷單元,其中��,比值計算單元���,用于計算目標主機發(fā)出的響應(yīng)報文數(shù)與目標主機收到的請 求報文數(shù)間的比值���,并將計算得到的比值發(fā)送給攻擊判斷單元����;攻擊判斷單元����,用于根據(jù)收到的比值與預(yù)先設(shè)定的比值閾值之間的大小關(guān) 系確定目標主機是否受到CC攻擊。
11�、根據(jù)權(quán)利要求IO所述的裝置,其特征在于�,所述比值計算單元計算的 比值為目標主機發(fā)出的響應(yīng)報文數(shù)除以目標主機收到的請求報文數(shù)的值,所述 攻擊判斷單元判斷收到的比值是否小于預(yù)先設(shè)定的比值閾值����,如果小于,則確 定目標主機受到CC攻擊��;或者�,所述比值計算單元計算的比值為目標主機收到的請求報文數(shù)除以目 標主機發(fā)出的響應(yīng)報文數(shù)的值,所述攻擊判斷單元判斷收到的比值是否大于預(yù)先設(shè)定的比值閾值�����,如果大于�,則確定目標主機受到cc攻擊。
12、 根據(jù)權(quán)利要求IO所述的裝置����,其特征在于,該裝置進一步包括 重定向單元�,用于分別計算各個向目標主機發(fā)送請求報文的客戶端收到的響應(yīng)報文數(shù)與發(fā)出的請求報文數(shù)間的比值,在確定目標主機受到CC攻擊后����, 對所述比值滿足預(yù)定要求的客戶端執(zhí)行重定向操作。
13����、 根據(jù)權(quán)利要求10至12任一項所述的裝置����,其特征在于,該裝置進一 步包括阻斷單元��,用于在目標主機發(fā)出的響應(yīng)報文數(shù)與收到的請求報文數(shù)間的比 值達到預(yù)先設(shè)定的阻斷閾值后�����,對收到的響應(yīng)報文數(shù)與發(fā)出的請求報文數(shù)間的 比值滿足預(yù)定要求的客戶端進行阻斷�。
14、 根據(jù)權(quán)利要求13所述的裝置,其特征在于���,所述阻斷單元進一步用于���, 統(tǒng)計被阻斷的客戶端在當前統(tǒng)計周期內(nèi)發(fā)送的請求報文數(shù)量,在目標主機發(fā)出 的響應(yīng)報文數(shù)與收到的請求報文數(shù)間的比值恢復(fù)正常后��,解除對統(tǒng)計的請求報 文數(shù)小于設(shè)定報文閾值的客戶端的阻斷���。
15�、 根據(jù)權(quán)利要求IO所述的裝置�,其特征在于,該裝置位于HTTP代理服 務(wù)器或網(wǎng)關(guān)設(shè)備中�����。
全文摘要
本發(fā)明提供了一種CC攻擊防范方法�,該方法包括計算目標主機發(fā)出的響應(yīng)報文數(shù)與目標主機收到的請求報文數(shù)間的比值;根據(jù)計算得到的比值與預(yù)先設(shè)定的比值閾值之間的大小關(guān)系確定目標主機是否受到CC攻擊�。另外,本發(fā)明還提供了一種CC攻擊防范裝置�。利用本發(fā)明提供的技術(shù)方案,可以準確識別CC攻擊�,從而實現(xiàn)對目標主機的有效保護�����。
文檔編號H04L29/06GK101150586SQ200710177720
公開日2008年3月26日 申請日期2007年11月20日 優(yōu)先權(quán)日2007年11月20日
發(fā)明者宇 高 申請人:杭州華三通信技術(shù)有限公司