專利名稱:一種cc攻擊防護(hù)方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù),尤其是涉及一種TOB服務(wù)器的 CC(ChalIengeCollapsar)防護(hù)方法及系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)迅猛發(fā)展,各種形式的網(wǎng)絡(luò)應(yīng)用產(chǎn)品不斷涌現(xiàn),互聯(lián)網(wǎng)應(yīng)用領(lǐng)域不斷拓寬,人們對(duì)專業(yè)IDC及⑶N服務(wù)的市場(chǎng)需求日益增長(zhǎng)。當(dāng)用戶訪問(wèn)加入⑶N服務(wù)的網(wǎng)站 時(shí),域名解析請(qǐng)求將最終交給全局負(fù)載均衡DNS進(jìn)行處理。全局負(fù)載均衡DNS通過(guò)一組預(yù)先 定義好的策略,將當(dāng)時(shí)系統(tǒng)訪問(wèn)速度最快、最接近用戶的節(jié)點(diǎn)緩存服務(wù)器地址提供給用戶, 使用戶能夠得到快速的服務(wù),高速緩存服務(wù)器返回請(qǐng)求所對(duì)應(yīng)的本地資源,或者為客戶請(qǐng) 求存取保存于源點(diǎn)服務(wù)器的數(shù)據(jù),同時(shí)在本地作緩存。CDN網(wǎng)絡(luò)在為用戶提供高速訪問(wèn)時(shí), 也面臨著各種各樣更強(qiáng)的網(wǎng)絡(luò)攻擊,比如DDOS(Distributed Denial of Service)、CC等攻 擊。攻擊者對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行抓取、分析和破解,同時(shí)還采用惡意搶占帶寬的方式,耗 盡服務(wù)器帶寬,使專業(yè)的互聯(lián)網(wǎng)設(shè)備因?yàn)槌惺懿涣顺林氐臄?shù)據(jù)請(qǐng)求而被迫退出服務(wù)。CC攻擊是一種分布式拒絕服務(wù)攻擊是以消耗服務(wù)器資源為目的,這種攻擊不使用 虛假I(mǎi)P,往往通過(guò)大量的代理服務(wù)器來(lái)連接服務(wù)器,通過(guò)向服務(wù)器請(qǐng)求一些較耗服務(wù)器資 源的正常URL請(qǐng)求,使得服務(wù)器CPU計(jì)算資源迅速達(dá)到最高,無(wú)法進(jìn)行其它正常連接。它主 要針對(duì)特定域名的WEB應(yīng)用程序。CDN網(wǎng)絡(luò)節(jié)點(diǎn)服務(wù)器無(wú)法做動(dòng)態(tài)服務(wù)器腳本頁(yè)面緩存。 CC攻擊端向節(jié)點(diǎn)發(fā)送動(dòng)態(tài)服務(wù)器腳本頁(yè)面的請(qǐng)求時(shí),節(jié)點(diǎn)會(huì)向直接向源點(diǎn)服務(wù)器轉(zhuǎn)發(fā)請(qǐng) 求。此時(shí),CDN的節(jié)點(diǎn)緩存服務(wù)器需要維護(hù)攻擊端與節(jié)點(diǎn),節(jié)點(diǎn)與源點(diǎn)服務(wù)器的兩個(gè)TCP連 接。源點(diǎn)服務(wù)器需要維護(hù)節(jié)點(diǎn)與源點(diǎn)間的TCP連接。一次CC攻擊連接需要耗費(fèi)系統(tǒng)三個(gè) TCP連接。隨著攻擊量的增加,CDN系統(tǒng)性能將受到很大影響直至崩潰。目前應(yīng)用于⑶N網(wǎng)絡(luò)服務(wù)的對(duì)抗CC攻擊的常用方法(中國(guó)專利申請(qǐng) 200710177720. 5)是根據(jù)服務(wù)器訪問(wèn)流量閥值大小來(lái)判斷攻擊行為。容易把用戶的正常訪 問(wèn)請(qǐng)求屏蔽掉,如果攻擊者設(shè)置好適當(dāng)?shù)墓羲俣?,則防護(hù)系統(tǒng)難以有效地檢測(cè)出CC攻擊 行為,從而影響域名的訪問(wèn)。因此,目前需要一種能夠快速檢測(cè)出CC攻擊對(duì)象又同時(shí)能夠避免將用戶的正常 訪問(wèn)請(qǐng)求屏蔽掉的方法及系統(tǒng)。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種CC攻擊防護(hù)方法,這種方法可以快速檢測(cè)出CC攻擊對(duì) 象;同時(shí),本發(fā)明也針對(duì)該方法提供了一種CC攻擊防護(hù)系統(tǒng),實(shí)現(xiàn)對(duì)CDN網(wǎng)絡(luò)TOB服務(wù)器的 可靠防護(hù)。為了實(shí)現(xiàn)上述目的,系統(tǒng)采用如下的技術(shù)方案。本發(fā)明公開(kāi)一種CC攻擊防護(hù)方法,包括以下步驟Sl :WEB服務(wù)器接收HTTP請(qǐng)求,判斷來(lái)訪IP是否為第一次訪問(wèn)。S2-1 如果是第一次訪問(wèn),生成客戶端腳本并發(fā)送至客戶端,請(qǐng)求客戶驗(yàn)證所述腳本、將所述驗(yàn)證后的腳本作為安全標(biāo)記并作第二次訪問(wèn)。S2-2 如果不是第一次訪問(wèn),判斷是否為第二次訪問(wèn);如果是第二次訪問(wèn),則判斷 所述第一次與第二次訪問(wèn)的時(shí)間間隔是否在預(yù)設(shè)時(shí)間A內(nèi),如果超過(guò)所述預(yù)設(shè)時(shí)間A,則執(zhí) 行所述步驟3,如果是在所述預(yù)設(shè)時(shí)間A內(nèi)或者不是第二次訪問(wèn),則解析HTTP頭信息。優(yōu)選 地,所述預(yù)設(shè)時(shí)間A為120s、60s、30s、15s或10s。
進(jìn)一步地,驗(yàn)證是否帶有安全標(biāo)記,如果帶有安全標(biāo)記,則判斷安全標(biāo)記是否合 法,如果認(rèn)定合法,則進(jìn)行S2-2-1 ;如果未帶有安全標(biāo)記或安全標(biāo)記不合法,則執(zhí)行S3。S2-2-1 判斷所述IP在預(yù)設(shè)時(shí)間C內(nèi)的訪問(wèn)次數(shù)是否超過(guò)最大訪問(wèn)次數(shù)N2,如果 超過(guò)所述最大訪問(wèn)次數(shù)N2,則將所述IP添加至所述過(guò)濾列表中,如果未超過(guò)所述最大訪問(wèn) 次數(shù)N2,則更新已帶有的所述安全標(biāo)記,并允許其訪問(wèn)WEB服務(wù)器。優(yōu)選地,所述預(yù)設(shè)時(shí)間 C為60s、30s或10s,所述最大訪問(wèn)次數(shù)N2為10000次、5000次、1000次或100次。S3:將所述訪問(wèn)記為一次攻擊,記錄攻擊次數(shù),判斷所述攻擊次數(shù)是否超過(guò)預(yù)設(shè)最 大攻擊次數(shù)W,如果沒(méi)有超過(guò)所述最大攻擊次數(shù)W,則拒絕其訪問(wèn)WEB服務(wù)器,如果超過(guò)所 述最大攻擊次數(shù)Ni,則通過(guò)將所述訪問(wèn)的IP地址添加至過(guò)濾列表來(lái)進(jìn)行底層過(guò)濾,并且拒 絕其訪問(wèn)WEB服務(wù)器。優(yōu)選地,所述最大訪問(wèn)次數(shù)m為30次、20次、10次或5次。優(yōu)選地,在Sl之前,進(jìn)行以下步驟的操作。(i)接受IP訪問(wèn)請(qǐng)求,判斷該IP是否在所述過(guò)濾列表中,如果不在所述過(guò)濾列表 中,則執(zhí)行所述步驟1,如果在所述過(guò)濾列表中,則進(jìn)行步驟(ii);(ii)判斷該IP的此次訪問(wèn)與第一次被添加到所述過(guò)濾列表中的時(shí)間間隔是否在 預(yù)設(shè)時(shí)間B內(nèi),如果超過(guò)所述預(yù)設(shè)時(shí)間B,則在所述過(guò)濾列表中刪除記錄的所述IP地址,并 執(zhí)行所述步驟1,如果在預(yù)設(shè)時(shí)間B內(nèi),則拒絕其進(jìn)行服務(wù)器訪問(wèn)。優(yōu)選地,所述預(yù)設(shè)時(shí)間B 為 24h 或 48h。本發(fā)明針對(duì)以上方法還提供了一種CC攻擊防護(hù)系統(tǒng),該系統(tǒng)包括如下模塊。(I)CC攻擊檢測(cè)模塊,其嵌入到TOB服務(wù)器中,具有以下功能接收功能,接收HTTP請(qǐng)求;計(jì)數(shù)功能,對(duì)攻擊次數(shù)進(jìn)行記錄;識(shí)別功能,判斷來(lái)訪IP是否為第一次訪問(wèn)、是否有所述安全標(biāo)記、所述安全標(biāo)記 是否合法,判斷所述兩次訪問(wèn)時(shí)間間隔是否在預(yù)設(shè)時(shí)間內(nèi),判斷攻擊次數(shù)是否超過(guò)預(yù)設(shè)最 大攻擊次數(shù)或最大訪問(wèn)次數(shù);執(zhí)行功能,根據(jù)所述識(shí)別信息來(lái)執(zhí)行下一步驟;添加功能,將IP地址添加至所述過(guò)濾器模塊中。(2)CC隨機(jī)腳本生成模塊,其生成隨機(jī)的客戶端腳本代碼以及更新安全標(biāo)記。(3)過(guò)濾器模塊,其位于操作系統(tǒng)的網(wǎng)絡(luò)底層(例如NDIS (網(wǎng)絡(luò)驅(qū)動(dòng)器接口標(biāo)準(zhǔn)) 層),動(dòng)態(tài)接受所述CC攻擊檢測(cè)模塊添加的攻擊IP地址并過(guò)濾所述IP連接。(4)控制管理模塊,位于控制管理服務(wù)器,用于在所述CC攻擊防護(hù)系統(tǒng)啟動(dòng)時(shí)為 其他模塊設(shè)置相應(yīng)的工作參數(shù)(比如IP受到攻擊次數(shù)、過(guò)濾IP超時(shí)時(shí)間等信息)。本發(fā)明的防護(hù)方法能迅速、有效地檢測(cè)CC攻擊行為,提高⑶N網(wǎng)絡(luò)TOB服務(wù)器的 防護(hù)能力,在快速檢測(cè)出CC攻擊對(duì)象的同時(shí),又避免了將用戶的正常訪問(wèn)請(qǐng)求屏蔽掉。
圖1是本發(fā)明的CC攻擊防護(hù)方法的流程圖。圖2是本發(fā)明的CC攻擊防護(hù)方法中的過(guò)濾器模塊的工作流程圖。圖3是本發(fā)明的CC防護(hù)系統(tǒng)的組成示意圖。圖4是本發(fā)明的CC防護(hù)系統(tǒng)的流程圖。
具體實(shí)施方式
為了更詳細(xì)的說(shuō)明本發(fā)明的目的和技術(shù)方案,下面結(jié)合附圖并對(duì)本發(fā)明作進(jìn)一步 說(shuō)明。以下結(jié)合附圖1對(duì)本發(fā)明的CC攻擊防護(hù)方法以及完成該方法各個(gè)步驟的系統(tǒng)的 模塊進(jìn)行說(shuō)明。步驟1 通過(guò)控制管理模塊來(lái)設(shè)置相應(yīng)的工作參數(shù),WEB服務(wù)器接收HTTP請(qǐng)求,CC 攻擊檢測(cè)模塊判斷來(lái)訪IP是否為第一次訪問(wèn)。步驟2-1 如果是第一次訪問(wèn),CC隨機(jī)腳本生成模塊生成客戶端腳本并發(fā)送至客 戶端,請(qǐng)求客戶驗(yàn)證所述腳本、將所述驗(yàn)證后的腳本作為安全標(biāo)記并作第二次訪問(wèn)。步驟2-2 如果不是第一次訪問(wèn),CC攻擊檢測(cè)模塊判斷是否為第二次訪問(wèn);如果是 第二次訪問(wèn),則判斷所述第一次與第二次訪問(wèn)的時(shí)間間隔是否在60s內(nèi),如果超過(guò)60s,則 執(zhí)行所述步驟3,如果是在60s內(nèi)或者不是第二次訪問(wèn),則解析HTTP頭信息。進(jìn)一步地,CC攻擊檢測(cè)模塊驗(yàn)證是否帶有安全標(biāo)記,如果帶有安全標(biāo)記,則判斷安 全標(biāo)記是否合法,如果認(rèn)定合法,則進(jìn)行步驟2-2-1 ;如果未帶有安全標(biāo)記或安全標(biāo)記不合 法,則執(zhí)行步驟3。步驟2-2-1 :CC攻擊檢測(cè)模塊判斷所述IP在60s內(nèi)的訪問(wèn)次數(shù)是否超過(guò)最大訪問(wèn) 次數(shù)5000次,如果超過(guò)5000次,則將所述IP添加至所述過(guò)濾列表中,如果未超過(guò)5000次, 則更新已帶有的所述安全標(biāo)記,并允許其訪問(wèn)WEB服務(wù)器。步驟3 =CC攻擊檢測(cè)模塊將所述訪問(wèn)記為一次攻擊,記錄攻擊次數(shù),判斷所述攻擊 次數(shù)是否超過(guò)預(yù)設(shè)最大攻擊次數(shù)30次,如果沒(méi)有超過(guò)30次,則拒絕其訪問(wèn)TOB服務(wù)器,如 果超過(guò)30次,則通過(guò)將所述訪問(wèn)的IP地址添加至過(guò)濾列表來(lái)進(jìn)行底層過(guò)濾,并且拒絕其訪 問(wèn)WEB服務(wù)器。其中,本發(fā)明的隨機(jī)腳本驗(yàn)證過(guò)程能夠以多種方式實(shí)現(xiàn),本文以非窮舉地舉例如 下。(I)Cookie 腳本處理Cookie驗(yàn)證是通過(guò)驗(yàn)證客戶端腳本生成的,位于HTTP頭里面的安全標(biāo)記來(lái)檢測(cè) 是否為CC攻擊。WEB服務(wù)器收到由客戶端發(fā)起的以下HTTP請(qǐng)求GET/dir/page.htmHTTP/1. 1Host :www. 8u. cnCC攻擊檢測(cè)模塊在檢測(cè)到來(lái)訪IP為合法IP后,且沒(méi)有安全標(biāo)記后,由隨機(jī)腳本生 成模塊生成相應(yīng)的響應(yīng)體發(fā)送給客戶端執(zhí)行
HTTP/1. 02000KContent-Type : text/htmlContent-Length 295Accept-Ranges:bytesConnection :close<script>var mycookie = " abcdf32" ;var cl =" 0fdfee6f464a72c04d8106d fc7c2b81b8dc5b8130dc79d7577025c2197// ;var c2 = " 5c2197" ;mycookie+ = cl ;var td = new DateO ;td. setDate (td. getDate ()+30) ;var myurl = " / “ ;document, cookie =“xx8abUxANTICC = CODE = “ +mycookie+ “ ;expires = “ +td. toGMTString() + “; path = / ; “ ;location = myurl ;</script)客戶端接收到來(lái)自于TOB服務(wù)器的響應(yīng)并執(zhí)行腳本代碼,再向WEB服務(wù)器發(fā)送帶 有Cookie標(biāo)記執(zhí)行結(jié)果的請(qǐng)求GET/dir/page. htm HTTP/1. 1Host :www. 8u. cnCookie :xx8abUxANTICC = CODE = e4714093496eab6b4a72c04d8106dfc74b5ed3c a86ab4d221cc717dab6802be0CC檢測(cè)模塊收到客戶端請(qǐng)求后,驗(yàn)證Cookie安全標(biāo)記,只有標(biāo)記匹配的才識(shí)別為 安全請(qǐng)求,由隨機(jī)腳本生成模塊更新安全標(biāo)記后轉(zhuǎn)交由WEB服務(wù)器繼續(xù)執(zhí)行。(2)用戶交互檢查用戶交互檢查用于驗(yàn)證使用瀏覽器控件(比如IE Web控件)來(lái)進(jìn)行CC攻擊的請(qǐng) 求,這種請(qǐng)求向客戶端發(fā)送腳本后,在客戶端瀏覽器的控件中生成的頁(yè)面要求用戶必須通 過(guò)點(diǎn)擊才能正常訪問(wèn)域名。WEB服務(wù)器收到由客戶端發(fā)起的以下HTTP請(qǐng)求GET/dir/page. htmHTTP/1. 1Host :www. 8u. cnCC模塊在檢測(cè)到來(lái)訪IP為合法IP后,且沒(méi)有安全標(biāo)記后,由隨機(jī)腳本生成模塊生 成相應(yīng)的響應(yīng)體發(fā)送給客戶端執(zhí)行HTTP/1. 02000KContent-Type text/htmlContent-Length 434Accept-Ranges :bytesConnection :close<script>var mycookie = “ e4714093496eab6bd0decf8b5ac448de754f42695aa9d aea〃 ; var td = new DateO ;td. setDate (td. getDate ()+30) ; var myurl = “ /〃 ;function go fun () {document, cookie= CN8UANTICC = CODE = " +mycookie+" ;expires = " +td. toGMTString ()+ “ ;path = / ; “ ;location = myurl ;} </scriptXbody topmargin = IOOXdiv style = " display:none/r Xa href =〃 javascript: gofun2 () ; 〃 > ;^、擊進(jìn) 人網(wǎng)立占 </a></div><div align = centerXa href =〃 j avascript:gofun() ; 〃 > ;^擊進(jìn)入網(wǎng)站 </a></div></body>客戶端接收到來(lái)自于TOB服務(wù)器的響應(yīng)并執(zhí)行腳本代碼,腳本代碼生成要求用戶 點(diǎn)擊的網(wǎng)頁(yè)。如果用戶不點(diǎn)擊生成的鏈接,IE Web控件不會(huì)訪問(wèn)要攻擊的域名。(3) URL 檢查URL檢查是把用戶訪問(wèn)的域名變成腳本,再返回給客戶端,由客戶端在執(zhí)行腳本后,由腳本來(lái)訪問(wèn)域名。隨機(jī)腳本生成模塊會(huì)生成以下腳本代碼返回給客戶端HTTP/1. 02000KContent-Type text/htmlContent-Length 295Accept-Ranges:bytesConnection :close<script>var myurl = " / ? “ ;var ul = " dc090f" ;var u2 = " abcwkey"; var u3 = " 0fee6f “ ;varu4 = " c83bdc “ ;myurl+ = u2 ;myurl+ = " =" ;myurl+ = u4 ;location = myurl ;</script)客戶端接收到來(lái)自于TOB服務(wù)器的響應(yīng)并執(zhí)行腳本代碼,腳本代碼要求客戶端自 動(dòng)重新連接的腳本指定的域名。客戶再次連接WEB服務(wù)器后,CC攻擊檢測(cè)模塊收到客戶端 請(qǐng)求,驗(yàn)證Cookie安全標(biāo)記,接著由隨機(jī)腳本生成模塊更新安全標(biāo)記后轉(zhuǎn)交由WEB服務(wù)器 繼續(xù)執(zhí)行。以下結(jié)合附圖2對(duì)本發(fā)明的過(guò)濾器及其工作流程進(jìn)行說(shuō)明。在步驟1之前,來(lái)訪IP先經(jīng)過(guò)所述過(guò)濾器模塊的處理。所述過(guò)濾器模塊的工作流程如下。(i)接受IP訪問(wèn)請(qǐng)求,判斷該IP是否在所述過(guò)濾列表中,如果不在所述過(guò)濾列表 中,則執(zhí)行所述步驟1,如果在所述過(guò)濾列表中,則進(jìn)行步驟(ii);(ii)判斷該IP的此次訪問(wèn)與第一次被添加到所述過(guò)濾列表中的時(shí)間間隔是否在 預(yù)設(shè)時(shí)間B內(nèi),如果超過(guò)所述預(yù)設(shè)時(shí)間B,則在所述過(guò)濾列表中刪除記錄的所述IP地址,并 執(zhí)行所述步驟1,如果在預(yù)設(shè)時(shí)間48h內(nèi),則拒絕其進(jìn)行服務(wù)器訪問(wèn)。圖3是CC攻擊防護(hù)系統(tǒng)的系統(tǒng)組成示意圖。如圖3所示,系統(tǒng)包含了 CC攻擊檢 測(cè)模塊、CC隨機(jī)腳本生成模塊、過(guò)濾器模塊以及控制管理模塊。CC攻擊檢測(cè)模塊實(shí)現(xiàn)了對(duì)所有訪問(wèn)WEB服務(wù)器的HTTP請(qǐng)求檢測(cè)、隨機(jī)腳本生成 和添加IP到過(guò)濾器的功能。CC攻擊檢測(cè)模塊由IP檢測(cè)模塊和隨機(jī)腳本生成模塊組成,IP 檢測(cè)模塊用于檢查來(lái)訪問(wèn)是否為合法IP。CC隨機(jī)腳本生成模塊,其生成隨機(jī)的客戶端腳本代碼以及更新安全標(biāo)記。過(guò)濾器模塊由實(shí)時(shí)過(guò)濾器和參數(shù)設(shè)置模塊組成。實(shí)時(shí)過(guò)濾器子模塊實(shí)時(shí)接收來(lái)自 網(wǎng)絡(luò)的IP數(shù)據(jù)包,根據(jù)過(guò)濾IP列表過(guò)濾非法IP。參數(shù)設(shè)置模塊用于接收和讀取過(guò)濾器模 塊中。管理控制模塊用于設(shè)定和監(jiān)控系統(tǒng)中各模塊工作參數(shù),由實(shí)時(shí)監(jiān)測(cè)和參數(shù)設(shè)置模 塊組成,實(shí)時(shí)監(jiān)測(cè)模塊實(shí)時(shí)獲取位于⑶N網(wǎng)絡(luò)所有在線TOB服務(wù)器中CC過(guò)濾器模塊的工作 情況,以便管理員即時(shí)知道CC攻擊情況并作出相應(yīng)處理。參數(shù)設(shè)置模塊用于設(shè)置和保存系統(tǒng)各模塊的工作參數(shù),比如CC檢測(cè)IP超時(shí)時(shí)間、域名攻擊最大次數(shù)以及添加和刪除攻擊IP寸。參見(jiàn)圖4,對(duì)本發(fā)明的CC攻擊防護(hù)系統(tǒng)及過(guò)濾器模塊的工作流程進(jìn)行更詳盡的說(shuō) 明。系統(tǒng)啟動(dòng)時(shí),初始化過(guò)濾器、CC攻擊檢測(cè)模塊的工作參數(shù),并啟 動(dòng)過(guò)濾器。過(guò)濾器 位于操作系統(tǒng)網(wǎng)絡(luò)組件的NDIS層,直接處理發(fā)送到TOB服務(wù)器的IP數(shù)據(jù)包,在過(guò)濾器中有 一過(guò)濾IP鏈表,當(dāng)有IP連接訪問(wèn)系統(tǒng)時(shí),過(guò)濾器檢索來(lái)訪IP是否是要過(guò)濾的IP,如果是則 直接拒絕連接,否則放行該連接。進(jìn)一步地,位于TOB服務(wù)器的CC攻擊檢測(cè)模塊檢測(cè)連接是否是CC攻擊,如果不是 CC攻擊,則為此請(qǐng)求提供正常WEB服務(wù),如果是CC攻擊,在達(dá)到1000次后,拒絕此次訪問(wèn), 將此IP添加到過(guò)濾器中。過(guò)濾器模塊位于TOB服務(wù)器操作系統(tǒng)的網(wǎng)絡(luò)底層(例如Windows 2003系統(tǒng)的 NDIS (網(wǎng)絡(luò)驅(qū)動(dòng)器接口標(biāo)準(zhǔn))層),系統(tǒng)初始化時(shí),過(guò)濾器加載由控制管理器預(yù)設(shè)的工作參 數(shù)并啟動(dòng)。當(dāng)有IP訪問(wèn)WEB服務(wù)器時(shí),過(guò)濾器模塊首先接收到訪問(wèn)請(qǐng)求,過(guò)濾器模塊檢查 來(lái)訪IP是否在過(guò)濾列表中。如果來(lái)訪IP不在過(guò)濾列表中,則過(guò)濾器模塊直接放行此IP的 連接。如果來(lái)訪IP在過(guò)濾IP列表中,過(guò)濾器模塊會(huì)檢查IP的本次訪問(wèn)時(shí)間與添加時(shí)間 之差是否超過(guò)系統(tǒng)預(yù)設(shè)的IP超時(shí)時(shí)間-例如24小時(shí)-如果沒(méi)有超時(shí),過(guò)濾器模塊直接拒 絕此IP的連接,如果超過(guò)了預(yù)設(shè)時(shí)間,則過(guò)濾器模塊自動(dòng)將此IP從過(guò)濾列表中刪除,同時(shí) 放行此IP的連接。
權(quán)利要求
一種CC攻擊防護(hù)方法,其特征在于,包括以下步驟步驟1判斷訪問(wèn)是否為第一次訪問(wèn);步驟2-1如果是第一次訪問(wèn),生成客戶端腳本并發(fā)送至客戶端,請(qǐng)求客戶驗(yàn)證所述腳本、將所述驗(yàn)證后的腳本作為安全標(biāo)記并作第二次訪問(wèn);步驟2-2如果不是第一次訪問(wèn),解析HTTP頭信息,判斷所述訪問(wèn)請(qǐng)求中是否帶有所述安全標(biāo)記以及所述安全標(biāo)記是否合法,如果訪問(wèn)不帶有所述安全標(biāo)記或所述安全標(biāo)記不合法,則進(jìn)行步驟3;如果帶有合法的安全標(biāo)記,則允許其訪問(wèn)WEB服務(wù)器;步驟3將所述訪問(wèn)記為一次攻擊,拒絕其進(jìn)行WEB服務(wù)器訪問(wèn)。
2.根據(jù)權(quán)利要求1所述的CC攻擊防護(hù)方法,其特征在于,在所述步驟2-2中,在判斷 不是第一次訪問(wèn)后,進(jìn)一步判斷是否為第二次訪問(wèn);如果是第二次訪問(wèn),則判斷所述第一次 與第二次訪問(wèn)的時(shí)間間隔是否在預(yù)設(shè)時(shí)間A內(nèi),如果超過(guò)所述預(yù)設(shè)時(shí)間A,則執(zhí)行所述步驟 3,如果是在所述預(yù)設(shè)時(shí)間A內(nèi)或者不是第二次訪問(wèn),則解析HTTP頭信息。
3.根據(jù)權(quán)利要求2所述的CC攻擊防護(hù)方法,其特征在于,所述預(yù)設(shè)時(shí)間A為120s、60s、 30s、15s 或 10s。
4.根據(jù)權(quán)利要求1所述的CC攻擊防護(hù)方法,其特征在于,在所述步驟3中,在將所述 訪問(wèn)記為一次攻擊后,記錄攻擊次數(shù),判斷所述攻擊次數(shù)是否超過(guò)預(yù)設(shè)最大攻擊次數(shù)附,如 果沒(méi)有超過(guò)所述最大攻擊次數(shù)N1,則拒絕其訪問(wèn)TOB服務(wù)器,如果超過(guò)所述最大攻擊次數(shù) m,則通過(guò)將所述訪問(wèn)的IP地址添加至過(guò)濾列表來(lái)進(jìn)行底層過(guò)濾,并且拒絕其訪問(wèn)WEB服 務(wù)器;優(yōu)選地,所述最大訪問(wèn)次數(shù)m為30次、20次、10次或5次。
5.根據(jù)權(quán)利要求4所述的CC攻擊防護(hù)方法,其特征在于,在所述步驟2-2中,在判斷所 述訪問(wèn)帶有合法的安全標(biāo)記后,判斷所述IP在預(yù)設(shè)時(shí)間C內(nèi)的訪問(wèn)次數(shù)是否超過(guò)最大訪問(wèn) 次數(shù)N2 ;如果超過(guò)所述最大訪問(wèn)次數(shù)N2,則將所述IP添加至所述過(guò)濾列表中,如果未超過(guò) 所述最大訪問(wèn)次數(shù)N2,則允許其訪問(wèn)TOB服務(wù)器;優(yōu)選地,其中所述預(yù)設(shè)時(shí)間C為60s、30s 或10s,所述最大訪問(wèn)次數(shù)N2為10000次、5000次、1000次或100次。
6.根據(jù)權(quán)利要求5所述的CC攻擊防護(hù)方法,其特征在于,在判斷所述IP在預(yù)設(shè)時(shí)間C 內(nèi)的訪問(wèn)次數(shù)是否超過(guò)最大訪問(wèn)次數(shù)N2之后,在允許其訪問(wèn)TOB服務(wù)器之前,更新已帶有 的所述安全標(biāo)記。
7.根據(jù)權(quán)利要求4所述的CC攻擊防護(hù)方法,其特征在于,在執(zhí)行所述步驟1之前,進(jìn)行 以下步驟(i)接受IP訪問(wèn)請(qǐng)求,判斷該IP是否在所述過(guò)濾列表中,如果不在所述過(guò)濾列表中,則 執(zhí)行所述步驟1,如果在所述過(guò)濾列表中,則進(jìn)行步驟(ii);(ii)判斷該IP的此次訪問(wèn)與第一次被添加到所述過(guò)濾列表中的時(shí)間間隔是否在預(yù)設(shè) 時(shí)間B內(nèi),如果超過(guò)所述預(yù)設(shè)時(shí)間B,則在所述過(guò)濾列表中刪除記錄的所述IP地址,并執(zhí)行 所述步驟1,如果在預(yù)設(shè)時(shí)間B內(nèi),則拒絕其進(jìn)行服務(wù)器訪問(wèn)。
8.根據(jù)權(quán)利要求7所述的CC攻擊防護(hù)方法,其特征在于,所述預(yù)設(shè)時(shí)間B為24h或48h。
9.根據(jù)權(quán)利要求1所述的CC攻擊防護(hù)方法,其特征在于,完成所述客戶端腳本的生成 及驗(yàn)證的方法選自下述方法所述驗(yàn)證腳本通過(guò)Cookie腳本生成,所述Cookie腳本通過(guò)客戶端腳本生成驗(yàn)證;所述驗(yàn)證腳本通過(guò)用戶交互檢驗(yàn)生成,所述用戶交互檢驗(yàn)驗(yàn)證瀏覽器控件發(fā)送來(lái)的請(qǐng)求;所述驗(yàn)證腳本通過(guò)URL檢查生成,所述URL檢查是把用戶訪問(wèn)的鏈接轉(zhuǎn)換為腳本,再返 回給客戶端,由客戶端在執(zhí)行腳本后,由腳本來(lái)訪問(wèn)域名。
10. 一種根據(jù)權(quán)利要求1-9任一項(xiàng)的CC攻擊防護(hù)方法的CC攻擊防護(hù)系統(tǒng),其包括以下 模塊CC攻擊檢測(cè)模塊,嵌入到WEB服務(wù)器中,其接收HTTP請(qǐng)求,對(duì)攻擊次數(shù)進(jìn)行記錄,判 斷來(lái)訪IP是否為第一次訪問(wèn)、是否帶有所述安全標(biāo)記、所述安全標(biāo)記是否合法,判斷兩次 訪問(wèn)時(shí)間間隔是否在預(yù)設(shè)時(shí)間A或B或c內(nèi),判斷攻擊次數(shù)是否超過(guò)預(yù)設(shè)最大攻擊次數(shù)m 或最大訪問(wèn)次數(shù)N2,根據(jù)所述判斷信息來(lái)執(zhí)行下一步驟,將IP地址添加至所述過(guò)濾器模塊 中;CC隨機(jī)腳本生成模塊,其生成隨機(jī)的客戶端腳本代碼以及更新所述安全標(biāo)記; 過(guò)濾器模塊,其位于操作系統(tǒng)的網(wǎng)絡(luò)底層,動(dòng)態(tài)接受所述CC攻擊檢測(cè)模塊添加的攻擊 IP地址并過(guò)濾所述IP地址;控制管理模塊,位于控制管理服務(wù)器,用于在所述CC攻擊防護(hù)系統(tǒng)啟動(dòng)時(shí)為上述模塊 設(shè)置相應(yīng)的工作參數(shù)。
全文摘要
本發(fā)明涉及一種CC攻擊防護(hù)方法及其系統(tǒng)。其方法包括以下步驟,步驟1判斷訪問(wèn)是否為第一次訪問(wèn);步驟2-1如果是第一次訪問(wèn),生成客戶端腳本并發(fā)送至客戶端,請(qǐng)求客戶驗(yàn)證所述腳本、將所述驗(yàn)證后的腳本作為安全標(biāo)記并作第二次訪問(wèn);步驟2-2如果不是第一次訪問(wèn),解析HTTP頭信息,判斷所述訪問(wèn)請(qǐng)求中是否帶有所述安全標(biāo)記以及所述安全標(biāo)記是否合法,如果訪問(wèn)不帶有所述安全標(biāo)記或所述安全標(biāo)記不合法,則進(jìn)行步驟3;如果帶有合法的安全標(biāo)記,則允許其訪問(wèn)WEB服務(wù)器;步驟3將所述訪問(wèn)記為一次攻擊,拒絕其進(jìn)行WEB服務(wù)器訪問(wèn)。該系統(tǒng)其包括以下模塊,CC攻擊檢測(cè)模塊,CC隨機(jī)腳本生成模塊,過(guò)濾器模塊,控制管理模塊。本發(fā)明的方法能夠快速檢測(cè)出CC攻擊對(duì)象并避免了將用戶的正常訪問(wèn)請(qǐng)求屏蔽掉。
文檔編號(hào)H04L29/06GK101834866SQ201010163069
公開(kāi)日2010年9月15日 申請(qǐng)日期2010年5月5日 優(yōu)先權(quán)日2010年5月5日
發(fā)明者湯霜輝 申請(qǐng)人:北京來(lái)安科技有限公司