專利名稱:防范cc攻擊的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,特別涉及防范挑戰(zhàn)黑洞(CC Challenge Collapsar)攻擊的方法和裝置���。
背景技術(shù):
隨著因特網(wǎng)(Internet)的不斷發(fā)展,接入網(wǎng)絡(luò)的用戶和各種應(yīng)用服務(wù)器越來(lái)越多�����。而由于hternet在設(shè)計(jì)時(shí)首要考慮的是接入網(wǎng)絡(luò)的便利性�,并沒(méi)有充分考慮到接入網(wǎng)絡(luò)的安全性,這導(dǎo)致越來(lái)越多的網(wǎng)絡(luò)應(yīng)用受到日益嚴(yán)重的安全威脅���,比如分布式拒絕服務(wù) (DDoS)攻擊等���。TOB服務(wù)器是目前hternet網(wǎng)絡(luò)上部署最多的應(yīng)用服務(wù)器,因此���,針對(duì)TOB服務(wù)器的DDoS攻擊也是最為常見(jiàn)?��,F(xiàn)有針對(duì)DDoS攻擊比較有效的防御方案是TCP Syn Cookie, 也就是由DDoS防護(hù)設(shè)備通過(guò)單向或雙向代理的方式代理客戶端發(fā)過(guò)來(lái)的syn報(bào)文��,先和客戶段完成TCP握手�,如果客戶端能夠通過(guò)握手驗(yàn)證����,說(shuō)明是真實(shí)的,而那些偽造源IP的客戶端無(wú)法通過(guò)握手驗(yàn)證�,以此來(lái)達(dá)到防范DDoS攻擊的目的。但是�����,近年以來(lái)���,基于頁(yè)面的DDoS攻擊(稱為CC攻擊)逐漸成為DDoS攻擊的主要手段�����,危害也逐漸加大����。所謂CC攻擊�����,指的是通過(guò)攻擊程序比如代理服務(wù)器或者其他控制系統(tǒng)如肉雞等向WEB服務(wù)器發(fā)起大量HTTP連接。由于現(xiàn)有防御方案即TCP Syn Cookie 只能針對(duì)仿冒源IP的攻擊���,而對(duì)于CC攻擊則無(wú)能為力���,因?yàn)镃C攻擊的客戶端都是真實(shí)存在的,必然會(huì)通過(guò)上述的握手驗(yàn)證��,如此���,CC攻擊發(fā)起的大量HTTP連接就無(wú)法被攔截,這導(dǎo)致WEB服務(wù)器資源被大量消耗�,直至無(wú)法正常提供服務(wù)。
發(fā)明內(nèi)容
本發(fā)明提供了防范CC攻擊的方法和裝置�,以便通過(guò)有效區(qū)分自然人和攻擊程序, 攔截CC攻擊����。本發(fā)明提供的技術(shù)方案包括—種防范CC攻擊的方法,該方法應(yīng)用于設(shè)置在被保護(hù)的web服務(wù)器之前的流量清洗設(shè)備上�����,該方法包括A,所述流量清洗設(shè)備接收到客戶端向所述web服務(wù)器發(fā)送的第一請(qǐng)求報(bào)文后�����,判斷所述第一請(qǐng)求報(bào)文攜帶的源IP地址是否存在于已建立的認(rèn)證通過(guò)白名單中�,如果是,繼續(xù)發(fā)送所述第一請(qǐng)求報(bào)文至所述web服務(wù)器����;否則,發(fā)送重定向命令至所述客戶端���,以使所述客戶端接收到所述重定向命令后向所述流量清洗設(shè)備發(fā)起第二請(qǐng)求報(bào)文�,并執(zhí)行步驟 B ���;B,所述流量清洗設(shè)備對(duì)接收的第二請(qǐng)求報(bào)文進(jìn)行驗(yàn)證�����,如果驗(yàn)證通過(guò)����,則向所述客戶端推送確認(rèn)頁(yè)面,所述確認(rèn)頁(yè)面要求使用所述客戶端的用戶輸入該確認(rèn)頁(yè)面中顯示的確認(rèn)碼�����;C���,所述流量清洗設(shè)備對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證�����,如果驗(yàn)證通過(guò)��,則將所述源
5IP地址加入所述認(rèn)證通過(guò)白名單中����,并再次發(fā)送重定向命令至所述客戶端���,以使所述客戶端向所述web服務(wù)器發(fā)送第一請(qǐng)求報(bào)文,之后返回執(zhí)行步驟A��。一種防范CC攻擊的裝置���,該裝置設(shè)置在被保護(hù)的web服務(wù)器之前�����,包括判斷單元�,用于接收到客戶端向所述web服務(wù)器發(fā)送的第一請(qǐng)求報(bào)文后,判斷所述第一請(qǐng)求報(bào)文攜帶的源IP地址是否存在于已建立的認(rèn)證通過(guò)白名單中�����,如果是�,繼續(xù)發(fā)送所述第一請(qǐng)求報(bào)文至所述web服務(wù)器;否則���,發(fā)送重定向命令至所述客戶端����,以使所述客戶端接收到所述重定向命令后重新發(fā)起第二請(qǐng)求報(bào)文���;第一驗(yàn)證單元,用于對(duì)接收的第二請(qǐng)求報(bào)文進(jìn)行驗(yàn)證���,如果驗(yàn)證通過(guò)�����,則向所述客戶端推送確認(rèn)頁(yè)面�����,所述確認(rèn)頁(yè)面要求使用所述客戶端的用戶輸入該確認(rèn)頁(yè)面中顯示的確認(rèn)碼�;第二驗(yàn)證單元,用于對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證�,如果驗(yàn)證通過(guò),則將所述源IP 地址加入所述認(rèn)證通過(guò)白名單中�����,并再次發(fā)送重定向命令至客戶端��,以使所述客戶端向所述web服務(wù)器發(fā)送第一請(qǐng)求報(bào)文��。由以上技術(shù)方案可以看出�,本發(fā)明中,如果發(fā)送請(qǐng)求報(bào)文的客戶端被自然人使用��, 則在流量清洗設(shè)備向所述客戶端推送確認(rèn)頁(yè)面時(shí)��,自然人很顯然可以正確識(shí)別確認(rèn)頁(yè)面中的確認(rèn)碼���,也可以輸入正確的確認(rèn)碼。如此,即可通過(guò)流量清洗設(shè)備對(duì)用戶輸入的確認(rèn)碼的驗(yàn)證�����,訪問(wèn)被保護(hù)的web服務(wù)器���。而如果客戶端為攻擊程序����,比如為代理或者木馬����,由于目前的技術(shù)無(wú)法使攻擊程序快速正確識(shí)別確認(rèn)碼,因此����,攻擊程序不能在通過(guò)流量清洗設(shè)備對(duì)確認(rèn)碼的驗(yàn)證,進(jìn)而也就無(wú)法真正訪問(wèn)web服務(wù)器���。也就是說(shuō)�����,本發(fā)明通過(guò)對(duì)確認(rèn)碼驗(yàn)證能夠區(qū)分自然人和攻擊程序���,達(dá)到防范CC攻擊的目的���。
圖1為本發(fā)明實(shí)施例提供的基本流程圖;圖2為本發(fā)明實(shí)施例提供的詳細(xì)流程圖���;圖3為本發(fā)明實(shí)施例提供的裝置結(jié)構(gòu)圖���。
具體實(shí)施例方式為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述����。本發(fā)明提供的技術(shù)方案包括圖1所示的流程。參見(jiàn)圖1�,圖1為本發(fā)明實(shí)施例提供的基本流程圖。在圖1所示的流程執(zhí)行之前�����, 先在被保護(hù)的web服務(wù)器之前設(shè)置流量清洗設(shè)備�����,由該流量清洗設(shè)備對(duì)經(jīng)過(guò)的流量進(jìn)行清洗來(lái)達(dá)到保護(hù)該web服務(wù)器的目的�����。之后��,如圖1所示����,該流量清洗設(shè)備可執(zhí)行以下操作步驟101,流量清洗設(shè)備接收到客戶端向web服務(wù)器發(fā)送的第一請(qǐng)求報(bào)后��,判斷所述第一請(qǐng)求報(bào)文攜帶的源IP地址是否存在于已建立的認(rèn)證通過(guò)白名單中���,如果是���,繼續(xù)發(fā)送所述第一請(qǐng)求報(bào)文至所述web服務(wù)器;否則���,發(fā)送重定向命令至所述客戶端���,以使所述客戶端接收到所述重定向命令后重新發(fā)起第二請(qǐng)求報(bào)文��,并執(zhí)行步驟102����。其中��,第二請(qǐng)求報(bào)文是向流量清洗設(shè)備發(fā)起的�,其與第一請(qǐng)求報(bào)文訪問(wèn)的URL不同。
步驟102����,流量清洗設(shè)備對(duì)接收的第二請(qǐng)求報(bào)文進(jìn)行驗(yàn)證,如果驗(yàn)證通過(guò)�,則向所述客戶端推送確認(rèn)頁(yè)面,所述確認(rèn)頁(yè)面要求使用該客戶端的用戶輸入該確認(rèn)頁(yè)面中顯示的確認(rèn)碼����。步驟103,流量清洗設(shè)備對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證��,如果驗(yàn)證通過(guò)����,則將所述源IP地址加入所述認(rèn)證通過(guò)白名單中,并再次發(fā)送重定向命令至所述戶端���,以使所述客戶端向所述web服務(wù)器發(fā)送第一請(qǐng)求報(bào)文�����,之后返回執(zhí)行步驟101�����。如果所述客戶端被自然人使用�����,則自然人很顯然可以正確識(shí)別確認(rèn)頁(yè)面中的確認(rèn)碼����,進(jìn)而可以輸入正確的確認(rèn)碼����。而如果所述客戶端為攻擊程序,比如為代理或者木馬�����,由于目前的技術(shù)無(wú)法使攻擊程序快速正確識(shí)別確認(rèn)碼����,因此�����,攻擊程序不能在步驟103中通過(guò)驗(yàn)證����,進(jìn)而也就無(wú)法真正訪問(wèn)web服務(wù)器����。至此,通過(guò)上面流程實(shí)現(xiàn)了本發(fā)明實(shí)施例提供的基本流程�����。在上述流程中�,第一請(qǐng)求報(bào)文、第二請(qǐng)求報(bào)文都可為HTTP請(qǐng)求��,下面以HTTP請(qǐng)求為例對(duì)本發(fā)明實(shí)施例提供的方法進(jìn)行詳細(xì)描述����。參見(jiàn)圖2,圖2為本發(fā)明實(shí)施例提供的詳細(xì)流程圖。如圖2所示�,該流程可包括以下步驟步驟201,在被保護(hù)的web服務(wù)器(記為服務(wù)器1)之前設(shè)置流量清洗設(shè)備���。步驟202�,流量清洗設(shè)備監(jiān)測(cè)服務(wù)器1的流量��,如果監(jiān)測(cè)到該服務(wù)器1的流量超過(guò)設(shè)定門(mén)限��,或者監(jiān)測(cè)到服務(wù)器1的HTTP請(qǐng)求數(shù)量超過(guò)設(shè)定上限�,則開(kāi)啟自然人行為驗(yàn)證功能����。步驟203,流量清洗設(shè)備在接收到客戶端向服務(wù)器1發(fā)送的第一 HTTP請(qǐng)求后���,判斷所述第一 HTTP請(qǐng)求攜帶的源IP地址是否存在于已建立的認(rèn)證通過(guò)白名單中����,如果是�����,執(zhí)行步驟204,否則��,執(zhí)行步驟205��。也就是時(shí)�����,在流量清洗設(shè)備開(kāi)啟自然人行為驗(yàn)證功能后����,才可執(zhí)行步驟203 ;而在流量清洗設(shè)備開(kāi)啟自然人行為驗(yàn)證功能之前��,流量清洗設(shè)備則可直接發(fā)送HTTP請(qǐng)求至服務(wù)器1��。步驟204���,繼續(xù)發(fā)送第一 HTTP請(qǐng)求至服務(wù)器1����。如此���,即可由服務(wù)器1對(duì)該第一 HTTP請(qǐng)求進(jìn)行響應(yīng)��。步驟205���,判斷第一 HTTP請(qǐng)求攜帶的源IP地址是否存在于已建立的黑名單中�����,如果是����,執(zhí)行步驟206��,否則��,執(zhí)行步驟207���。需要說(shuō)明的是,步驟203中的白名單和步驟205中的黑名單都可動(dòng)態(tài)更新�����,具體可按照IP地址的時(shí)間長(zhǎng)度進(jìn)行更新����。比如,以步驟204中的白名單為例,步驟205中的黑名單類似�����,則如果一 IP地址在白名單中的時(shí)間超過(guò)設(shè)定時(shí)間比如一分鐘�,則將該IP地址從白名單中刪除。步驟206��,丟棄該第一 HTTP請(qǐng)求�����。結(jié)束當(dāng)前流程���。步驟207�,從第一 HTTP請(qǐng)求提取出統(tǒng)一資源定位符URL(記為URL1)���,在該提取的 URLl中附加經(jīng)過(guò)設(shè)定規(guī)則生成的字符形成字符串A���,將字符串A攜帶在重定向命令中發(fā)送至所述客戶端。本步驟207中�,經(jīng)過(guò)設(shè)定規(guī)則生成的字符附加在URLl中的位置具體不限,比如��,附加在URLl之前、附加在URLl之后����、或者附加在URLl的中間等。以經(jīng)過(guò)設(shè)定規(guī)則生成的字
7符附加在URLl之后為例��,如果第一 HTTP請(qǐng)求中的URL為www. abed, com,按照設(shè)定規(guī)則生成的字符為$ge34 I #,則步驟207形成的字符串A為www. abed. com$ge34 | #��。另外�����,本步驟207中的設(shè)定規(guī)則具體實(shí)現(xiàn)時(shí)可為消息認(rèn)證碼函數(shù)等�,本發(fā)明實(shí)施例并不具體限定。步驟208���,客戶端接收到重定向命令后,重新發(fā)起URL為字符串A的第二 HTTP請(qǐng)求����。步驟209,流量清洗設(shè)備獲取第二 HTTP請(qǐng)求攜帶的URL���,判斷獲取的URL是否為字符串A����,如果是,則確定驗(yàn)證通過(guò)�����,執(zhí)行步驟210 �;否則,認(rèn)為第二 HTTP請(qǐng)求為新的HTTP請(qǐng)求��,將第二 HTTP請(qǐng)求作為第一 HTTP請(qǐng)求����,返回執(zhí)行步驟203中的判斷操作。步驟210��,向客戶端推送確認(rèn)頁(yè)面�����,所述確認(rèn)頁(yè)面要求使用該客戶端的用戶輸入該確認(rèn)頁(yè)面中顯示的確認(rèn)碼����。本步驟210中,確認(rèn)碼可以包括英文字符�����、數(shù)字、特殊字符中的至少一個(gè)�,并且,為了避免光學(xué)字符識(shí)別(OCR)軟件對(duì)該確認(rèn)碼識(shí)別�,需要保證確認(rèn)頁(yè)面顯示的確認(rèn)碼經(jīng)過(guò)模糊、變形處理����。此外,作為本發(fā)明實(shí)施例的一個(gè)擴(kuò)展�����,該確認(rèn)碼還可以是隨機(jī)生成的一個(gè)運(yùn)算表達(dá)式��,要求使用該客戶端的用戶輸入運(yùn)算結(jié)果�,或者為一系列顏色不同的字符,要求使用該客戶端的用戶輸入其中某種顏色的字符作為確認(rèn)碼等���,本發(fā)明實(shí)施例并不具體限定。步驟211�����,流量清洗設(shè)備對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證,如果驗(yàn)證通過(guò)���,則將所述源IP地址加入所述認(rèn)證通過(guò)白名單中����,之后執(zhí)行步驟212 �����;否則���,結(jié)束當(dāng)前流程�。如果是自然人使用該客戶端����,當(dāng)然可以正確識(shí)別確認(rèn)頁(yè)面中的確認(rèn)碼,也能輸入正確的確認(rèn)碼����,在確認(rèn)碼通過(guò)驗(yàn)證之后,流量清洗設(shè)備會(huì)把該源IP地址加入白名單中����,并繼續(xù)執(zhí)行步驟212����。而如果是攻擊程序比如代理或者木馬����,由于目前的技術(shù)無(wú)法保證其快速正確的識(shí)別這些確認(rèn)碼,自然無(wú)法通過(guò)驗(yàn)證�,也就無(wú)法真正訪問(wèn)服務(wù)器1。本步驟211通過(guò)對(duì)確認(rèn)碼驗(yàn)證能夠區(qū)分自然人和攻擊程序�,達(dá)到防范CC攻擊的目的。需要說(shuō)明的是����,本實(shí)施例中,為了減輕流量清洗設(shè)備的壓力���,可以在步驟210推送確認(rèn)頁(yè)面之前記錄源IP地址���,在執(zhí)行步驟211的驗(yàn)證時(shí),先判斷當(dāng)前時(shí)間與記錄所述源IP 地址的時(shí)間之差是否在預(yù)定時(shí)間內(nèi)����,如果是,繼續(xù)執(zhí)行對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證的操作;否則����,將所述源IP地址加入黑名單中�,并刪除所述源IP地址的記錄,結(jié)束當(dāng)前流程��。優(yōu)選地�����,本發(fā)明實(shí)施例中���,在步驟211驗(yàn)證不通過(guò)時(shí)���,丟棄該接收的HTTP請(qǐng)求,并記錄該源IP地址發(fā)送的HTTP請(qǐng)求未通過(guò)的次數(shù)�����,當(dāng)該次數(shù)達(dá)到設(shè)定值時(shí)���,可將該源IP地址加入黑名單中�,即先屏蔽該源IP地址發(fā)送的HTTP請(qǐng)求一段時(shí)間。步驟212��,再次返回一個(gè)重定向命令����,以使客戶端識(shí)別出該重定向命令之后,重新發(fā)起一個(gè)HTTP請(qǐng)求��,該HTTP請(qǐng)求具體可為上述第一 HTTP請(qǐng)求���,之后����,返回步驟203�����。本步驟212中�����,重定向命令中的URI為原始URI�����,即字符串A去掉附加字符后剩下的字符,其實(shí)質(zhì)上為第一 HTTP請(qǐng)求攜帶的URL���。比如�,如果字符串A如上所述為www. abed. com$ge;34|#����,則本步驟212中重定向命令的URL為www. abed, com��。當(dāng)返回步驟203時(shí)�,由于白名單中已存在該第一 HTTP請(qǐng)求攜帶的源IP地址,因此��,該第一 HTTP請(qǐng)求會(huì)匹配流量清洗設(shè)備的白名單���,被流量清洗設(shè)備放過(guò)��,到達(dá)服務(wù)器1�����,由服務(wù)器1對(duì)其進(jìn)行響應(yīng)��。至此�,對(duì)本發(fā)明實(shí)施例提供的詳細(xì)流程進(jìn)行了描述。
下面對(duì)本發(fā)明實(shí)施例提供的裝置進(jìn)行描述�����。參見(jiàn)圖3���,圖3為本發(fā)明實(shí)施例提供的裝置結(jié)構(gòu)圖����。該裝置實(shí)質(zhì)上可為上面描述的流量清洗設(shè)備����,其設(shè)置在被保護(hù)的web服務(wù)器之前,如圖3所示����,該裝置可包括判斷單元301,用于接收到客戶端向所述web服務(wù)器發(fā)送的第一請(qǐng)求報(bào)文后���,判斷所述第一請(qǐng)求報(bào)文攜帶的源IP地址是否存在于已建立的認(rèn)證通過(guò)白名單中����,如果是�����,繼續(xù)發(fā)送所述第一請(qǐng)求報(bào)文至所述web服務(wù)器;否則�����,發(fā)送重定向命令至所述客戶端��,以使所述客戶端接收到所述重定向命令后重新發(fā)起第二請(qǐng)求報(bào)文�����;第一驗(yàn)證單元302����,用于對(duì)接收的第二請(qǐng)求報(bào)文進(jìn)行驗(yàn)證�,如果驗(yàn)證通過(guò),則向所述客戶端推送確認(rèn)頁(yè)面���,所述確認(rèn)頁(yè)面要求使用該客戶端的用戶輸入該確認(rèn)頁(yè)面中顯示的確認(rèn)碼�;第二驗(yàn)證單元303����,用于對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證���,如果驗(yàn)證通過(guò),則將所述源IP地址加入所述認(rèn)證通過(guò)白名單中���,并再次發(fā)送重定向命令至所述客戶端���,以使該客戶端向所述web服務(wù)器發(fā)送第一請(qǐng)求報(bào)文。優(yōu)選地����,如圖3所示,所述裝置還包括監(jiān)測(cè)單元304��,用于在監(jiān)測(cè)到所述web服務(wù)器的流量超過(guò)設(shè)定門(mén)限����,或者在監(jiān)測(cè)到所述web服務(wù)器的請(qǐng)求報(bào)文數(shù)量超過(guò)設(shè)定上限時(shí)開(kāi)啟所述裝置配置的自然人行為驗(yàn)證功能;判斷單元301是在所述自然人行為驗(yàn)證功能被開(kāi)啟后執(zhí)行判斷操作的���。本實(shí)施例中��,判斷單元301在發(fā)送重定向命令至客戶端之前進(jìn)一步包括判斷所述第一請(qǐng)求報(bào)文攜帶的源IP地址是否存在于已建立的黑名單中�����,如果是��, 丟棄所述第一請(qǐng)求報(bào)文����,否則,繼續(xù)執(zhí)行發(fā)送重定向命令至客戶端的操作���;第一驗(yàn)證單元302在推送確認(rèn)頁(yè)面之前進(jìn)一步包括記錄所述源IP地址��;第二驗(yàn)證單元303對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證通過(guò)以下模塊實(shí)現(xiàn)第二判斷模塊3031����,用于判斷當(dāng)前時(shí)間與記錄所述源IP地址的時(shí)間之差是否在預(yù)定時(shí)間內(nèi)����;驗(yàn)證模塊3032��,用于在第二判斷模塊3031的判斷結(jié)果為是時(shí)�,繼續(xù)執(zhí)行對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證的操作;在第二判斷模塊3031的判斷結(jié)果為否時(shí)��,將所述源IP地址加入黑名單中�,并刪除所述源IP地址的記錄�����,結(jié)束當(dāng)前流程��。本實(shí)施例中���,判斷單元301通過(guò)以下模塊實(shí)現(xiàn)發(fā)送重定向命令至客戶端提取模塊3011,用于從第一請(qǐng)求報(bào)文中提取出統(tǒng)一資源定位符URL ����;發(fā)送模塊3012,用于在該提取的URL中附加經(jīng)過(guò)設(shè)定規(guī)則生成的字符形成字符串�����,將所述字符串?dāng)y帶在所述重定向命令中發(fā)送至客戶端�;本實(shí)施例中,所述客戶端接收到重定向命令后重新發(fā)起第二請(qǐng)求報(bào)文包括所述客戶端接收到所述重定向命令后重新發(fā)起URL為所述字符串的第二請(qǐng)求報(bào)文�;基于此,本實(shí)施例中��,第一驗(yàn)證單元302具體實(shí)現(xiàn)時(shí)可包括獲取模塊3021����,用于獲取所述第二請(qǐng)求報(bào)文攜帶的URL �;第一判斷模塊3022��,用于判斷獲取的URL是否為所述字符串����,如果是,則確定驗(yàn)證通過(guò)�;否則,認(rèn)為第二請(qǐng)求報(bào)文為新請(qǐng)求報(bào)文�����,將所述第二請(qǐng)求報(bào)文作為第一請(qǐng)求報(bào)文�,返回判斷單元中的判斷操作。
以上對(duì)本發(fā)明實(shí)施例提供的裝置進(jìn)行了描述����。由以上技術(shù)方案可以看出����,本發(fā)明中,如果發(fā)送請(qǐng)求報(bào)文的客戶端被自然人使用��, 則在流量清洗設(shè)備向所述客戶端推送確認(rèn)頁(yè)面時(shí)�����,自然人很顯然可以正確識(shí)別確認(rèn)頁(yè)面中的確認(rèn)碼,也可以輸入正確的確認(rèn)碼����。如此,即可通過(guò)流量清洗設(shè)備對(duì)用戶輸入的確認(rèn)碼的驗(yàn)證���,訪問(wèn)被保護(hù)的web服務(wù)器��。而如果客戶端為攻擊程序����,比如為代理或者木馬��,由于目前的技術(shù)無(wú)法使攻擊程序快速正確識(shí)別確認(rèn)碼�����,因此����,攻擊程序不能在通過(guò)流量清洗設(shè)備對(duì)確認(rèn)碼的驗(yàn)證,進(jìn)而也就無(wú)法真正訪問(wèn)web服務(wù)器。也就是說(shuō)����,本發(fā)明通過(guò)對(duì)確認(rèn)碼驗(yàn)證能夠區(qū)分自然人和攻擊程序,達(dá)到防范CC攻擊的目的���。以上所述僅為本發(fā)明的較佳實(shí)施例而已��,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任何修改���、等同替換、改進(jìn)等�,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
權(quán)利要求
1.一種防范CC攻擊的方法��,其特征在于�����,該方法應(yīng)用于設(shè)置在被保護(hù)的web服務(wù)器之前的流量清洗設(shè)備上���,該方法包括A�����,所述流量清洗設(shè)備接收到客戶端向所述web服務(wù)器發(fā)送的第一請(qǐng)求報(bào)文后���,判斷所述第一請(qǐng)求報(bào)文攜帶的源IP地址是否存在于已建立的認(rèn)證通過(guò)白名單中,如果是���,繼續(xù)發(fā)送所述第一請(qǐng)求報(bào)文至所述web服務(wù)器���;否則,發(fā)送重定向命令至所述客戶端����,以使所述客戶端接收到所述重定向命令后向所述流量清洗設(shè)備發(fā)起第二請(qǐng)求報(bào)文,并執(zhí)行步驟B �����;B,所述流量清洗設(shè)備對(duì)接收的第二請(qǐng)求報(bào)文進(jìn)行驗(yàn)證����,如果驗(yàn)證通過(guò),則向所述客戶端推送確認(rèn)頁(yè)面����,所述確認(rèn)頁(yè)面要求使用所述客戶端的用戶輸入該確認(rèn)頁(yè)面中顯示的確認(rèn)碼;C�,所述流量清洗設(shè)備對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證,如果驗(yàn)證通過(guò)����,則將所述源IP地址加入所述認(rèn)證通過(guò)白名單中,并再次發(fā)送重定向命令至所述客戶端����,以使所述客戶端向所述web服務(wù)器發(fā)送第一請(qǐng)求報(bào)文,之后返回執(zhí)行步驟A����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述步驟A的判斷是在所述流量清洗設(shè)備開(kāi)啟自然人行為驗(yàn)證功能后執(zhí)行的;其中�����,所述流量清洗設(shè)備在監(jiān)測(cè)到所述web服務(wù)器的流量超過(guò)設(shè)定門(mén)限����,或者在監(jiān)測(cè)到所述 web服務(wù)器的請(qǐng)求報(bào)文數(shù)量超過(guò)設(shè)定上限時(shí)開(kāi)啟自然人行為驗(yàn)證功能。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述步驟A中����,流量清洗設(shè)備發(fā)送重定向命令至客戶端包括所述流量清洗設(shè)備從第一請(qǐng)求報(bào)文中提取出統(tǒng)一資源定位符URL,在該提取的URL中附加經(jīng)過(guò)設(shè)定規(guī)則生成的字符形成字符串�,將所述字符串?dāng)y帶在所述重定向命令中發(fā)送至所述客戶端;所述步驟A中����,客戶端接收到重定向命令后向流量清洗設(shè)備發(fā)起第二請(qǐng)求報(bào)文包括 所述客戶端接收到所述重定向命令后重新發(fā)起URL為所述字符串的第二請(qǐng)求報(bào)文。
4.根據(jù)權(quán)利要求3所述的方法��,其特征在于����,所述步驟B中,流量清洗設(shè)備對(duì)接收的第二請(qǐng)求報(bào)文進(jìn)行驗(yàn)證包括所述流量清洗設(shè)備獲取所述第二請(qǐng)求報(bào)文攜帶的URL�,判斷獲取的URL是否為所述字符串���,如果是,則確定驗(yàn)證通過(guò)���;否則��,認(rèn)為第二請(qǐng)求報(bào)文為新請(qǐng)求報(bào)文�����,將所述第二請(qǐng)求報(bào)文作為第一請(qǐng)求報(bào)文��,返回步驟A中的判斷操作���。
5.根據(jù)權(quán)利要求3所述的方法,其特征在于��,所述步驟C中再次發(fā)送重定向命令至客戶端包括將所述第二請(qǐng)求報(bào)文的URL還原為所述第一請(qǐng)求報(bào)文的URL ���;將所述第一請(qǐng)求報(bào)文的 URL攜帶在重定向命令中發(fā)送至所述客戶端��。
6.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述步驟A中�����,在發(fā)送重定向命令至客戶端之前進(jìn)一步包括判斷所述第一請(qǐng)求報(bào)文攜帶的源IP地址是否存在于已建立的黑名單中����,如果是�,丟棄所述第一請(qǐng)求報(bào)文,否則�����,繼續(xù)執(zhí)行發(fā)送重定向命令至客戶端的操作�;所述步驟B中,流量清洗設(shè)備在推送確認(rèn)頁(yè)面之前進(jìn)一步包括記錄所述源IP地址�����;所述步驟C中���,流量清洗設(shè)備對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證包括判斷當(dāng)前時(shí)間與記錄所述源IP地址的時(shí)間之差是否在預(yù)定時(shí)間內(nèi)����,如果是,繼續(xù)執(zhí)行對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證的操作����;否則,將所述源IP地址加入黑名單中����,并刪除所述源IP地址的記錄,結(jié)束當(dāng)前流程����。
7.—種防范CC攻擊的裝置,其特征在于�,該裝置設(shè)置在被保護(hù)的web服務(wù)器之前,包括判斷單元��,用于接收到客戶端向所述web服務(wù)器發(fā)送的第一請(qǐng)求報(bào)文后��,判斷所述第一請(qǐng)求報(bào)文攜帶的源IP地址是否存在于已建立的認(rèn)證通過(guò)白名單中���,如果是���,繼續(xù)發(fā)送所述第一請(qǐng)求報(bào)文至所述web服務(wù)器;否則,發(fā)送重定向命令至所述客戶端��,以使所述客戶端接收到所述重定向命令后重新發(fā)起第二請(qǐng)求報(bào)文���;第一驗(yàn)證單元����,用于對(duì)接收的第二請(qǐng)求報(bào)文進(jìn)行驗(yàn)證����,如果驗(yàn)證通過(guò)�����,則向所述客戶端推送確認(rèn)頁(yè)面�,所述確認(rèn)頁(yè)面要求使用所述客戶端的用戶輸入該確認(rèn)頁(yè)面中顯示的確認(rèn)碼;第二驗(yàn)證單元�����,用于對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證��,如果驗(yàn)證通過(guò)����,則將所述源IP地址加入所述認(rèn)證通過(guò)白名單中�,并再次發(fā)送重定向命令至所述客戶端��,以使所述客戶端向所述web服務(wù)器發(fā)送第一請(qǐng)求報(bào)文��。
8.根據(jù)權(quán)利要求7所述的裝置�,其特征在于,所述裝置還包括監(jiān)測(cè)單元���,用于在監(jiān)測(cè)到所述web服務(wù)器的流量超過(guò)設(shè)定門(mén)限�,或者在監(jiān)測(cè)到所述web 服務(wù)器的請(qǐng)求報(bào)文數(shù)量超過(guò)設(shè)定上限時(shí)開(kāi)啟所述裝置配置的自然人行為驗(yàn)證功能�; 所述判斷單元是在所述自然人行為驗(yàn)證功能被開(kāi)啟后執(zhí)行判斷操作的。
9.根據(jù)權(quán)利要求7所述的裝置�,其特征在于,所述判斷單元在發(fā)送重定向命令至客戶端之前進(jìn)一步包括判斷所述第一請(qǐng)求報(bào)文攜帶的源IP地址是否存在于已建立的黑名單中���,如果是��,丟棄所述第一請(qǐng)求報(bào)文�,否則��,繼續(xù)執(zhí)行發(fā)送重定向命令至客戶端的操作���;所述第一驗(yàn)證單元在推送確認(rèn)頁(yè)面之前進(jìn)一步包括記錄所述源IP地址���;所述第二驗(yàn)證單元對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證通過(guò)以下模塊實(shí)現(xiàn)第二判斷模塊����,用于判斷當(dāng)前時(shí)間與記錄所述源IP地址的時(shí)間之差是否在預(yù)定時(shí)間內(nèi)��;驗(yàn)證模塊�,用于在所述第二判斷模塊的判斷結(jié)果為是時(shí),繼續(xù)執(zhí)行對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證的操作���;在所述第二判斷模塊的判斷結(jié)果為否時(shí)���,將所述源IP地址加入黑名單中�,并刪除所述源IP地址的記錄,結(jié)束當(dāng)前流程����。
10.根據(jù)權(quán)利要求7所述的裝置,其特征在于���,所述判斷單元通過(guò)以下模塊實(shí)現(xiàn)發(fā)送重定向命令至客戶端提取模塊��,用于從第一請(qǐng)求報(bào)文中提取出統(tǒng)一資源定位符URL ���; 發(fā)送模塊�,用于在該提取的URL中附加經(jīng)過(guò)設(shè)定規(guī)則生成的字符形成字符串�����,將所述字符串?dāng)y帶在所述重定向命令中發(fā)送至客戶端�����;所述客戶端接收到重定向命令后重新發(fā)起第二請(qǐng)求報(bào)文包括所述客戶端接收到所述重定向命令后重新發(fā)起URL為所述字符串的第二請(qǐng)求報(bào)文��; 所述第一驗(yàn)證單元包括獲取模塊�����,用于獲取所述第二請(qǐng)求報(bào)文攜帶的URL ��;第一判斷模塊��,用于判斷獲取的URL是否為所述字符串����,如果是����,則確定驗(yàn)證通過(guò)�;否則,認(rèn)為第二請(qǐng)求報(bào)文為新請(qǐng)求報(bào)文�����,將所述第二請(qǐng)求報(bào)文作為第一請(qǐng)求報(bào)文�����,返回判斷單元中的判斷操作�。
全文摘要
本發(fā)明提供了一種防范CC攻擊的方法和裝置,其中�,該方法應(yīng)用于設(shè)置在被保護(hù)的web服務(wù)器之前的流量清洗設(shè)備上,包括A�����,流量清洗設(shè)備接收到客戶端向web服務(wù)器發(fā)送的第一請(qǐng)求報(bào)文后���,判斷第一請(qǐng)求報(bào)文攜帶的源IP地址是否存在于已建立的認(rèn)證通過(guò)白名單中,如果是���,繼續(xù)發(fā)送第一請(qǐng)求報(bào)文至web服務(wù)器���;否則�,發(fā)送重定向命令至所述客戶端�����,以使該客戶端接收到重定向命令后重新發(fā)起第二請(qǐng)求報(bào)文��,并執(zhí)行步驟B�����;B�����,流量清洗設(shè)備對(duì)接收的第二請(qǐng)求報(bào)文進(jìn)行驗(yàn)證�����,如果驗(yàn)證通過(guò)����,則向所述客戶端推送確認(rèn)頁(yè)面�,確認(rèn)頁(yè)面要求使用該客戶端的用戶輸入該確認(rèn)頁(yè)面中顯示的確認(rèn)碼����;C,流量清洗設(shè)備對(duì)用戶輸入的確認(rèn)碼進(jìn)行驗(yàn)證��,如果驗(yàn)證通過(guò)�,則將源IP地址加入認(rèn)證通過(guò)白名單中,并再次發(fā)送重定向命令至所述客戶端���,以使該客戶端向web服務(wù)器發(fā)送第一請(qǐng)求報(bào)文��,之后返回執(zhí)行步驟A�����。采用本發(fā)明�����,通過(guò)有效區(qū)分自然人和攻擊程序��,攔截CC攻擊�。
文檔編號(hào)H04L29/06GK102413105SQ20101029155
公開(kāi)日2012年4月11日 申請(qǐng)日期2010年9月25日 優(yōu)先權(quán)日2010年9月25日
發(fā)明者李偉辰, 王颶 申請(qǐng)人:杭州華三通信技術(shù)有限公司