一種cc攻擊的防護方法及裝置制造方法
【專利摘要】一種CC攻擊的防護方法及裝置,所述方法包括如下步驟:向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie,若是則允許繼續(xù)訪問,否則拒絕訪問;監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟,否則允許繼續(xù)訪問;向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問,否則拒絕訪問。上述CC攻擊的防護方法及裝置具有在提高其安全性的同時即能快速檢測出CC攻擊對象又能避免將用戶的正常訪問請求屏蔽掉的優(yōu)勢。上述方法及裝置使得可以在提高服務(wù)器安全性的同時快速檢測出CC攻擊對象,同時能夠避免將用戶的正常訪問請求屏蔽掉。
【專利說明】一種CC攻擊的防護方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù),尤其是涉及一種WEB服務(wù)器的CC(ChallengeCollapsar)攻擊防護方法及裝置。
【背景技術(shù)】
[0002]CC攻擊是一種以消耗服務(wù)器資源為目的的分布式拒絕服務(wù)攻擊,這種攻擊不使用虛假IP,通常通過大量的代理服務(wù)器來連接服務(wù)器,通過向服務(wù)器請求一些消耗服務(wù)器資源的正常URL請求,使得服務(wù)器CPU計算資源使用率迅速達到最高,無法進行其它正常連接。這種攻擊主要針對特定域名的WEB應(yīng)用程序。CDN網(wǎng)絡(luò)節(jié)點服務(wù)器無法處理動態(tài)服務(wù)器腳本頁面緩存。CC攻擊端向節(jié)點發(fā)送動態(tài)服務(wù)器腳本頁面的請求時,節(jié)點會直接向源點服務(wù)器轉(zhuǎn)發(fā)請求。此時,CDN的節(jié)點緩存服務(wù)器需要維護攻擊端與節(jié)點,以及節(jié)點與源點服務(wù)器之間的兩個TCP連接。源點服務(wù)器需要維護節(jié)點與源點之間的TCP連接。這樣,一次CC攻擊連接需要耗費系統(tǒng)三個TCP連接。隨著攻擊量的增加,CDN系統(tǒng)性能將受到很大影響直至崩潰。
[0003]目前應(yīng)用于CDN網(wǎng)絡(luò)服務(wù)的對抗CC攻擊的常用方法是根據(jù)服務(wù)器訪問流量閥值大小來判斷攻擊行為。這種方法容易把用戶的正常訪問請求屏蔽掉,如果攻擊者設(shè)置好適當?shù)墓羲俣龋瑒t防護系統(tǒng)難以有效地檢測出CC攻擊行為,從而影響域名的訪問。
[0004]為解決上述問題,現(xiàn)有技術(shù)中提出一種改進型的CC攻擊防護方法,具體為:通過解析HTTP頭信息,判斷訪問請求中是否帶有所述安全標記以及所述安全標記是否合法,進而決定是否允許其訪問WEB服務(wù)器。
[0005]上述方法雖然能在一定程度上降低攻擊次數(shù),但是存在將用戶的正常訪問請求錯誤屏蔽掉的可能。例如,在對客戶端請求進行帶有cookie的腳本驗證的方法中,攻擊者可以針對這種驗證方法開發(fā)出專門的攻擊腳本,自動完成驗證和對服務(wù)器的攻擊??梢?,上述改進后的CC攻擊防護方法同樣無法保證服務(wù)器免遭自動攻擊而宕機。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的是提供一種CC攻擊的防護方法及裝置,使得可以在提高服務(wù)器安全性的同時快速檢測出CC攻擊對象,同時能夠避免將用戶的正常訪問請求屏蔽掉。
[0007]為實現(xiàn)上述目的,本發(fā)明的實施方式提出一種CC攻擊的防護方法,包括如下步驟:向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie,若是則允許繼續(xù)訪問,否則拒絕訪問;監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟,否則允許繼續(xù)訪問;向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問,否則拒絕訪問。
[0008]根據(jù)本發(fā)明的一方面,所述向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie的步驟包括:接收客戶端首次提交的目標頁面訪問請求;向所述客戶端發(fā)送帶有cookie校驗信息的校驗頁面;接收客戶端返回的訪問請求;判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息。
[0009]根據(jù)本發(fā)明的另一方面,所述判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息之后,包括:若是,則向所述客戶端返回目標頁面,同時將所述客戶端的源IP地址列入白名單;否則拒絕向所述客戶端返回目標頁面,并將所述目標頁面請求記錄為所述客戶端源IP地址的一次攻擊。
[0010]根據(jù)本發(fā)明的又一方面,所述監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟,否則允許繼續(xù)訪問,包括:監(jiān)測客戶端的訪問請求在單位時間內(nèi)的次數(shù)是否超過預(yù)定閾值;若是,則向所述客戶端返回目標頁面;否則將所述客戶端的源IP地址從白名單中清除,并進入所述下一步驟。
[0011]根據(jù)本發(fā)明的又一方面,所述向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問,否則拒絕訪問,包括:向客戶端發(fā)送鑒權(quán)要求;接收所述客戶端返回的鑒權(quán)信息;判斷客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息是否一致;如果一致,則允許所述客戶端繼續(xù)訪問服務(wù)器;如果不一致,則拒絕所述客戶端訪問服務(wù)器。
[0012]根據(jù)本發(fā)明的又一方面,所述向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問,否則拒絕訪問,包括:隨機生成一驗證碼,所述驗證碼包含原始驗證信息;向所述客戶端發(fā)送攜帶有所述驗證碼的驗證頁面;接收所述客戶端返回的驗證信息;判斷所述驗證信息是否與預(yù)存的驗證信息一致;如果一致,則允許所述客戶端繼續(xù)訪問服務(wù)器;如果不一致,則拒絕所述客戶端訪問服務(wù)器。
[0013]根據(jù)本發(fā)明的又一方面,所述驗證碼為靜態(tài)驗證碼或動態(tài)驗證碼。
[0014]根據(jù)本發(fā)明的又一方面,所述允許繼續(xù)訪問具體為:向所述客戶端返回目標頁面。
[0015]根據(jù)本發(fā)明的又一方面,所述向所述客戶端發(fā)送鑒權(quán)要求,包括:通過TCP代理模塊向所述客戶端發(fā)送鑒權(quán)要求。
[0016]本發(fā)明實施方式的又一個目的是提供一種CC攻擊的防護裝置,包括:第一驗證模塊,用于向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie,若是則允許繼續(xù)訪問,否則拒絕訪問;監(jiān)測模塊,用于監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟,否則允許繼續(xù)訪問;第二驗證模塊,用于向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問,否則拒絕訪問。
[0017]根據(jù)本發(fā)明提供的CC攻擊的防護方法及裝置,在進入第三階段驗證之前已經(jīng)經(jīng)過了第一階段驗證和第二階段驗證兩輪的訪問請求過濾,使得防火墻能準確識別出CC攻擊行為和CC攻擊源IP地址,提高了服務(wù)器安全性的同時也能避免將用戶的正常訪問請求屏蔽掉。而且,通過第一階段驗證的訪問請求,當訪問請求數(shù)量在未超過預(yù)定閾值之前,可以繼續(xù)訪問服務(wù)器,客戶端直接與服務(wù)器交互,節(jié)省防火墻的內(nèi)存,進而提高了防火墻的數(shù)據(jù)處理能力。
【專利附圖】
【附圖說明】
[0018]圖1是本發(fā)明所涉及的一種實施環(huán)境的結(jié)構(gòu)示意圖;
[0019]圖2示出了本發(fā)明優(yōu)選實施例的CC攻擊的防護方法的方法流程圖;
[0020]圖3示出了本發(fā)明優(yōu)選實施例中第一階段驗證步驟S100的方法流程圖;
[0021]圖4示出了本發(fā)明優(yōu)選實施例中第二階段驗證步驟S200的方法流程圖;
[0022]圖5示出了本發(fā)明優(yōu)選實施例中第三階段驗證步驟S300的方法流程圖;
[0023]圖6示出了本發(fā)明優(yōu)選實施例中第三階段驗證步驟S300的另一方法流程圖;
[0024]圖7示出了在客戶端上顯示的攜帶有驗證碼信息的驗證頁面示意圖;
[0025]圖8示出了圖片式驗證碼輸入頁面的示意圖;
[0026]圖9出了本發(fā)明另一實施例的CC攻擊的防護裝置的結(jié)構(gòu)示意圖。
【具體實施方式】
[0027]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明了,下面結(jié)合【具體實施方式】并參照附圖,對本發(fā)明進一步詳細說明。應(yīng)該理解,這些描述只是示例性的,而并非要限制本發(fā)明的范圍。此外,在以下說明中,省略了對公知結(jié)構(gòu)和技術(shù)的描述,以避免不必要地混淆本發(fā)明的概念。
[0028]圖1示出了本發(fā)明技術(shù)方案實施環(huán)境的結(jié)構(gòu)示意圖。
[0029]參見圖1,本發(fā)明的CC攻擊的方法及裝置用于在網(wǎng)絡(luò)系統(tǒng)中實施針對CC攻擊的防護操作,所述網(wǎng)絡(luò)系統(tǒng)主要包括終端120、服務(wù)器140和防火墻160。
[0030]終端120可以是具備數(shù)據(jù)處理能力的電子設(shè)備,如手機、平板電腦、電子書閱讀器、MP3 播放器(Moving Picture Experts Group Aud1 Layer III,動態(tài)影像專家壓縮標準音頻層面 3)、MP4 (Moving Picture Experts Group Aud1 Layer IV,動態(tài)影像專家壓縮標準音頻層面3)播放器、膝上型便攜計算機和臺式計算機等等。
[0031]終端120中運行有客戶端,該客戶端可以是具備頁面瀏覽功能的客戶端,如瀏覽器、閱讀應(yīng)用、新聞客戶端等。
[0032]服務(wù)器140可以是一臺服務(wù)器,或者由若干臺服務(wù)器組成的服務(wù)器集群,或者是一個云計算服務(wù)中心。服務(wù)器用于與終端120交互提供頁面內(nèi)容。服務(wù)器140通常由內(nèi)容提供商來設(shè)立,如web服務(wù)器。
[0033]防火墻160連接終端120與服務(wù)器140,其連接所用的網(wǎng)絡(luò)可以為無線網(wǎng)絡(luò)或者有線網(wǎng)絡(luò)。防火墻160可能是一臺或多臺專屬的硬件,或只是普通機器上的一套軟件。
[0034]圖2示出了本發(fā)明優(yōu)選實施例的CC攻擊的防護方法的方法流程圖。
[0035]參見圖2,本發(fā)明的優(yōu)選實施例的CC攻擊的防護方法包括以下三個階段的驗證步驟:
[0036]第一階段驗證步驟S100,向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie,若是則允許繼續(xù)訪問,否則拒絕訪問;
[0037]第二階段驗證步驟S200,監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟,否則允許繼續(xù)訪問;
[0038]第三階段驗證步驟S300,向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問,否則拒絕訪問。
[0039]本實施例中,以上步驟的執(zhí)行主體優(yōu)選為防火墻160,也可以是服務(wù)器140。所述允許繼續(xù)訪問的步驟具體為向所述客戶端返回所請求訪問的目標頁面。所述向所述客戶端發(fā)送鑒權(quán)要求的步驟,具體為通過防火墻160的TCP代理模塊向所述客戶端發(fā)送鑒權(quán)要求。
[0040]綜上所述,本發(fā)明實施例提供的CC攻擊的防護方法,在進入第三階段驗證之前已經(jīng)經(jīng)過了第一階段驗證和第二階段驗證兩輪的訪問請求過濾,使得防火墻能準確識別出CC攻擊行為和CC攻擊源IP地址,提高了服務(wù)器安全性的同時也能避免將用戶的正常訪問請求屏蔽掉。而且,通過第一階段驗證的訪問請求,當訪問請求數(shù)量在未超過預(yù)定閾值之前,可以繼續(xù)訪問服務(wù)器,客戶端直接與服務(wù)器交互,節(jié)省防火墻的內(nèi)存,進而提高了防火墻的數(shù)據(jù)處理能力。
[0041]圖3示出了本發(fā)明的優(yōu)選實施例中第一階段驗證步驟SlOO的方法流程圖。
[0042]參見圖3,本發(fā)明的優(yōu)選實施例中,第一階段驗證步驟SlOO具體包括下述步驟:
[0043]步驟S101,接收客戶端首次提交的目標頁面訪問請求。
[0044]其中,如圖7所示,所述目標頁面800為用戶最終想要獲取的頁面。以客戶端為瀏覽器為例,所述目標頁面為用戶輸入的URL所對應(yīng)的實際頁面,如當用戶在瀏覽器地址欄輸入網(wǎng)址“WWW, baidu.com”時,用戶最終想獲取的頁面為上述網(wǎng)址“www.baidu.com”所對應(yīng)的頁面。
[0045]步驟S102,向所述客戶端發(fā)送帶有cookie校驗信息的校驗頁面。
[0046]步驟S103,接收客戶端返回的訪問請求。
[0047]步驟S104,判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息。
[0048]步驟S105,若所述客戶端返回的訪問請求中包括所述cookie校驗信息,則向所述客戶端返回目標頁面,同時將所述客戶端的源IP地址列入白名單。
[0049]步驟S106,若所述客戶端返回的訪問請求中未包括所述cookie校驗信息,則拒絕向所述客戶端返回目標頁面,并將所述目標頁面請求記錄為所述客戶端源IP地址的一次攻擊。
[0050]圖4示出了本發(fā)明的優(yōu)選實施例中第二階段驗證步驟S200的方法流程圖。
[0051]參見圖4,本發(fā)明的優(yōu)選實施例中,第二階段驗證步驟S200具體包括下述步驟:
[0052]步驟S201,監(jiān)測客戶端的訪問請求在單位時間內(nèi)的次數(shù)是否超過預(yù)定閾值。
[0053]步驟S202,若客戶端的訪問請求在單位時間內(nèi)的次數(shù)未超過預(yù)定閾值,則向所述客戶端返回目標頁面。
[0054]步驟S203,若客戶端的訪問請求在單位時間內(nèi)的次數(shù)超過預(yù)定閾值,將所述客戶端的源IP地址從白名單中清除,并轉(zhuǎn)到第三階段驗證步驟S300,向所述客戶端發(fā)送鑒權(quán)請求。
[0055]圖5示出了本發(fā)明優(yōu)選實施例中第三階段驗證步驟S300的方法流程圖。
[0056]參見圖5,本發(fā)明優(yōu)選實施例中第三階段驗證步驟S300具體包括下述步驟:
[0057]S301,向客戶端發(fā)送鑒權(quán)要求。
[0058]S302,接收所述客戶端返回的鑒權(quán)信息。
[0059]S303,判斷客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息是否一致。
[0060]S304,如果一致,則允許所述客戶端繼續(xù)訪問服務(wù)器。
[0061]S305,如果不一致,則拒絕所述客戶端訪問服務(wù)器。
[0062]圖6示出了本發(fā)明的優(yōu)選實施例中第三階段驗證步驟S300的另一方法流程圖。
[0063]本發(fā)明的實施例中,鑒權(quán)信息優(yōu)選的采用驗證碼,所述第三階段驗證步驟S300具體包括以下步驟:
[0064]S311,隨機生成一驗證碼,所述驗證碼包含原始驗證信息。
[0065]其中,所述驗證碼為人眼不易識別的圖片、文字、數(shù)字、視頻等,常用的驗證碼有靜態(tài)驗證碼和動態(tài)驗證碼。
[0066]S312,向所述客戶端發(fā)送攜帶有所述驗證碼的驗證頁面。
[0067]圖7示出了在客戶端上顯示的攜帶有驗證碼信息的驗證頁面示意圖。
[0068]如圖7所示,驗證頁面800是在客戶端上顯示的攜帶有驗證碼信息的頁面,用戶只有在所述驗證頁面800中手動輸入驗證信息,并驗證通過后才能繼續(xù)訪問目標頁面。
[0069]圖8示出了圖片式驗證碼輸入頁面的示意圖。
[0070]如圖8所示,驗證碼頁面900上還設(shè)有供用戶輸入驗證碼信息的輸入框及“確認”和“取消”等通用圖標。
[0071]由于驗證碼很難被機器自動識別。因此,上述通過驗證碼完成驗證的方法可有效防護服務(wù)器被自動化攻擊。
[0072]S313,接收所述客戶端返回的驗證信息。
[0073]S314,判斷所述驗證信息是否與預(yù)存的驗證信息一致;
[0074]S315,如果一致,則允許所述客戶端繼續(xù)訪問服務(wù)器。
[0075]進一步,將所述客戶端的源IP地址列入白名單。
[0076]S316,如果不一致,則拒絕所述客戶端訪問服務(wù)器。
[0077]進一步,將所述目標頁面請求記錄為所述客戶端源IP地址的一次攻擊。
[0078]綜上所述,本發(fā)明實施例提供的CC攻擊的防護方法,在所述目標頁面訪問請求在單位時間內(nèi)超過預(yù)定的閾值時,所述客戶端上將顯示一驗證頁面,用戶在所述驗證頁面輸入正確的驗證信息后才能繼續(xù)訪問目標頁面。進一步,所述驗證信息不能被機器準確識別,如此可有效防護服務(wù)器被木馬等黑客程序自動化攻擊。一旦所述客戶端的源IP地址列入了白名單,具有所述源IP的客戶端后續(xù)與服務(wù)器的交互時,可以不用經(jīng)過防火墻的TCP代理模塊而與服務(wù)器直接交互,從而提高防火墻設(shè)備的通訊數(shù)據(jù)處理能力,且后續(xù)此源IP可以確保繼續(xù)訪問服務(wù)器。
[0079]圖9出了本發(fā)明另一實施例的CC攻擊的防護裝置的結(jié)構(gòu)示意圖。
[0080]如圖9所示,本發(fā)明另一優(yōu)選實施例的CC攻擊的防護裝置100包括以下步驟:
[0081]第一驗證模塊10,用于向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie,若是則允許繼續(xù)訪問,否則拒絕訪問;
[0082]監(jiān)測模塊20,用于監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟,否則允許繼續(xù)訪問;
[0083]第二驗證模塊30,用于向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問,否則拒絕訪問。
[0084]可選的,第一驗證模塊10包括:
[0085]訪問請求接收模塊11,用于接收客戶端首次提交的目標頁面訪問請求;
[0086]cookie發(fā)送模塊12,用于向所述客戶端發(fā)送帶有cookie校驗信息的校驗頁面;
[0087]cookie接收模塊13,用于接收客戶端返回的訪問請求;
[0088]cookie校驗?zāi)K14,用于判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息。
[0089]第一目標頁面返回模塊15,當所述客戶端返回的訪問請求中包括所述cookie校驗信息時,向所述客戶端返回目標頁面,同時將所述客戶端的源IP地址列入白名單;
[0090]訪問拒絕模塊16,當所述客戶端返回的訪問請求中未包括所述cookie校驗信息,或者包括的cookie校驗信息錯誤時,拒絕向所述客戶端返回目標頁面,并將所述目標頁面請求記錄為所述客戶端源IP地址的一次攻擊。
[0091]可選的,監(jiān)測模塊20包括:
[0092]訪問數(shù)檢測模塊21,用于監(jiān)測客戶端的訪問請求在單位時間內(nèi)的次數(shù)是否超過預(yù)定閾值。
[0093]第二目標頁面返回模塊22,當所述客戶端的訪問請求在單位時間內(nèi)的次數(shù)未超過預(yù)定閾值時,向所述客戶端返回目標頁面。
[0094]白名單清除模塊23,當所述客戶端的訪問請求在單位時間內(nèi)的次數(shù)超過預(yù)定閾值時,將所述客戶端的源IP地址從白名單中清除。
[0095]可選的,第二驗證模塊30包括:
[0096]鑒權(quán)要求發(fā)送模塊31,用于向客戶端發(fā)送鑒權(quán)要求。
[0097]鑒權(quán)信息接收模塊32,用于接收所述客戶端返回的鑒權(quán)信息。
[0098]鑒權(quán)信息驗證模塊33,用于判斷客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息是否一致。
[0099]允許訪問模塊34,當所述客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息一致時,允許所述客戶端繼續(xù)訪問服務(wù)器。
[0100]拒絕訪問模塊35,當所述客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息不一致時,拒絕所述客戶端訪問服務(wù)器。
[0101]可選的,第二驗證模塊30還包括:
[0102]驗證碼生成模塊36,用于隨機生成一驗證碼,所述驗證碼包含原始驗證信息。
[0103]如上所述,本發(fā)明另一實施例提供的CC攻擊的防護裝置,在進入第三階段驗證之前已經(jīng)經(jīng)過了第一階段驗證和第二階段驗證兩輪的訪問請求過濾,使得防火墻能準確識別出CC攻擊行為和CC攻擊源IP地址,提高了服務(wù)器安全性的同時也能避免將用戶的正常訪問請求屏蔽掉。而且,通過第一階段驗證的訪問請求,當訪問請求數(shù)量在未超過預(yù)定閾值之前,可以繼續(xù)訪問服務(wù)器,客戶端直接與服務(wù)器交互,節(jié)省防火墻的內(nèi)存,進而提高了防火墻的數(shù)據(jù)處理能力。
[0104]應(yīng)當理解的是,本發(fā)明的上述【具體實施方式】僅僅用于示例性說明或解釋本發(fā)明的原理,而不構(gòu)成對本發(fā)明的限制。因此,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改、等同替換、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。此外,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例。
【權(quán)利要求】
1.一種CC攻擊的防護方法,包括如下步驟: 向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie,若是則允許繼續(xù)訪問,否則拒絕訪問; 監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟,否則允許繼續(xù)訪問; 向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問,否則拒絕訪問。
2.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法,其特征在于,所述向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie的步驟包括: 接收客戶端首次提交的目標頁面訪問請求; 向所述客戶端發(fā)送帶有cookie校驗信息的校驗頁面; 接收客戶端返回的訪問請求; 判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息。
3.根據(jù)權(quán)利要求2所述的CC攻擊的防護方法,其特征在于,所述判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息之后,包括: 若是,則向所述客戶端返回目標頁面,同時將所述客戶端的源IP地址列入白名單;否則拒絕向所述客戶端返回目標頁面,并將所述目標頁面請求記錄為所述客戶端源IP地址的一次攻擊。
4.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法,其特征在于,所述監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟,否則允許繼續(xù)訪問,包括: 監(jiān)測客戶端的訪問請求在單位時間內(nèi)的次數(shù)是否超過預(yù)定閾值; 若是,則向所述客戶端返回目標頁面; 否則將所述客戶端的源IP地址從白名單中清除,并進入所述下一步驟。
5.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法,其特征在于,所述向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問,否則拒絕訪問,包括: 向客戶端發(fā)送鑒權(quán)要求; 接收所述客戶端返回的鑒權(quán)信息; 判斷客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息是否一致; 如果一致,則允許所述客戶端繼續(xù)訪問服務(wù)器; 如果不一致,則拒絕所述客戶端訪問服務(wù)器。
6.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法,其特征在于,所述向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問,否則拒絕訪問,包括: 隨機生成一驗證碼,所述驗證碼包含原始驗證信息; 向所述客戶端發(fā)送攜帶有所述驗證碼的驗證頁面; 接收所述客戶端返回的驗證信息; 判斷所述驗證信息是否與預(yù)存的驗證信息一致; 如果一致,則允許所述客戶端繼續(xù)訪問服務(wù)器; 如果不一致,則拒絕所述客戶端訪問服務(wù)器。
7.根據(jù)權(quán)利要求6所述的CC攻擊的防護方法,其特征在于,所述驗證碼為靜態(tài)驗證碼或動態(tài)驗證碼。
8.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法,其特征在于,所述允許繼續(xù)訪問具體為:向所述客戶端返回目標頁面。
9.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法,其特征在于,所述向所述客戶端發(fā)送鑒權(quán)要求,包括:通過TCP代理模塊向所述客戶端發(fā)送鑒權(quán)要求。
10.一種根據(jù)權(quán)利要求1-9任一項的CC攻擊防護方法的CC攻擊的防護裝置,包括:第一驗證模塊,用于向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie,若是則允許繼續(xù)訪問,否則拒絕訪問; 監(jiān)測模塊,用于監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟,否則允許繼續(xù)訪問; 第二驗證模塊,用于向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪 問,否則拒絕訪問。
【文檔編號】H04L29/06GK104079557SQ201410219880
【公開日】2014年10月1日 申請日期:2014年5月22日 優(yōu)先權(quán)日:2014年5月22日
【發(fā)明者】王震 申請人:漢柏科技有限公司