一種cc攻擊的防護方法及裝置制造方法
【專利摘要】一種CC攻擊的防護方法及裝置��,所述方法包括如下步驟:向客戶端發(fā)送校驗cookie�����,驗證客戶端是否返回正確的校驗cookie���,若是則允許繼續(xù)訪問�,否則拒絕訪問���;監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值��,若是則進入下一步驟���,否則允許繼續(xù)訪問;向客戶端發(fā)送鑒權(quán)要求�����,驗證客戶端輸入的鑒權(quán)信息是否正確�����,若正確則允許繼續(xù)訪問����,否則拒絕訪問。上述CC攻擊的防護方法及裝置具有在提高其安全性的同時即能快速檢測出CC攻擊對象又能避免將用戶的正常訪問請求屏蔽掉的優(yōu)勢。上述方法及裝置使得可以在提高服務(wù)器安全性的同時快速檢測出CC攻擊對象�,同時能夠避免將用戶的正常訪問請求屏蔽掉。
【專利說明】一種CC攻擊的防護方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)�,尤其是涉及一種WEB服務(wù)器的CC(ChallengeCollapsar)攻擊防護方法及裝置。
【背景技術(shù)】
[0002]CC攻擊是一種以消耗服務(wù)器資源為目的的分布式拒絕服務(wù)攻擊����,這種攻擊不使用虛假IP,通常通過大量的代理服務(wù)器來連接服務(wù)器�����,通過向服務(wù)器請求一些消耗服務(wù)器資源的正常URL請求�,使得服務(wù)器CPU計算資源使用率迅速達到最高,無法進行其它正常連接����。這種攻擊主要針對特定域名的WEB應(yīng)用程序。CDN網(wǎng)絡(luò)節(jié)點服務(wù)器無法處理動態(tài)服務(wù)器腳本頁面緩存����。CC攻擊端向節(jié)點發(fā)送動態(tài)服務(wù)器腳本頁面的請求時,節(jié)點會直接向源點服務(wù)器轉(zhuǎn)發(fā)請求�����。此時,CDN的節(jié)點緩存服務(wù)器需要維護攻擊端與節(jié)點����,以及節(jié)點與源點服務(wù)器之間的兩個TCP連接。源點服務(wù)器需要維護節(jié)點與源點之間的TCP連接���。這樣,一次CC攻擊連接需要耗費系統(tǒng)三個TCP連接�。隨著攻擊量的增加,CDN系統(tǒng)性能將受到很大影響直至崩潰����。
[0003]目前應(yīng)用于CDN網(wǎng)絡(luò)服務(wù)的對抗CC攻擊的常用方法是根據(jù)服務(wù)器訪問流量閥值大小來判斷攻擊行為。這種方法容易把用戶的正常訪問請求屏蔽掉�,如果攻擊者設(shè)置好適當?shù)墓羲俣龋瑒t防護系統(tǒng)難以有效地檢測出CC攻擊行為�,從而影響域名的訪問。
[0004]為解決上述問題����,現(xiàn)有技術(shù)中提出一種改進型的CC攻擊防護方法,具體為:通過解析HTTP頭信息�����,判斷訪問請求中是否帶有所述安全標記以及所述安全標記是否合法,進而決定是否允許其訪問WEB服務(wù)器�����。
[0005]上述方法雖然能在一定程度上降低攻擊次數(shù)�,但是存在將用戶的正常訪問請求錯誤屏蔽掉的可能。例如����,在對客戶端請求進行帶有cookie的腳本驗證的方法中,攻擊者可以針對這種驗證方法開發(fā)出專門的攻擊腳本���,自動完成驗證和對服務(wù)器的攻擊�����?����?梢?����,上述改進后的CC攻擊防護方法同樣無法保證服務(wù)器免遭自動攻擊而宕機����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的是提供一種CC攻擊的防護方法及裝置,使得可以在提高服務(wù)器安全性的同時快速檢測出CC攻擊對象�,同時能夠避免將用戶的正常訪問請求屏蔽掉。
[0007]為實現(xiàn)上述目的�����,本發(fā)明的實施方式提出一種CC攻擊的防護方法�,包括如下步驟:向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie,若是則允許繼續(xù)訪問���,否則拒絕訪問��;監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值�,若是則進入下一步驟��,否則允許繼續(xù)訪問��;向客戶端發(fā)送鑒權(quán)要求�,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問�,否則拒絕訪問。
[0008]根據(jù)本發(fā)明的一方面�,所述向客戶端發(fā)送校驗cookie����,驗證客戶端是否返回正確的校驗cookie的步驟包括:接收客戶端首次提交的目標頁面訪問請求�;向所述客戶端發(fā)送帶有cookie校驗信息的校驗頁面;接收客戶端返回的訪問請求�����;判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息���。
[0009]根據(jù)本發(fā)明的另一方面�����,所述判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息之后�����,包括:若是�,則向所述客戶端返回目標頁面�����,同時將所述客戶端的源IP地址列入白名單���;否則拒絕向所述客戶端返回目標頁面����,并將所述目標頁面請求記錄為所述客戶端源IP地址的一次攻擊。
[0010]根據(jù)本發(fā)明的又一方面�,所述監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟�����,否則允許繼續(xù)訪問��,包括:監(jiān)測客戶端的訪問請求在單位時間內(nèi)的次數(shù)是否超過預(yù)定閾值����;若是���,則向所述客戶端返回目標頁面���;否則將所述客戶端的源IP地址從白名單中清除,并進入所述下一步驟��。
[0011]根據(jù)本發(fā)明的又一方面�,所述向客戶端發(fā)送鑒權(quán)要求�����,驗證客戶端輸入的鑒權(quán)信息是否正確���,若正確則允許繼續(xù)訪問,否則拒絕訪問���,包括:向客戶端發(fā)送鑒權(quán)要求���;接收所述客戶端返回的鑒權(quán)信息;判斷客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息是否一致��;如果一致�����,則允許所述客戶端繼續(xù)訪問服務(wù)器����;如果不一致,則拒絕所述客戶端訪問服務(wù)器���。
[0012]根據(jù)本發(fā)明的又一方面��,所述向客戶端發(fā)送鑒權(quán)要求�,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問��,否則拒絕訪問��,包括:隨機生成一驗證碼����,所述驗證碼包含原始驗證信息;向所述客戶端發(fā)送攜帶有所述驗證碼的驗證頁面����;接收所述客戶端返回的驗證信息;判斷所述驗證信息是否與預(yù)存的驗證信息一致�����;如果一致����,則允許所述客戶端繼續(xù)訪問服務(wù)器��;如果不一致�,則拒絕所述客戶端訪問服務(wù)器����。
[0013]根據(jù)本發(fā)明的又一方面�����,所述驗證碼為靜態(tài)驗證碼或動態(tài)驗證碼��。
[0014]根據(jù)本發(fā)明的又一方面����,所述允許繼續(xù)訪問具體為:向所述客戶端返回目標頁面。
[0015]根據(jù)本發(fā)明的又一方面��,所述向所述客戶端發(fā)送鑒權(quán)要求���,包括:通過TCP代理模塊向所述客戶端發(fā)送鑒權(quán)要求�。
[0016]本發(fā)明實施方式的又一個目的是提供一種CC攻擊的防護裝置��,包括:第一驗證模塊�����,用于向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie,若是則允許繼續(xù)訪問,否則拒絕訪問����;監(jiān)測模塊,用于監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值����,若是則進入下一步驟,否則允許繼續(xù)訪問�;第二驗證模塊,用于向客戶端發(fā)送鑒權(quán)要求�,驗證客戶端輸入的鑒權(quán)信息是否正確,若正確則允許繼續(xù)訪問����,否則拒絕訪問。
[0017]根據(jù)本發(fā)明提供的CC攻擊的防護方法及裝置����,在進入第三階段驗證之前已經(jīng)經(jīng)過了第一階段驗證和第二階段驗證兩輪的訪問請求過濾,使得防火墻能準確識別出CC攻擊行為和CC攻擊源IP地址��,提高了服務(wù)器安全性的同時也能避免將用戶的正常訪問請求屏蔽掉�。而且����,通過第一階段驗證的訪問請求�,當訪問請求數(shù)量在未超過預(yù)定閾值之前����,可以繼續(xù)訪問服務(wù)器,客戶端直接與服務(wù)器交互�����,節(jié)省防火墻的內(nèi)存�����,進而提高了防火墻的數(shù)據(jù)處理能力��。
【專利附圖】
【附圖說明】
[0018]圖1是本發(fā)明所涉及的一種實施環(huán)境的結(jié)構(gòu)示意圖����;
[0019]圖2示出了本發(fā)明優(yōu)選實施例的CC攻擊的防護方法的方法流程圖;
[0020]圖3示出了本發(fā)明優(yōu)選實施例中第一階段驗證步驟S100的方法流程圖�;
[0021]圖4示出了本發(fā)明優(yōu)選實施例中第二階段驗證步驟S200的方法流程圖;
[0022]圖5示出了本發(fā)明優(yōu)選實施例中第三階段驗證步驟S300的方法流程圖�;
[0023]圖6示出了本發(fā)明優(yōu)選實施例中第三階段驗證步驟S300的另一方法流程圖;
[0024]圖7示出了在客戶端上顯示的攜帶有驗證碼信息的驗證頁面示意圖�;
[0025]圖8示出了圖片式驗證碼輸入頁面的示意圖;
[0026]圖9出了本發(fā)明另一實施例的CC攻擊的防護裝置的結(jié)構(gòu)示意圖。
【具體實施方式】
[0027]為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點更加清楚明了���,下面結(jié)合【具體實施方式】并參照附圖���,對本發(fā)明進一步詳細說明。應(yīng)該理解����,這些描述只是示例性的,而并非要限制本發(fā)明的范圍�����。此外�,在以下說明中,省略了對公知結(jié)構(gòu)和技術(shù)的描述��,以避免不必要地混淆本發(fā)明的概念�。
[0028]圖1示出了本發(fā)明技術(shù)方案實施環(huán)境的結(jié)構(gòu)示意圖。
[0029]參見圖1�,本發(fā)明的CC攻擊的方法及裝置用于在網(wǎng)絡(luò)系統(tǒng)中實施針對CC攻擊的防護操作,所述網(wǎng)絡(luò)系統(tǒng)主要包括終端120�����、服務(wù)器140和防火墻160��。
[0030]終端120可以是具備數(shù)據(jù)處理能力的電子設(shè)備�,如手機、平板電腦�����、電子書閱讀器���、MP3 播放器(Moving Picture Experts Group Aud1 Layer III�����,動態(tài)影像專家壓縮標準音頻層面 3)���、MP4 (Moving Picture Experts Group Aud1 Layer IV,動態(tài)影像專家壓縮標準音頻層面3)播放器、膝上型便攜計算機和臺式計算機等等���。
[0031]終端120中運行有客戶端����,該客戶端可以是具備頁面瀏覽功能的客戶端,如瀏覽器��、閱讀應(yīng)用�����、新聞客戶端等���。
[0032]服務(wù)器140可以是一臺服務(wù)器�����,或者由若干臺服務(wù)器組成的服務(wù)器集群���,或者是一個云計算服務(wù)中心。服務(wù)器用于與終端120交互提供頁面內(nèi)容��。服務(wù)器140通常由內(nèi)容提供商來設(shè)立�,如web服務(wù)器。
[0033]防火墻160連接終端120與服務(wù)器140�,其連接所用的網(wǎng)絡(luò)可以為無線網(wǎng)絡(luò)或者有線網(wǎng)絡(luò)。防火墻160可能是一臺或多臺專屬的硬件����,或只是普通機器上的一套軟件�。
[0034]圖2示出了本發(fā)明優(yōu)選實施例的CC攻擊的防護方法的方法流程圖���。
[0035]參見圖2�,本發(fā)明的優(yōu)選實施例的CC攻擊的防護方法包括以下三個階段的驗證步驟:
[0036]第一階段驗證步驟S100�,向客戶端發(fā)送校驗cookie�����,驗證客戶端是否返回正確的校驗cookie��,若是則允許繼續(xù)訪問����,否則拒絕訪問;
[0037]第二階段驗證步驟S200���,監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值���,若是則進入下一步驟,否則允許繼續(xù)訪問���;
[0038]第三階段驗證步驟S300����,向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確���,若正確則允許繼續(xù)訪問�����,否則拒絕訪問����。
[0039]本實施例中����,以上步驟的執(zhí)行主體優(yōu)選為防火墻160,也可以是服務(wù)器140�����。所述允許繼續(xù)訪問的步驟具體為向所述客戶端返回所請求訪問的目標頁面��。所述向所述客戶端發(fā)送鑒權(quán)要求的步驟��,具體為通過防火墻160的TCP代理模塊向所述客戶端發(fā)送鑒權(quán)要求���。
[0040]綜上所述����,本發(fā)明實施例提供的CC攻擊的防護方法,在進入第三階段驗證之前已經(jīng)經(jīng)過了第一階段驗證和第二階段驗證兩輪的訪問請求過濾�����,使得防火墻能準確識別出CC攻擊行為和CC攻擊源IP地址����,提高了服務(wù)器安全性的同時也能避免將用戶的正常訪問請求屏蔽掉�����。而且�����,通過第一階段驗證的訪問請求��,當訪問請求數(shù)量在未超過預(yù)定閾值之前���,可以繼續(xù)訪問服務(wù)器��,客戶端直接與服務(wù)器交互�,節(jié)省防火墻的內(nèi)存,進而提高了防火墻的數(shù)據(jù)處理能力�。
[0041]圖3示出了本發(fā)明的優(yōu)選實施例中第一階段驗證步驟SlOO的方法流程圖。
[0042]參見圖3��,本發(fā)明的優(yōu)選實施例中���,第一階段驗證步驟SlOO具體包括下述步驟:
[0043]步驟S101���,接收客戶端首次提交的目標頁面訪問請求。
[0044]其中����,如圖7所示,所述目標頁面800為用戶最終想要獲取的頁面�。以客戶端為瀏覽器為例,所述目標頁面為用戶輸入的URL所對應(yīng)的實際頁面�����,如當用戶在瀏覽器地址欄輸入網(wǎng)址“WWW, baidu.com”時,用戶最終想獲取的頁面為上述網(wǎng)址“www.baidu.com”所對應(yīng)的頁面���。
[0045]步驟S102,向所述客戶端發(fā)送帶有cookie校驗信息的校驗頁面���。
[0046]步驟S103,接收客戶端返回的訪問請求�����。
[0047]步驟S104���,判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息。
[0048]步驟S105�,若所述客戶端返回的訪問請求中包括所述cookie校驗信息,則向所述客戶端返回目標頁面��,同時將所述客戶端的源IP地址列入白名單��。
[0049]步驟S106�,若所述客戶端返回的訪問請求中未包括所述cookie校驗信息���,則拒絕向所述客戶端返回目標頁面��,并將所述目標頁面請求記錄為所述客戶端源IP地址的一次攻擊��。
[0050]圖4示出了本發(fā)明的優(yōu)選實施例中第二階段驗證步驟S200的方法流程圖���。
[0051]參見圖4��,本發(fā)明的優(yōu)選實施例中�����,第二階段驗證步驟S200具體包括下述步驟:
[0052]步驟S201���,監(jiān)測客戶端的訪問請求在單位時間內(nèi)的次數(shù)是否超過預(yù)定閾值。
[0053]步驟S202�����,若客戶端的訪問請求在單位時間內(nèi)的次數(shù)未超過預(yù)定閾值�,則向所述客戶端返回目標頁面。
[0054]步驟S203����,若客戶端的訪問請求在單位時間內(nèi)的次數(shù)超過預(yù)定閾值�,將所述客戶端的源IP地址從白名單中清除����,并轉(zhuǎn)到第三階段驗證步驟S300,向所述客戶端發(fā)送鑒權(quán)請求���。
[0055]圖5示出了本發(fā)明優(yōu)選實施例中第三階段驗證步驟S300的方法流程圖��。
[0056]參見圖5�,本發(fā)明優(yōu)選實施例中第三階段驗證步驟S300具體包括下述步驟:
[0057]S301,向客戶端發(fā)送鑒權(quán)要求�����。
[0058]S302�,接收所述客戶端返回的鑒權(quán)信息。
[0059]S303��,判斷客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息是否一致��。
[0060]S304���,如果一致,則允許所述客戶端繼續(xù)訪問服務(wù)器����。
[0061]S305����,如果不一致����,則拒絕所述客戶端訪問服務(wù)器。
[0062]圖6示出了本發(fā)明的優(yōu)選實施例中第三階段驗證步驟S300的另一方法流程圖��。
[0063]本發(fā)明的實施例中�����,鑒權(quán)信息優(yōu)選的采用驗證碼�,所述第三階段驗證步驟S300具體包括以下步驟:
[0064]S311,隨機生成一驗證碼�,所述驗證碼包含原始驗證信息。
[0065]其中�����,所述驗證碼為人眼不易識別的圖片�、文字、數(shù)字�����、視頻等,常用的驗證碼有靜態(tài)驗證碼和動態(tài)驗證碼����。
[0066]S312,向所述客戶端發(fā)送攜帶有所述驗證碼的驗證頁面。
[0067]圖7示出了在客戶端上顯示的攜帶有驗證碼信息的驗證頁面示意圖���。
[0068]如圖7所示���,驗證頁面800是在客戶端上顯示的攜帶有驗證碼信息的頁面���,用戶只有在所述驗證頁面800中手動輸入驗證信息,并驗證通過后才能繼續(xù)訪問目標頁面�。
[0069]圖8示出了圖片式驗證碼輸入頁面的示意圖。
[0070]如圖8所示�����,驗證碼頁面900上還設(shè)有供用戶輸入驗證碼信息的輸入框及“確認”和“取消”等通用圖標�。
[0071]由于驗證碼很難被機器自動識別。因此�,上述通過驗證碼完成驗證的方法可有效防護服務(wù)器被自動化攻擊。
[0072]S313����,接收所述客戶端返回的驗證信息��。
[0073]S314���,判斷所述驗證信息是否與預(yù)存的驗證信息一致��;
[0074]S315���,如果一致,則允許所述客戶端繼續(xù)訪問服務(wù)器�。
[0075]進一步,將所述客戶端的源IP地址列入白名單�。
[0076]S316,如果不一致�����,則拒絕所述客戶端訪問服務(wù)器。
[0077]進一步��,將所述目標頁面請求記錄為所述客戶端源IP地址的一次攻擊���。
[0078]綜上所述���,本發(fā)明實施例提供的CC攻擊的防護方法,在所述目標頁面訪問請求在單位時間內(nèi)超過預(yù)定的閾值時��,所述客戶端上將顯示一驗證頁面�����,用戶在所述驗證頁面輸入正確的驗證信息后才能繼續(xù)訪問目標頁面����。進一步,所述驗證信息不能被機器準確識別,如此可有效防護服務(wù)器被木馬等黑客程序自動化攻擊�����。一旦所述客戶端的源IP地址列入了白名單��,具有所述源IP的客戶端后續(xù)與服務(wù)器的交互時����,可以不用經(jīng)過防火墻的TCP代理模塊而與服務(wù)器直接交互,從而提高防火墻設(shè)備的通訊數(shù)據(jù)處理能力���,且后續(xù)此源IP可以確保繼續(xù)訪問服務(wù)器�����。
[0079]圖9出了本發(fā)明另一實施例的CC攻擊的防護裝置的結(jié)構(gòu)示意圖����。
[0080]如圖9所示,本發(fā)明另一優(yōu)選實施例的CC攻擊的防護裝置100包括以下步驟:
[0081]第一驗證模塊10,用于向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie�����,若是則允許繼續(xù)訪問���,否則拒絕訪問�;
[0082]監(jiān)測模塊20���,用于監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值��,若是則進入下一步驟�,否則允許繼續(xù)訪問�����;
[0083]第二驗證模塊30���,用于向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確�,若正確則允許繼續(xù)訪問�����,否則拒絕訪問���。
[0084]可選的�,第一驗證模塊10包括:
[0085]訪問請求接收模塊11�,用于接收客戶端首次提交的目標頁面訪問請求;
[0086]cookie發(fā)送模塊12,用于向所述客戶端發(fā)送帶有cookie校驗信息的校驗頁面����;
[0087]cookie接收模塊13,用于接收客戶端返回的訪問請求;
[0088]cookie校驗?zāi)K14����,用于判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息。
[0089]第一目標頁面返回模塊15,當所述客戶端返回的訪問請求中包括所述cookie校驗信息時��,向所述客戶端返回目標頁面�,同時將所述客戶端的源IP地址列入白名單;
[0090]訪問拒絕模塊16,當所述客戶端返回的訪問請求中未包括所述cookie校驗信息�����,或者包括的cookie校驗信息錯誤時����,拒絕向所述客戶端返回目標頁面,并將所述目標頁面請求記錄為所述客戶端源IP地址的一次攻擊����。
[0091]可選的,監(jiān)測模塊20包括:
[0092]訪問數(shù)檢測模塊21�,用于監(jiān)測客戶端的訪問請求在單位時間內(nèi)的次數(shù)是否超過預(yù)定閾值。
[0093]第二目標頁面返回模塊22����,當所述客戶端的訪問請求在單位時間內(nèi)的次數(shù)未超過預(yù)定閾值時,向所述客戶端返回目標頁面�。
[0094]白名單清除模塊23,當所述客戶端的訪問請求在單位時間內(nèi)的次數(shù)超過預(yù)定閾值時�,將所述客戶端的源IP地址從白名單中清除�。
[0095]可選的�,第二驗證模塊30包括:
[0096]鑒權(quán)要求發(fā)送模塊31,用于向客戶端發(fā)送鑒權(quán)要求����。
[0097]鑒權(quán)信息接收模塊32,用于接收所述客戶端返回的鑒權(quán)信息���。
[0098]鑒權(quán)信息驗證模塊33���,用于判斷客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息是否一致。
[0099]允許訪問模塊34���,當所述客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息一致時,允許所述客戶端繼續(xù)訪問服務(wù)器���。
[0100]拒絕訪問模塊35�����,當所述客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息不一致時�,拒絕所述客戶端訪問服務(wù)器���。
[0101]可選的��,第二驗證模塊30還包括:
[0102]驗證碼生成模塊36�,用于隨機生成一驗證碼,所述驗證碼包含原始驗證信息����。
[0103]如上所述,本發(fā)明另一實施例提供的CC攻擊的防護裝置���,在進入第三階段驗證之前已經(jīng)經(jīng)過了第一階段驗證和第二階段驗證兩輪的訪問請求過濾����,使得防火墻能準確識別出CC攻擊行為和CC攻擊源IP地址����,提高了服務(wù)器安全性的同時也能避免將用戶的正常訪問請求屏蔽掉。而且��,通過第一階段驗證的訪問請求���,當訪問請求數(shù)量在未超過預(yù)定閾值之前��,可以繼續(xù)訪問服務(wù)器����,客戶端直接與服務(wù)器交互,節(jié)省防火墻的內(nèi)存�����,進而提高了防火墻的數(shù)據(jù)處理能力���。
[0104]應(yīng)當理解的是���,本發(fā)明的上述【具體實施方式】僅僅用于示例性說明或解釋本發(fā)明的原理,而不構(gòu)成對本發(fā)明的限制���。因此���,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改�、等同替換、改進等�,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。此外���,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界��、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例���。
【權(quán)利要求】
1.一種CC攻擊的防護方法���,包括如下步驟: 向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie,若是則允許繼續(xù)訪問,否則拒絕訪問�; 監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟��,否則允許繼續(xù)訪問�; 向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確�����,若正確則允許繼續(xù)訪問�����,否則拒絕訪問�����。
2.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法���,其特征在于���,所述向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie的步驟包括: 接收客戶端首次提交的目標頁面訪問請求����; 向所述客戶端發(fā)送帶有cookie校驗信息的校驗頁面�����; 接收客戶端返回的訪問請求����; 判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息。
3.根據(jù)權(quán)利要求2所述的CC攻擊的防護方法����,其特征在于,所述判斷所述客戶端返回的訪問請求中是否包括所述cookie校驗信息之后,包括: 若是�,則向所述客戶端返回目標頁面,同時將所述客戶端的源IP地址列入白名單�����;否則拒絕向所述客戶端返回目標頁面��,并將所述目標頁面請求記錄為所述客戶端源IP地址的一次攻擊�����。
4.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法�,其特征在于,所述監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值���,若是則進入下一步驟�����,否則允許繼續(xù)訪問����,包括: 監(jiān)測客戶端的訪問請求在單位時間內(nèi)的次數(shù)是否超過預(yù)定閾值�; 若是,則向所述客戶端返回目標頁面�����; 否則將所述客戶端的源IP地址從白名單中清除���,并進入所述下一步驟��。
5.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法��,其特征在于�,所述向客戶端發(fā)送鑒權(quán)要求,驗證客戶端輸入的鑒權(quán)信息是否正確����,若正確則允許繼續(xù)訪問,否則拒絕訪問�,包括: 向客戶端發(fā)送鑒權(quán)要求; 接收所述客戶端返回的鑒權(quán)信息����; 判斷客戶端返回的鑒權(quán)信息與防火墻預(yù)存的鑒權(quán)信息是否一致; 如果一致����,則允許所述客戶端繼續(xù)訪問服務(wù)器; 如果不一致�����,則拒絕所述客戶端訪問服務(wù)器��。
6.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法,其特征在于��,所述向客戶端發(fā)送鑒權(quán)要求�����,驗證客戶端輸入的鑒權(quán)信息是否正確����,若正確則允許繼續(xù)訪問�����,否則拒絕訪問���,包括: 隨機生成一驗證碼���,所述驗證碼包含原始驗證信息; 向所述客戶端發(fā)送攜帶有所述驗證碼的驗證頁面��; 接收所述客戶端返回的驗證信息��; 判斷所述驗證信息是否與預(yù)存的驗證信息一致���; 如果一致�,則允許所述客戶端繼續(xù)訪問服務(wù)器; 如果不一致��,則拒絕所述客戶端訪問服務(wù)器�。
7.根據(jù)權(quán)利要求6所述的CC攻擊的防護方法,其特征在于��,所述驗證碼為靜態(tài)驗證碼或動態(tài)驗證碼�。
8.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法,其特征在于����,所述允許繼續(xù)訪問具體為:向所述客戶端返回目標頁面。
9.根據(jù)權(quán)利要求1所述的CC攻擊的防護方法�����,其特征在于�����,所述向所述客戶端發(fā)送鑒權(quán)要求�,包括:通過TCP代理模塊向所述客戶端發(fā)送鑒權(quán)要求。
10.一種根據(jù)權(quán)利要求1-9任一項的CC攻擊防護方法的CC攻擊的防護裝置�,包括:第一驗證模塊���,用于向客戶端發(fā)送校驗cookie,驗證客戶端是否返回正確的校驗cookie,若是則允許繼續(xù)訪問�,否則拒絕訪問; 監(jiān)測模塊���,用于監(jiān)測客戶端在單位時間內(nèi)的訪問次數(shù)是否超過預(yù)定閾值,若是則進入下一步驟�����,否則允許繼續(xù)訪問���; 第二驗證模塊��,用于向客戶端發(fā)送鑒權(quán)要求�,驗證客戶端輸入的鑒權(quán)信息是否正確��,若正確則允許繼續(xù)訪 問��,否則拒絕訪問�����。
【文檔編號】H04L29/06GK104079557SQ201410219880
【公開日】2014年10月1日 申請日期:2014年5月22日 優(yōu)先權(quán)日:2014年5月22日
【發(fā)明者】王震 申請人:漢柏科技有限公司