一种网络攻击的防护方法及系统技术方案

本发明专利技术实施例公开了网络攻击的防护方法及系统，应用于信息处理技术领域。在本实施例的方法中，网络攻击的防护设备会解析代理机器转发的客户端的网络请求得到客户端的地址信息，然后根据客户端的地址信息计算第一校验信息，并根据第一校验信息确定基于客户端的地址信息的信任名单。这样在网络攻击的防护过程中，可以根据发起网络请求的客户端的地址信息及信任名单直接确认客户端是否是正常客户端，和现有技术中基于源IP信息的信任名单相比，可以防止在系统中部署有代理机器的情况下，因代理机器的IP信息命中信任名单而引起的对于肉鸡的网络请求的透传。

A method and system of network attack protection

The embodiment of the invention discloses a network attack protection method and a system, which are applied to the field of information processing technology. In the method of this embodiment, the network attack protection device parses the network request forwarded by the proxy machine to obtain the client's address information, then calculates the first check information based on the client's address information, and determines the trust list based on the client's address information according to the first check information. In the process of network attack protection, it can confirm whether the client is a normal client directly according to the address information and trust list of the client that initiated the network request. Compared with the trust list based on the source IP information in the existing technology, it can prevent the agent machine from being deployed in the system because of the agent machine. The IP information hits the trust list and causes the transmission of the net request to the broiler.

【技术实现步骤摘要】
一种网络攻击的防护方法及系统
本专利技术涉及信息处理
，特别涉及一种网络攻击的防护方法及系统。
技术介绍
攻击者借助代理服务器或者肉鸡生成指向受害主机的合法请求，实现分布式拒绝服务(DistributedDenialofService，DDOS)和伪装就叫挑战黑洞(ChallengeCollapsar，CC)攻击。这里肉鸡也称傀儡机，是指可以被黑客远程控制的机器，比如用"灰鸽子"等诱导用户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马，黑客可以随意操纵它并利用它做任何事情。现有技术中，在网络中部署CC防护设备，当CC防护设备检测到服务器遭受CC攻击时，会对客户端发送的网络请求进行分析，提取出网络层的源网络协议(InternetProtocol，IP)信息，利用该源IP信息进行一定的计算得到校验信息，然后根据校验信息得到基于源IP信息的信任名单。这样在网络攻击的防护过程中，如果某个客户端的网络请求中网络层的源IP信息不属于信任名单，则该客户端为肉鸡。但是，对于在网络中部署代理机器的情况，采用现有的网络防护方法，会出现肉鸡发来的大量网络请求会因命中信任名单而透传到服务器。
技术实现思路
本专利技术实施例提供一种网络攻击的防护方法及系统，实现了根据客户端发起的网络请求中客户端的地址信息确定信任名单。本专利技术实施例提供一种网络攻击的防护方法，包括：获取至少一级代理机器转发的客户端的网络请求，解析所述网络请求得到所述客户端的地址信息；根据所述客户端的地址信息计算第一校验信息；如果所述网络请求中还包括第二校验信息，且所述第二校验信息与所述第一校验信息一致，将所述客户端的地址信息加入信任名单，将所述网络请求转发给服务器。本专利技术实施例提供一种网络攻击的防护系统，包括：第一地址获取单元，用于获取至少一级代理机器转发的客户端的网络请求，解析所述网络请求得到所述客户端的地址信息；校验计算单元，用于根据所述客户端的地址信息计算第一校验信息；第一处理单元，用于如果所述网络请求中还包括第二校验信息，且所述第二校验信息与所述第一校验信息一致，将所述客户端的地址信息加入信任名单，将所述网络请求转发给服务器。可见，在本实施例的方法中，网络攻击的防护设备会解析代理机器转发的客户端的网络请求得到客户端的地址信息，然后根据客户端的地址信息计算第一校验信息，并根据第一校验信息确定基于客户端的地址信息的信任名单。这样在网络攻击的防护过程中，可以根据发起网络请求的客户端的地址信息及信任名单直接确认客户端是否是正常客户端，和现有技术中基于源IP信息的信任名单相比，可以防止在系统中部署有代理机器的情况下，因代理机器的IP信息命中信任名单而引起的对于肉鸡的网络请求的透传。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种网络攻击的防护方法所应用的系统的结构示意图；图2是本专利技术实施例提供的一种网络攻击的防护方法的流程图；图3是本专利技术实施例提供的另一种网络攻击的防护方法的流程图；图4是本专利技术应用实施例提供的一种网络攻击的防护方法的示意图；图5是本专利技术实施例提供的一种网络攻击的防护系统的结构示意图；图6是本专利技术实施例提供的另一种网络攻击的防护系统的结构示意图；图7是本专利技术实施例提供的一种网络设备的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排它的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。本专利技术实施例提供一种网络攻击的防护方法，主要可以应用于如图1所示的系统中，在该系统中包括客户端，至少一级代理机器(图1中以多级为例来说明)，网络攻击的防护设备和服务器，其中：客户端主要用于发起到服务器的网络请求，比如超文本传输协议(HyperTextTransferProtocol，HTTP)请求等；代理机器主要用于转发客户端发起的网络请求；网络攻击的防护设备主要用于根据客户端的网络请求确定客户端是否是肉鸡，从而避免服务器遭受网络攻击，比如CC攻击。本实施例的方法是图1中的网络攻击的防护设备所执行的方法，流程图如图2所示，包括：步骤101，获取至少一级代理机器转发的客户端的网络请求，解析网络请求得到客户端的地址信息。可以理解，用户可以操作客户端使得客户端发起网络请求，比如HTTP请求，网络攻击的防护设备获取经过至少一级代理机器的转发后的网络请求，解析该网络请求得到客户端的地址信息。其中，当网络请求任一级代理机器时，该代理机器会将网络请求的消息头中源设备地址字段的信息(具体为该代理机器上一网络节点的地址信息)放置到网络请求的消息体中某一字段，具体地，在HTTP请求中是转发(X-Forwarded-For)字段，并将该代理机器的地址信息添加到网络请求的消息头中源设备地址字段，然后转发给下一网络节点。如果系统中有多级代理机器，网络攻击的防护设备会获取到最后一级代理机器转发的网络请求，这样在网络请求的特定字段(比如转发字段)就包括了该网络请求所经过的网络节点(包括客户端和代理机器)的地址信息，则在执行本步骤101时，网络攻击的防护设备会解析网络请求中特定字段(比如转发字段)的内容，将转发字段中的第一项内容作为客户端的地址信息；如果系统中只有一级代理机器，则网络攻击的防护设备会获取到一级代理机器转发的网络请求，在执行本步骤101时，会解析网络请求中特定字段(比如转发字段)的内容，直接将转发字段的内容作为客户端的地址信息。另外，如果系统中没有部署代理机器，则网络消息的特定字段(比如转发字段)的内容为空，在网络消息的消息头中源设备地址字段包括客户端的地址信息。需要说明的是，本实施例的方法可以是当网络攻击的防护设备在检测到服务器遭受了CC攻击时启动执行的方法，也可以是在客户端与服务器之间通信的任意时刻启动执行的方法。步骤102，根据客户端的地址信息计算第一校验信息，具体地，网络攻击的防护设备可以将客户端的地址信息及其它信息，比如目的设备的地址信息等组成信息组，并对信息组进行哈希计算得到第一校验信息。步骤103，如果网络请求中还包括第二校验信息，且第二校验信息与第一校验信息一致，说明将客户端是正常客户端，则将客户端的地址信息加入信任名单，将网本文档来自技高网...

【技术保护点】
1.一种网络攻击的防护方法，其特征在于，包括：获取至少一级代理机器转发的客户端的网络请求，解析所述网络请求得到所述客户端的地址信息；根据所述客户端的地址信息计算第一校验信息；如果所述网络请求中还包括第二校验信息，且所述第二校验信息与所述第一校验信息一致，将所述客户端的地址信息加入信任名单，将所述网络请求转发给服务器。

【技术特征摘要】
1.一种网络攻击的防护方法，其特征在于，包括：获取至少一级代理机器转发的客户端的网络请求，解析所述网络请求得到所述客户端的地址信息；根据所述客户端的地址信息计算第一校验信息；如果所述网络请求中还包括第二校验信息，且所述第二校验信息与所述第一校验信息一致，将所述客户端的地址信息加入信任名单，将所述网络请求转发给服务器。2.如权利要求1所述的方法，其特征在于，所述解析所述网络请求得到所述客户端的地址信息，具体包括：解析所述网络请求的转发字段的内容，将所述转发字段的内容作为所述客户端的地址信息，或，将所述转发字段中的第一项内容作为所述客户端的地址信息。3.如权利要求1所述的方法，其特征在于，所述获取代理机器转发的客户端的网络请求之后，所述方法还包括：解析所述网络请求得到所述至少一级代理机器的地址信息；所述根据所述客户端的地址信息计算第一校验信息具体包括：根据所述客户端的地址信息和至少一级代理机器的地址信息计算所述第一校验信息。4.如权利要求3所述的方法，其特征在于，所述解析所述网络请求得到所述至少一级代理机器的地址信息，具体包括：解析所述网络请求的转发字段的内容，将所述转发字段中除第一项之外的至少一项内容作为所述至少一级代理机器的地址信息；或，解析所述网络请求的转发字段及消息头中源设备地址字段的内容，将所述转发字段中除第一项之外的其它项内容及所述源设备地址字段的内容作为所述至少一级代理机器的地址信息。5.如权利要求1所述的方法，其特征在于，所述根据所述客户端的地址信息计算第一校验信息，具体包括：根据所述客户端的地址信息及按照预置的周期更新的更新参数值计算所述第一校验信息。6.如权利要求1至5任一项所述的方法，其特征在于，所述根据所述客户端的地址信息计算第一校验信息之前，所述方法还包括：将所述客户端的地址信息与本地储存的信任名单进行匹配，如果相匹配，则将所述网络请求转发给所述服务器，如果不匹配，执行所述计算第一校验信息的步骤。7.如权利要求1至5任一项所述的方法，其特征在于，所述方法还包括：如果所述网络请求中未包括所述第二校验信息，或所述第二校验信息与第一校验信息不一致，将所述第一校验信息返回给所述客...

【专利技术属性】
技术研发人员：金帅，张浩浩，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44