拒绝服务攻击防御方法、装置、设备和存储介质制造方法及图纸

本发明专利技术公开了一种拒绝服务攻击防御方法、装置、设备和存储介质，属于网络安全技术领域。该方法包括：向防护设备发送封装后的HTTP请求，接收防护设备发送的用于指示HTTP请求不合法的第一HTTP回应报文，第一HTTP回应报文携带有人机识别程序，向客户端发送携带有人机识别程序的第一HTTP响应，第一HTTP响应用于指示客户端根据人机识别程序发送重请求。本发明专利技术通过当防护设备检测出HTTP请求不合法时通过向客户端发送人机识别程序，客户端根据人机识别程序发送重请求，进而使得后续服务器和防护设备可以对重请求进行进一步的信任检查，避免了相关技术中在对拒绝服务攻击进行防御的过程中正常客户端发送的HTTP请求容易被误杀的情况。

【技术实现步骤摘要】
拒绝服务攻击防御方法、装置、设备和存储介质
本专利技术实施例涉及网络安全
，特别涉及一种拒绝服务攻击防御方法、装置、设备和存储介质。
技术介绍
分布式拒绝服务(DistributedDenialofService，DDoS)攻击是一种较为严重的网络攻击行为，它利用大量的傀儡机对某个服务器或系统同时发起攻击，使得受攻击的该系统因带宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问。相关技术中，基于超文本传输(HyperTextTransferProtocol，HTTP)协议的服务器上部署有防护模块，拒绝服务攻击防御方法通常包括：服务器接收客户端发送的HTTP请求，对HTTP请求进行安全认证，若安全认证成功则服务器向客户端发送用于指示正常访问的HTTP响应；若安全认证失败则服务器丢弃该HTTP请求。在上述方法中，若服务器对HTTP请求的认证结果为安全认证失败，则服务器会直接丢弃该HTTP请求，容易造成正常客户端发送的HTTP请求被误杀的情况。
技术实现思路
本专利技术实施例提供了一种拒绝服务攻击防御方法、装置、设备和存储介质，可以解决相关技术中在对拒绝服务攻击进行防御的过程中正常客户端发送的HTTP请求容易被误杀的问题。所述技术方案如下：一方面，提供了一种拒绝服务攻击防御方法，用于与防护设备相连的服务器中，所述方法，包括：接收客户端发送的HTTP请求；对所述HTTP请求进行封装得到封装后的HTTP请求；向所述防护设备发送所述封装后的HTTP请求，所述封装后的HTTP请求用于指示所述防护设备检测所述HTTP请求是否合法；接收所述防护设备发送的第一HTTP回应报文，所述第一HTTP回应报文用于指示所述HTTP请求不合法，所述第一HTTP回应报文携带有人机识别程序，所述人机识别程序用于检测所述客户端是否为傀儡机的客户端；向所述客户端发送携带有所述人机识别程序的第一HTTP响应，所述第一HTTP响应用于指示所述客户端根据所述人机识别程序发送重请求。另一方面，提供了一种拒绝服务攻击防御方法，用于与服务器相连的防护设备中，所述方法，包括：接收所述服务器发送的封装后的超文本传输协议HTTP请求，所述封装后的HTTP请求是对客户端发送的HTTP请求进行封装得到的请求；根据所述封装后的HTTP请求，检测所述HTTP请求的合法性；当检测出所述HTTP请求不合法时生成第一HTTP回应报文，所述第一HTTP回应报文携带有人机识别程序，所述人机识别程序用于检测所述客户端是否为傀儡机的客户端；将所述第一HTTP回应报文发送至所述服务器。另一方面，提供了一种拒绝服务攻击防御装置，用于与防护设备相连的服务器中，所述装置包括：转发模块，用于接收客户端发送的超文本传输协议HTTP请求；处理模块，用于对所述HTTP请求进行封装得到封装后的HTTP请求；所述转发模块，还用于向所述防护设备发送所述封装后的HTTP请求，所述封装后的HTTP请求用于指示所述防护设备检测所述HTTP请求是否合法；所述转发模块，还用于接收所述防护设备发送的第一HTTP回应报文，所述第一HTTP回应报文用于指示所述HTTP请求不合法，所述第一HTTP回应报文携带有人机识别程序，所述人机识别程序用于检测所述客户端是否为傀儡机的客户端；所述转发模块，还用于向所述客户端发送携带有所述人机识别程序的第一HTTP响应，所述第一HTTP响应用于指示所述客户端根据所述人机识别程序发送重请求。另一方面，提供了一种拒绝服务攻击防御装置，用于与服务器相连的防护设备中，所述装置，包括：接收模块，用于接收所述服务器发送的封装后的超文本传输协议HTTP请求，所述封装后的HTTP请求是对客户端发送的HTTP请求进行封装得到的请求；检测模块，用于根据所述封装后的HTTP请求，检测所述HTTP请求的合法性；生成模块，用于当检测出所述HTTP请求不合法时生成第一HTTP回应报文，所述第一HTTP回应报文携带有人机识别程序，所述人机识别程序用于检测所述客户端是否为傀儡机的客户端；发送模块，用于将所述第一HTTP回应报文发送至所述服务器。另一方面，提供了一种服务器，其特征在于，所述服务器包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述第一方面所述的拒绝服务攻击防御方法。另一方面，提供了一种防护设备，其特征在于，所述防护设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述第二方面所述的拒绝服务攻击防御方法。另一方面，提供了一种计算机可读存储介质，其特征在于，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述第一方面或者第二方面所述的拒绝服务攻击防御方法。本专利技术实施例提供的技术方案带来的有益效果至少包括：通过服务器接收客户端发送的HTTP请求，对HTTP请求进行封装得到封装后的HTTP请求，向防护设备发送封装后的HTTP请求，对应的，防护设备检测接收到的HTTP请求是否合法，当HTTP请求不合法检测出HTTP请求不合法时向服务器发送携带有人机识别程序的第一HTTP回应报文；当服务器接收到第一HTTP回应报文时向客户端发送携带有人机识别程序的第一HTTP响应，第一HTTP响应用于指示客户端根据人机识别程序发送重请求；使得当防护设备检测出HTTP请求不合法时通过向客户端发送人机识别程序，进而使得客户端根据人机识别程序发送重请求，从而使得后续服务器和防护设备可以对重请求进行进一步的信任检查，避免了相关技术中在对拒绝服务攻击进行防御的过程中正常客户端发送的HTTP请求容易被误杀的情况。附图说明图1是本专利技术实施例提供的拒绝服务攻击防御方法所涉及的实施环境的结构示意图；图2是本专利技术一个实施例提供的拒绝服务攻击防御方法的流程图；图3是本专利技术另一个实施例提供的拒绝服务攻击防御方法的流程图；图4是本专利技术一个实施例提供的拒绝服务攻击防御方法的原理示意图；图5是本专利技术一个实施例提供的拒绝服务攻击防御方法的原理示意图；图6是本专利技术另一个实施例提供的拒绝服务攻击防御方法的流程图；图7是本专利技术一个实施例提供的拒绝服务攻击防御装置的结构示意图；图8是本专利技术另一个实施例提供的拒绝服务攻击防御装置的结构示意图；图9是本专利技术一个示例性实施例提供的终端的结构框图；图10是本专利技术一个实施例提供的服务器的结构框架图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术实施方式作进一步地详细描述。下面，对本专利技术实施例涉及的一些名词进行介绍：挑战黑洞(ChallengeCollapsar，CC)攻击：是DDoS攻击的一种，也称为Fatboy攻击，是一种常见的网站攻击方法。攻击者通过代理服务器或者肉鸡向受害主机不停地发大量数据包，造成受害主机资源耗尽，一直到宕机崩溃。在本申请实施例中，拒绝服务攻击包括DDoS攻击。安全套接字层超文本传输(HyperTextTransferProtocol本文档来自技高网...

【技术保护点】
1.一种拒绝服务攻击防御方法，其特征在于，用于与防护设备相连的服务器中，所述方法，包括：接收客户端发送的超文本传输协议HTTP请求；对所述HTTP请求进行封装得到封装后的HTTP请求；向所述防护设备发送所述封装后的HTTP请求，所述封装后的HTTP请求用于指示所述防护设备检测所述HTTP请求是否合法；接收所述防护设备发送的第一HTTP回应报文，所述第一HTTP回应报文用于指示所述HTTP请求不合法，所述第一HTTP回应报文携带有人机识别程序，所述人机识别程序用于检测所述客户端是否为傀儡机的客户端；向所述客户端发送携带有所述人机识别程序的第一HTTP响应，所述第一HTTP响应用于指示所述客户端根据所述人机识别程序发送重请求。

【技术特征摘要】
1.一种拒绝服务攻击防御方法，其特征在于，用于与防护设备相连的服务器中，所述方法，包括：接收客户端发送的超文本传输协议HTTP请求；对所述HTTP请求进行封装得到封装后的HTTP请求；向所述防护设备发送所述封装后的HTTP请求，所述封装后的HTTP请求用于指示所述防护设备检测所述HTTP请求是否合法；接收所述防护设备发送的第一HTTP回应报文，所述第一HTTP回应报文用于指示所述HTTP请求不合法，所述第一HTTP回应报文携带有人机识别程序，所述人机识别程序用于检测所述客户端是否为傀儡机的客户端；向所述客户端发送携带有所述人机识别程序的第一HTTP响应，所述第一HTTP响应用于指示所述客户端根据所述人机识别程序发送重请求。2.根据权利要求1所述的方法，其特征在于，所述封装后的HTTP请求中携带有所述客户端的源网络之间互连的协议IP地址和第一校验信息；所述向所述客户端发送携带有所述人机识别程序的第一HTTP响应，包括：从所述第一HTTP回应报文中获取所述人机识别程序，所述人机识别程序中封装有与所述第一校验信息不一致的第二校验信息，所述第二校验信息是所述防护设备根据所述源IP地址采用不可逆算法计算得到的校验信息；生成携带有所述人机识别程序的所述第一HTTP响应；向所述客户端发送所述第一HTTP响应。3.根据权利要求2所述的方法，其特征在于，所述HTTP请求为基于安全套接字层超文本传输HTTPS协议的HTTP请求，所述向所述客户端发送所述第一HTTP响应，包括：对所述第一HTTP响应进行加密得到加密后的第一HTTP响应；向所述客户端发送所述加密后的第一HTTP响应，所述加密后的第一HTTP响应用于指示所述客户端执行所述人机识别程序得到所述第二校验信息，根据所述第二校验信息发送重请求。4.根据权利要求1所述的方法，其特征在于，所述HTTP请求为基于安全套接字层超文本传输HTTPS协议的HTTP请求，所述对所述HTTP请求进行封装得到封装后的HTTP请求，包括：对所述HTTP请求进行解密得到解密后的HTTP请求；获取所述客户端的源IP地址；将所述客户端的所述源IP地址封装至所述解密后的HTTP请求中，得到所述封装后的HTTP请求。5.根据权利要求1至3任一所述的方法，其特征在于，所述服务器包括网站服务器或者反向代理服务器，所述防护设备为用于防御挑战黑洞CC攻击的CC防护设备。6.一种拒绝服务攻击防御方法，其特征在于，用于与服务器相连的防护设备中，所述方法，包括：接收所述服务器发送的封装后的超文本传输协议HTTP请求，所述封装后的HTTP请求是对客户端发送的HTTP请求进行封装得到的请求；根据所述封装后的HTTP请求，检测所述HTTP请求的合法性；当检测出所述HTTP请求不合法时生成第一HTTP回应报文，所述第一HTTP回应报文携带有人机识别程序，所述人机识别程序用于检测所述客户端是否为傀儡机的客户端；将所述第一HTTP回应报文发送至所述服务器。7.根据权利要求6所述的方法，其特征在于，所述封装后的HTTP请求携带有所述客户端的源网络之间互连的协议IP地址和第一校验信息；所述根据所述封装后的HTTP请求，检测所述HTTP请求的合法性，包括：当所述客户端的所述源IP地址未命中信任名...

【专利技术属性】
技术研发人员：金帅，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44