本发明专利技术公开了一种动态配置通用CC攻击的拦截方法,属于计算机领域。该方法包括以下步骤:获取配置信息;基于所述配置信息中的配置规则进行拦截。本发明专利技术能够实现配置灵活,web在线配置,保存即可生效;本发明专利技术能够支持多个维度,支持按域名、URL地址的字符串和正则表达式匹配,可基于IP、AGENT、COOKIE三个维度的独立计算,支持请求协议的区分;本发明专利技术能够实现分布式实时计算,使用Redis集群进行统一计数,在分布式环境下保证拦截的准确性。
An Interception Method for Dynamic Configuration of Universal CC Attacks
【技术实现步骤摘要】
一种动态配置通用CC攻击的拦截方法
本专利技术涉及计算机领域,涉及一种动态配置通用CC攻击的拦截方法。
技术介绍
随着移动互联网的蓬勃发展和物联网的大规模普及,各种移动平台恶意软件层出不穷,大量的移动设备和没有安全性保障的物联网设备被不法分子作为“肉鸡”纳入到僵尸网络,进而操控其攻击其他网路设备,当控制量达到一定数量级后,进行DDoS攻击,这对DDoS的攻防带来了新的挑战。CC攻击是DDoS攻击的一种类型,是一种专门针对Web应用层的FLOOD的攻击,攻击者通过代理服务器或网络上的肉机,对目标Web服务器发送大量貌似合法的请求,造成Web服务器资源耗尽,一直到宕机奔溃,从而无法响应正常用户的请求。CC攻击目前已经是一直非常流行的拒绝服务的攻击方式,目前主流的解决方案都是通过对IP的并发数进行限制来解决这类攻击,随着更换IP的成本越来越高,攻击的方法越来越多,单从IP进行拦截不但不能很好的防御CC攻击,同时还可能导致正常用户的正常请求被识别为攻击。另外,目前主流解决方案均需要通过配置服务器来解决,配置方式很不方便,可防御的维度也非常有限。在分布式的环境下,无法实现阈值的统一配置。
技术实现思路
针对现有技术中的缺陷,本专利技术提供一种动态配置通用CC攻击的拦截方法,解决了拦截配置支持多种维度,支持动态配置实时生效,支持分布式的实时计算和精准拦截。为达到上述目的,本专利技术提供如下技术方案:一种动态配置通用CC攻击的拦截方法,其特征在于,该方法包括以下步骤:获取配置信息;基于所述配置信息中的配置规则进行拦截。进一步,所述配置信息是通过php+html开发配置功能预先配置。进一步,所述配置信息配置后,存储在Redis集群中。进一步,所述基于所述配置信息中的配置规则进行拦截是由NginxLua获取所述Redis集群存入的配置信息后来实施。进一步,所述基于所述配置信息中的配置规则进行拦截具体包括:所述NginxLua按照配置规则进行计数;当所述计数超过配置阈值时,所述NginxLua直接响应错误的http状态。进一步,所述计数超过配置阈值的时候,所述NginxLua直接响应错误的http状态具体为:通过NginxLua判断,当计数的值大于配置的拦截阈值,就会直接按照配置的http状态通过Nginx返回给用户。进一步,所述php+html开发配置是在Linux下配置的。进一步,所述配置信息包括:域名、请求类型、URL_PATH、计数维度、计数周期、计数阈值、拦截阈值和拦截状态。进一步,所述域名为文本框;所述请求类型为GET或POST;所述URL_PATH为文本框,支持选择文本匹配和正则表达式匹配;所述计数维度,支持选择IP、AGENT和COOKIE;所述计数周期为文本框,单位为秒;所述计数阈值为文本框,当计数超过此阈值将会记录相关信息;所述拦截阈值为文本框,当计数超过此阈值会自动拦截;所述拦截状态为444或302。本专利技术还提出了一种计算机装置,包括存储器、处理器及储存在存储器上并能够在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述的方法。本专利技术还提出了一种计算机可读存储介质,其上储存有计算机程序,所述计算机程序被处理器执行时实现所述的方法。本专利技术的有益效果体现在:本专利技术能够实现配置灵活,web在线配置,保存即可生效;本专利技术能够支持多个维度,支持按域名、URL地址的字符串和正则表达式匹配,可基于IP、AGENT、COOKIE三个维度的独立计算,支持请求协议的区分(POST、GET);本专利技术能够实现分布式实时计算,使用Redis集群进行统一计数,在分布式环境下保证拦截的准确性。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。图1为与本专利技术某一实施例一致的一种动态配置通用CC攻击的拦截方法流程图;图2为与本专利技术另一实施例一致的一种动态配置通用CC攻击的拦截方法流程图。具体实施方式下面将结合附图对本专利技术技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案,因此只作为示例,而不能以此来限制本专利技术的保护范围。需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本专利技术所属领域技术人员所理解的通常意义。CC(ChallengeCollapsar,挑战黑洞)攻击:是DDoS攻击的一种类型,利用不断对服务器发送大量合法连接请求使形成拒绝服务;Http文件代理架构为Nginx代理服务器,并对访问url进行统一规划,透明存取所连通设备上的资源:Nginx代理服务器收到请求之后,通过内部嵌入Nginxlua进行资源的映射逻辑,Nginxlua通过取出url中的指定Meta信息,到Metadata数据库中查询所连通设备上的资源的真实存储路径,然后通过内部跳转,从路由器的存储设备上取出相关文件并返回给客户端,客户端调用文件列表接口的时候,返回资源的映射路径access_path和资源的真实文件名file,客户端通过特定url访问文件服务器下载到文件资源。如图1所示,为一种动态配置通用CC攻击的拦截方法,该方法包括以下步骤:获取配置信息;基于所述配置信息中的配置规则进行拦截。进一步,所述配置信息是通过php+html开发配置功能预先配置。所述php+html,即采用HTML技术,使用PHP语言进行开发配置。进一步,所述配置信息配置后,存储在Redis集群中。进一步,所述基于所述配置信息中的配置规则进行拦截是由NginxLua获取所述Redis集群存入的配置信息后来实施。进一步,所述基于所述配置信息中的配置规则进行拦截具体包括:所述NginxLua按照配置规则进行计数;当所述计数超过配置阈值时,所述NginxLua直接响应错误的http状态。进一步,所述计数超过配置阈值的时候,所述NginxLua直接响应错误的http状态具体为:通过NginxLua判断,当计数的值大于配置的拦截阈值,就会直接按照配置的http状态通过Nginx返回给用户。进一步,所述php+html开发配置是在Linux下配置的。进一步,所述配置信息包括:域名、请求类型、URL_PATH、计数维度、计数周期、计数阈值、拦截阈值和拦截状态。进一步,所述域名为文本框;所述请求类型为GET或POST;所述URL_PATH为文本框,支持选择文本匹配和正则表达式匹配;所述计数维度,支持选择IP、AGENT和COOKIE;所述计数周期为文本框,单位为秒;所述计数阈值为文本框,当计数超过此阈值将会记录相关信息;所述拦截阈值为文本框,当计数超过此阈值会自动拦截;所述拦截状态为444或302。如图2所示,为一种动态配置通用CC攻击的拦截方法,该方法包括以下步骤:S1:使用php+html开发配置功能并将配置信息存入Redis集群中;S2:NginxLua获取Redis配置信息,并按照配置规则进行计数;S3:超过配置阈值的时候NginxLua直接响应错误的http状态。在具体的应用场景中,首先,使用php+html开发相应的配置功能,配置页面包含以下信息:1本文档来自技高网...
【技术保护点】
1.一种动态配置通用CC攻击的拦截方法,其特征在于,该方法包括以下步骤:获取配置信息;基于所述配置信息中的配置规则进行拦截。
【技术特征摘要】
1.一种动态配置通用CC攻击的拦截方法,其特征在于,该方法包括以下步骤:获取配置信息;基于所述配置信息中的配置规则进行拦截。2.根据权利要求1所述的一种动态配置通用CC攻击的拦截方法,其特征在于:所述配置信息是通过php+html开发配置功能预先配置。3.根据权利要求2所述的一种动态配置通用CC攻击的拦截方法,其特征在于:所述配置信息配置后,存储在Redis集群中。4.根据权利要求3所述的一种动态配置通用CC攻击的拦截方法,其特征在于,所述基于所述配置信息中的配置规则进行拦截是由NginxLua获取所述Redis集群存入的配置信息后来实施。5.根据权利要求4所述的一种动态配置通用CC攻击的拦截方法,其特征在于,所述基于所述配置信息中的配置规则进行拦截具体包括:所述NginxLua按照配置规则进行计数;当所述计数超过配置阈值时,所述NginxLua直接响应错误的http状态。6.根据权利要求5所述的一种动态配置通...
【专利技术属性】
技术研发人员:陶安洪,陈继安,文立乾,
申请(专利权)人:重庆天蓬网络有限公司,
类型:发明
国别省市:重庆,50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。