本发明专利技术涉及一种网络攻击防护方法、装置及系统。一个实施例中,上述方法包括:接收客户端提交的数据;从该数据中提取出第一验证值;根据预定的算法计算第二验证值;以及若该第一验证值与该第二验证值相互匹配则将该数据转发给相应的网络服务器。上述的网络攻击防护方法、装置及系统可有效的在私有协议上实现网络攻击防护。
【技术实现步骤摘要】
网络攻击防护方法、装置及系统
本专利技术涉及互联网安全技术,尤其涉及一种攻击防护方法、装置及系统。
技术介绍
针对数据包真伪进行鉴定的方法,目前业界多是利用协议的交互性,在通信过程中嵌入挑战-应答方式的消息,对通信过程的发起方进行挑战。根据挑战后对方应答的结果来判断是否属于恶意请求。 以目前业界对分布式拒绝服务(Distribut1n Denial Of Service,简称DDoS)攻击的防护算法为例,具体实现流程如下:客户端发起对服务器的请求;防御设备解析客户端的请求后,针对客户端的请求发起挑战;正常客户端能够对该挑战做出应答,而攻击者对挑战不能正确应答;防御设备对应答进行检验,检验正确则将请求转发至服务器;服务器对正常请求做出回应。 对于公开协议(如:HTTP、DNS)能够有效通过挑战应答方式进行恶意数据包的检验。但是对于私有协议,挑战应答方式明显存在下列两个不足: 能否按照挑战方要求对私有协议进行应答,取决于私有协议的实现方式和实现细节。在私有协议不公开或者变更频繁的情况下,需要不断修改防御算法中的挑战方式以应对,大大增加了维护成本。而且,假如在防御算法和设备为第三方提供的情况下,既不能保证防御效果又影响私有协议的私密性。 当数据流处在有加密、压缩的情况下,防御设备使用挑战应答方式需要对通信流进行解密和解压缩操作。大幅增加防御设备的性能开销,同时也需要在防御设备上维护通信双方的密钥信息,增加了设备复杂性。
技术实现思路
有鉴于此,实有必要提供一种网络攻击防护方法、装置及系统,其可有效的在私有协议上实现网络攻击防护。 一种网络攻击防护方法,用于防护服务器中,该方法包括:接收客户端提交的数据;从该数据中提取出第一验证值;根据预定的算法计算第二验证值;以及若该第一验证值与该第二验证值相互匹配则将该数据转发给相应的网络服务器。 一种网络攻击防护装置,用于防护服务器中,该装置包括:数据接收模块,用于接收客户端提交的数据;提取模块,用于从该数据中提取出第一验证值;计算模块,用于根据预定的算法计算第二验证值;以及验证模块,用于若该第一验证值与该第二验证值相互匹配则将该数据转发给相应的网络服务器。 一种网络攻击防护方法,包括:客户端在要发送的数据中附加第一验证值,并将要发送的数据发送至防护服务器;该防护服务器接收该要发送的数据,并从中提取出该第一验证值;该防护服务器根据预定的算法计算第二验证值;以及若该第一验证值与该第二验证值相互匹配则该防护服务器将该数据转发给相应的网络服务器。 一种网络攻击防护系统,包括:客户端、防护服务器及网络服务器;该客户端用于:在要发送的数据中附加第一验证值,并将要发送的数据发送至防护服务器;该防护服务器用于:接收该要发送的数据,并从中提取出该第一验证值;根据预定的算法计算第二验证值;以及若该第一验证值与该第二验证值相互匹配则将该数据转发给该网络服务器。 根据本实施例的网络攻击防护方法、装置及系统,通过在客户端应用程序中植入指定的因子,可以计算获取第一验证值,客户端在与网络服务器进行数据交互时可将此第一验证值附加在发送的数据中。另一方面,防护服务器可自行根据服务器端存储的因子计算第二验证值。通过比较第一验证值与第二验证值即可轻松识别客户端是正常的客户端还是可能的攻击源,从而可忽略非正常数据,避免网络服务器30受到网络攻击。此外,本实施例的方法、装置及系统可以在私有网络协议的基础上良好的运行,克服现有的“挑战/响应”方式无法运行于私有网协议的缺陷。但可以理解,本实施例的方法、装置及系统并不限于运行在私有网络协议上。 为让本专利技术的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。 【附图说明】 图1为本专利技术第一实施例提供的网络攻击防护系统示意图。 图2为图1的网络攻击防护系统运行时的交互示意图。 图3为本专利技术第二实施例提供的网络攻击防护方法流程图。 图4为本专利技术第三实施例提供的网络攻击防护方法流程图。 图5为本专利技术第四实施例提供的网络攻击防护装置结构框图。 【具体实施方式】 为更进一步阐述本专利技术为实现预定专利技术目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本专利技术的【具体实施方式】、结构、特征及其功效,详细说明如后。 本专利技术实施例提供一种网络攻击防护方法、装置及系统,其可使网络服务器免于受到分布式网络。上述的网络服务器通过互联网向用户提供各种网络服务例如游戏、语音/视频通话、即时通讯等。在一些实施例中,这些网络服务是基于一种或多种私有的网络协议实现的。这些私有的网络协议并不对外公开。 第一实施例 图1为第一实施例提供的网络攻击防护系统的示意图。如图1所示,该系统100包括客户端10、防护服务器20以及网络服务器30。客户端10与防护服务器20之间可通过互联网相连,而防护服务器20与网络服务器30之间可通过企业内部网相连。 客户端10的具体实例包括:个人电脑、智能手机、平板电脑、媒体播放器及其他任意具有互联网功能的电子装置。客户端10通过其内运行的应用程序(如游戏客户端程序、即时通讯客户端程序等)使用网络服务器30提供的各种网络服务。 参阅图2,其为图1的网络攻击防护系统运行时的交互示意图。如图2所示,客户端10首先准备要发送的数据。具体地,上述的应用程序在运行的过程中会产生需要发送至网络服务器30的数据,例如录取的语音/视频数据、或者用户在游戏客户端程序中的操作数据。然后,客户端10可以获取第一验证值。例如,根据指定的因子根据哈希算法计算哈希值。上述指定的因子例如是内建于该应用程序内,随该应用程序一同被发布。而在服务器端,同样会存储上述指定的因子。上述的哈希算法例如可以为消息摘要算法第五版(Message-Digest Algorithm5, MD5)。 在获取到第一验证值后,客户端10可将其附加要发送的数据中。进一步地,可以根据前述的私有协议将要发送的数据进行封装成指定格式的数据包。然后,如图2所示,客户端10向防护服务器20发送数据,将该数据包发送至防护服务器20中。 相应地,防护服务器20接收客户端10发送的数据,根据预定的协议解析数据,并从接收到的数据中提取出第一验证值。另一方面,防护服务器20获取存储在服务器端的指定因子,并根据该指定的因子,采用与客户端10相同的算法计算第二验证值。若第一验证值与第二验证值相互匹配,例如相同,则证明客户端10是正常的客户端,而不是攻击者。此时,视为验证通过,防护服务器20将接收到的数据转发给网络服务器30。若第一验证值与第二验证值不匹配,则防护服务器20可忽略客户端10发送的数据,从而可避免网络服务器30接收到非法数据。 相应地,网络服务器30接收防护服务器20转发的数据,并根据预定的协议解析数据。进一步地,根据这些数据完成相应的数据处理。例如,在一个实例中,这些数据是视频/语音数据,则将这些视频/语音数据转发给其他的客户端,并可把处理结果返回至客户端10。在另一个实例中,这些数据是用户的操作数据,则由网络服务器30完成相应的操作,并将完成这些操作后的结果返回客户端10。 根据本实施例的网络攻击防护本文档来自技高网...
【技术保护点】
一种网络攻击防护方法,用于防护服务器中,其特征在于,该方法包括:接收客户端提交的数据;从该数据中提取出第一验证值;根据预定的算法计算第二验证值;以及若该第一验证值与该第二验证值相互匹配则将该数据转发给相应的网络服务器。
【技术特征摘要】
1.一种网络攻击防护方法,用于防护服务器中,其特征在于,该方法包括: 接收客户端提交的数据; 从该数据中提取出第一验证值; 根据预定的算法计算第二验证值;以及 若该第一验证值与该第二验证值相互匹配则将该数据转发给相应的网络服务器。2.如权利要求1所述的方法,其特征在于,在该客户端中进行以下步骤:准备要发送的数据; 根据指定因子计算哈希值; 将该哈希值附加在该要发送的数据中;以及 将该要发送的数据发送至该防护服务器。3.如权利要求2所述的方法,其特征在于,根据预定的算法计算第二验证值包括:根据与该指定因子相同的因子计算哈希值。4.如权利要求1所述的方法,其特征在于,还包括:若该第一验证值与该第二验证值相不匹配则忽略该数据。5.如权利要求1所述的方法,其特征在于,还包括:该服务器在接收到该数据后,根据该数据进行相应的数据处理,并将处理结果返回至该客户端。6.一种网络攻击防护装置,用于防护服务器中,其特征在于,该装置包括: 数据接收模块,用于接收客户端提交的数据; 提取模块,用于从该数据中提取出第一验证值; 计算模块,用于根据预定的算法计算第二验证值;以及 验证模块,用于若该第一验证值与该第二验证值相互匹配则将该数据转发给相应的网络服务器。7.如权利要求6所述的装置,其特征在于,还包括客户端模块,用于进行以下步骤: 准备要发送的数据; 根据指定因子计算哈希值; 将该哈希值附加在该要发送的数据中;以及 将该要发送的数据发送至该防护服务器。8.如权利要求7所述的装置,其特征在于,该计算模块用于:根据与该指定因子相同的因子计算哈希值。9.如权利要求6所述的装置,其特征在于,该验证模块还用于:若该第一验证值与该第二验证值相不匹配则忽略该数据。10.如权利要求6所述的装置,其特征在于,还包括:请求处理模块,用于在该服务器接收到该数据后,根据该数据进行相应的数据处理,并将处理结果返回至该客户端。11.一...
【专利技术属性】
技术研发人员:陈曦,刘剑,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。