本申请提供的一种防范HTTP代理攻击的方法及装置,所述方法应用在网络安全设备上,所述方法包括:网络安全设备接收HTTP请求报文,解析出所述HTTP请求报文的报文头;查询所述报文头中是否存在代理字段;在查询到所述报文头中存在代理字段的情况下,获取所述代理字段中的原始客户端的ip;更新所述ip的数量,判断更新后的所述ip数量是否符合预设规则;在更新后的所述ip数量符合预设规则的情况下,拦截所述ip对应的报文。应用本申请实施例可以实现识别出真正的攻击方,从而准确拦截攻击方发送的HTTP请求报文。
【技术实现步骤摘要】
本申请涉及网络安全
,尤其涉及一种防范HTTP代理攻击的方法及装置。
技术介绍
随着网络技术的不断发展,网络攻击的事件变的越来越多,如何有效防范网络攻击变得很重要。网络(Web)服务器(以下简称为服务器)在互联网应用中是极其重要的,其可以提供例如网页浏览、电子邮件收发、网络资源下载等服务,上述各种服务通常是建立在HTTP(Hyper Text Transfer Protocol,超文本传输协议)协议基础上,也因此服务器就会经常受到网络攻击。现有技术中,对网络攻击的防护主要是依据源ip来统计请求报文速率,其基本处理流程是将HTTP请求报文中携带的源ip解析出来,然后统计出该源ip对应的报文速率,即预设周期内该源ip的访问次数。一般的,正常的HTTP请求的次数是在一定范围内的,当超过此范围就可以认定是攻击报文,从而拦截该HTTP请求报文,即俗称的丢包。然而,攻击方在发起HTTP代理攻击时,是控制代理客户端后由代理方转发HTTP请求报文的。这样,该HTTP请求报文中源ip就由攻击方ip变成代理方ip,根据现有技术的防护方法,就容易将代理方作为攻击方,从而阻断代理方发送的所有HTTP请求,即使是代理方自己发送的未经过代理的HTTP请求也会被拦截。综上所述,现有技术中无法识别出真正的攻击方的问题。
技术实现思路
本申请提供的防范HTTP代理攻击的方法及装置,用于解决现有技术中存在无法识别出真正的攻击方的问题。一种防范HTTP代理攻击的方法,所述方法应用在网络安全设备上,所述方法包括:网络安全设备接收HTTP请求报文,解析出所述HTTP请求报文的报文头;查询所述报文头中是否存在代理字段;在查询到所述报文头中存在代理字段的情况下,获取所述代理字段中的原始客户端的ip;更新所述ip的数量,判断更新后的所述ip数量是否符合预设规则;在更新后的所述ip数量符合预设规则的情况下,拦截所述ip对应的HTTP请求报文。可选的,所述预设规则是周期内所述ip的数量大于预设阈值。可选的,所述周期不大于1秒钟。可选的,所述方法还包括:在更新后的所述ip数量符合预设规则的情况下,将所述ip加入黑名单中。可选的,在查询到存在代理字段的情况下,解析得到代理客户端的ip之后,所述方法还包括:将所述原始客户端的ip在黑名单中进行匹配;如果匹配成功,则拦截所述ip对应的HTTP请求报文;如果匹配不成功,则执行更新所述ip的数量,判断更新后的所述ip数量是否符合预设规则的步骤。一种防范HTTP代理攻击的装置,所述装置应用在网络安全设备上,所述装置包括:解析单元,用于网络安全设备接收HTTP请求报文,解析出所述HTTP请
求报文的报文头;查询单元,用于查询所述报文头中是否存在代理字段;获取单元,用于在查询到所述报文头中存在代理字段的情况下,获取所述代理字段中的原始客户端的ip;判断单元,用于更新所述ip的数量,判断更新后的所述ip数量是否符合预设规则;拦截单元,用于在更新后的所述ip数量符合预设规则的情况下,拦截所述ip对应的HTTP请求报文。可选的,所述预设规则是周期内所述ip的数量大于预设阈值。可选的,所述周期不大于1秒钟。可选的,在所述判断单元之后,所述装置还包括:处理单元,用于在更新后的所述ip数量符合预设规则的情况下,将所述ip加入黑名单中。可选的,在所述获取单元之后,所述装置还包括:匹配单元,用于将所述原始客户端的ip在黑名单中进行匹配;所述拦截单元,还用于在匹配成功的情况下,拦截所述ip对应的HTTP请求报文;所述判断单元,还用于在匹配失败的情况下,更新所述ip的数量,判断更新后的所述ip数量是否符合预设规则。本申请实施例中,依据代理字段中原始客户端的ip,统计该原始客户端的ip数量是否符合预设规则来防范HTTP代理攻击报文,不仅能够防范HTTP代理攻击,特别是HTTP洪水攻击;而且避免了现有技术中将代理客户端作为攻击方,从而将代理客户端发送的所有HTTP请求报文都拦截。通过本申请实施例中可以实现准确识别出HTTP代理攻击时真正的攻击方,从而准确拦截攻击方发送的HTTP请求报文。附图说明图1是现有技术中HTTP洪水攻击的具体场景的示意图;图2是本申请一实施例提供的HHTP请求报文的报文结构示意图;图3是本申请一实施例提供的防范HTTP代理攻击的方法流程图;图4是本申请一实施例提供的HTTP代理攻击的具体场景的示意图;图5是本申请一实施例提供的防范HTTP代理攻击的方法流程图;图6是本申请提供的防范HTTP代理攻击的装置所在设备的一种硬件结构图;图7是本申请一实施例提供的防范HTTP代理攻击的装置的模块示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。在相关技术中,攻击方通常会同时控制大量的代理方,并在同一时间向攻击目标发起HTTP Flood即HTTP洪水攻击,所述HTTP Flood是一种DDos(Distributed Denial of Service,分布式拒绝服务),DDoS攻击可以造成攻击目标的网络资源浪费、链路带宽堵塞、服务中断等后果。请参考图1所述一个HTTP洪水攻击的应用场景示意图,如图1所述攻击者通过控制端11先控制4个代理客户端12,准备发动HTTP洪水攻击。在同一时间,控制上述4个代理客户端12向服务器13发送大量HTTP请求,以达到消耗所述服务器13的CPU或内存等系统资源,最后使得该服务器13资源耗尽而业务中断。值得一提的是,所述HTTP请求报文的请求方法,可以是GET和POST这两种最常用的请求方法,还可以是DELETE、HEAD、OPTIONS、PUT、TRACE等其它请求方法,此处并不加以限定。请参见图2,图2为本实施例示出的一个HTTP请求报文的报文结构示意图。如图2所示,上述HTTP请求报文可以包括报文行31、报文头32、报文体32。具体地,所述报文头32中包含若干字段,格式为“字段名:字段值”;此处不再对每个字段具体含义做赘述。服务器是根据报文头32中的字段获取客户端的信息例如ip、mac等。现有技术中,就是通过获取报文头32中源ip,并统计所述源ip对应的报文速率来识别是否是网络攻击行为。但是在HT本文档来自技高网...
【技术保护点】
一种防范HTTP代理攻击的方法,所述方法应用在网络安全设备上,其特征在于,所述方法包括:网络安全设备接收HTTP请求报文,解析出所述HTTP请求报文的报文头;查询所述报文头中是否存在代理字段;在查询到所述报文头中存在代理字段的情况下,获取所述代理字段中的原始客户端的ip;更新所述ip的数量,判断更新后的所述ip数量是否符合预设规则;在更新后的所述ip数量符合预设规则的情况下,拦截所述ip对应的HTTP请求报文。
【技术特征摘要】
1.一种防范HTTP代理攻击的方法,所述方法应用在网络安全设备上,其特征在于,所述方法包括:网络安全设备接收HTTP请求报文,解析出所述HTTP请求报文的报文头;查询所述报文头中是否存在代理字段;在查询到所述报文头中存在代理字段的情况下,获取所述代理字段中的原始客户端的ip;更新所述ip的数量,判断更新后的所述ip数量是否符合预设规则;在更新后的所述ip数量符合预设规则的情况下,拦截所述ip对应的HTTP请求报文。2.根据权利要求1所述的方法,其特征在于,所述预设规则是周期内所述ip的数量大于预设阈值。3.根据权利要求2所述的方法,其特征在于,所述周期不大于1秒钟。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:在更新后的所述ip数量符合预设规则的情况下,将所述ip加入黑名单中。5.根据权利要求3所述的方法,其特征在于,在查询到存在代理字段的情况下,解析得到代理客户端的ip之后,所述方法还包括:将所述原始客户端的ip在黑名单中进行匹配;如果匹配成功,则拦截所述ip对应的HTTP请求报文;如果匹配不成功,则执行更新所述ip的数量,判断更新后的所述ip数量是否符合预设规则的步骤。6.一种防范HTTP代理攻击的装置,所述装置应用在网络安全...
【专利技术属性】
技术研发人员:杨学良,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。