Protective method and device of the invention discloses a DDoS attack, the method comprises: receiving message sent by the terminal equipment protective agent, if the terminal information recorded in the white list, the message sent by the terminal forwarding to the HTTPS server, if the information recording terminal blacklist, packet discard sent by the terminal; otherwise, if the message is the first HTTPS request packet, HTTPS verification message contains authentication information is sent to the terminal, the terminal sends a request message to its second HTTPS; whether the second HTTPS request message is contained in the information corresponding to the verification results; if is added to the terminal in the white list information. To solve the problem of data privacy protection between terminals and HTTPS servers when solving DDoS attacks in existing technologies, the problem of protecting proxy equipment resources is largely consumed.
【技术实现步骤摘要】
一种DDoS攻击的防护方法及装置
本专利技术涉及网络安全
,尤其涉及一种分布式拒绝服务(DistributedDenialofService,DDoS)攻击的防护方法及装置。
技术介绍
随着用户对数据传输的安全性要求的增强,通过明文方式传输报文,不提供任何方式加密的超文本传输协议(HyperTextTransferProtocol,HTTP)服务器,逐渐被提供加密的安全套接字层上的超文本传输协议(HyperTextTransferProtocoloverSecureSocketLayer,HTTPS)服务器所替代。HTTPS服务器通过安全套接层(SecureSocketsLayer,SSL)/传输层安全(TransportLayerSecurity,TLS)协议与终端协商加密密钥,并在与终端进行报文传输时,使用加密密钥对报文中的数据进行加密,避免了数据的泄露。但是由于HTTPS服务器在通过SSL/TLS协议与终端协商加密密钥时,需要消耗自身大量的资源,导致很小的DDoS攻击就能导致HTTPS服务器瘫痪。现有针对HTTPS服务器的DDoS防护一般是做代理,待防护的HTTPS服务器将自身的证书和私钥交给防护代理设备,防护代理设备与终端进行密钥协商,对终端发送的每个报文进行解密,识别该报文的内容是否合法,如果合法,将该报文转发至HTTPS服务器,如果不合法,阻断该报文传输至HTTPS服务器,这样防护代理设备就可以通过对报文的内容进行分析,判断该报文是否正常,从而进行DDoS攻击的防护。然而这种防护方法,防护代理设备需要对终端发送的每个报文进行解密,识别该报 ...
【技术保护点】
一种分布式拒绝服务DDoS攻击的防护方法,其特征在于,应用于防护代理设备,所述方法包括:接收终端发送的报文,判断自身保存的黑名单或白名单中是否记录有所述终端的信息;如果白名单中记录有所述终端的信息,将所述终端发送的报文转发至HTTPS服务器,如果黑名单中记录有所述终端的信息,丢弃所述终端发送的报文;否则,若所述报文为第一https请求报文,向所述终端发送https验证报文,使所述终端向自身发送第二https请求报文,其中所述https验证报文中包括验证信息;接收所述终端发送的第二https请求报文,判断所述第二https请求报文中是否包含与所述验证信息对应的验证结果;如果是,在所述白名单中添加所述终端的信息。
【技术特征摘要】
1.一种分布式拒绝服务DDoS攻击的防护方法,其特征在于,应用于防护代理设备,所述方法包括:接收终端发送的报文,判断自身保存的黑名单或白名单中是否记录有所述终端的信息;如果白名单中记录有所述终端的信息,将所述终端发送的报文转发至HTTPS服务器,如果黑名单中记录有所述终端的信息,丢弃所述终端发送的报文;否则,若所述报文为第一https请求报文,向所述终端发送https验证报文,使所述终端向自身发送第二https请求报文,其中所述https验证报文中包括验证信息;接收所述终端发送的第二https请求报文,判断所述第二https请求报文中是否包含与所述验证信息对应的验证结果;如果是,在所述白名单中添加所述终端的信息。2.如权利要求1所述的方法,其特征在于,所述判断自身保存的黑名单或白名单中是否记录有所述终端的信息之前,所述方法还包括:获取所述HTTPS服务器的当前流量,判断所述当前流量是否大于设定的流量阈值;如果是,进行后续步骤。3.如权利要求1所述的方法,其特征在于,若所述报文非第一https请求报文,所述方法还包括:判断所述报文是否为ClientHello报文;如果是,与所述终端建立安全套接层SSL/传输层安全TLS连接。4.如权利要求3所述的方法,其特征在于,确定所述终端发送的报文为ClientHello报文之后,与所述终端建立SSL/TLS连接之前,所述方法还包括:对所述终端对应的在第一时长内向所述防护代理设备发送SSL/TLS连接请求的第一次数进行更新;判断所述终端更新后的第一次数是否大于设定的第一次数阈值;如果否,进行后续步骤,如果是,不与所述终端建立SSL/TLS连接,并在所述黑名单中记录所述终端的信息。5.如权利要求3所述的方法,其特征在于,如果在设定的超时时长内未与所述终端成功建立SSL/TLS连接,确定与所述终端连接失败,所述方法还包括:对所述终端对应的在设定的第二时长内的连接失败的第二次数进行更新;判断所述终端更新后的第二次数是否大于设定的第二次数阈值;如果是,在所述黑名单中记录所述终端的信息。6.如权利要求3所述的方法,其特征在于,如果在设定的超时时长内与所述终端成功建立SSL/TLS连接,确定与所述终端连接成功,所述方法还包括:对所述终端对应的在设定的第三时长内的连接成功的第三次数进行更新;判断所述终端更新后的第三次数是否大于设定的第三次数阈值;如果是,断开与所述终端的SSL/TLS连接,并在所述黑名单中记录所述终端的信息。7.一种分布式拒绝服务DDoS攻击的防护装置,其特征在于,应用于...
【专利技术属性】
技术研发人员:李明,叶晓虎,杨雪皎,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。