一种DDoS攻击的防护方法及装置制造方法及图纸

本发明专利技术公开了一种DDoS攻击的防护方法及装置，所述方法包括：防护代理设备接收终端发送的报文，如果白名单中记录有所述终端的信息，将所述终端发送的报文转发至HTTPS服务器，如果黑名单中记录有所述终端的信息，丢弃所述终端发送的报文；否则，若所述报文为第一https请求报文，向所述终端发送包含验证信息的https验证报文，使所述终端向自身发送第二https请求报文；判断所述第二https请求报文中是否包含与所述验证信息对应的验证结果；如果是，在所述白名单中添加所述终端的信息。用以解决现有技术中进行DDoS攻击防护时，终端和HTTPS服务器之间数据传输的私密性差，并且大量消耗防护代理设备资源的问题。

A protection method and device for DDoS attack

Protective method and device of the invention discloses a DDoS attack, the method comprises: receiving message sent by the terminal equipment protective agent, if the terminal information recorded in the white list, the message sent by the terminal forwarding to the HTTPS server, if the information recording terminal blacklist, packet discard sent by the terminal; otherwise, if the message is the first HTTPS request packet, HTTPS verification message contains authentication information is sent to the terminal, the terminal sends a request message to its second HTTPS; whether the second HTTPS request message is contained in the information corresponding to the verification results; if is added to the terminal in the white list information. To solve the problem of data privacy protection between terminals and HTTPS servers when solving DDoS attacks in existing technologies, the problem of protecting proxy equipment resources is largely consumed.

【技术实现步骤摘要】
一种DDoS攻击的防护方法及装置
本专利技术涉及网络安全
，尤其涉及一种分布式拒绝服务(DistributedDenialofService，DDoS)攻击的防护方法及装置。
技术介绍
随着用户对数据传输的安全性要求的增强，通过明文方式传输报文，不提供任何方式加密的超文本传输协议(HyperTextTransferProtocol，HTTP)服务器，逐渐被提供加密的安全套接字层上的超文本传输协议(HyperTextTransferProtocoloverSecureSocketLayer，HTTPS)服务器所替代。HTTPS服务器通过安全套接层(SecureSocketsLayer，SSL)/传输层安全(TransportLayerSecurity，TLS)协议与终端协商加密密钥，并在与终端进行报文传输时，使用加密密钥对报文中的数据进行加密，避免了数据的泄露。但是由于HTTPS服务器在通过SSL/TLS协议与终端协商加密密钥时，需要消耗自身大量的资源，导致很小的DDoS攻击就能导致HTTPS服务器瘫痪。现有针对HTTPS服务器的DDoS防护一般是做代理，待防护的HTTPS服务器将自身的证书和私钥交给防护代理设备，防护代理设备与终端进行密钥协商，对终端发送的每个报文进行解密，识别该报文的内容是否合法，如果合法，将该报文转发至HTTPS服务器，如果不合法，阻断该报文传输至HTTPS服务器，这样防护代理设备就可以通过对报文的内容进行分析，判断该报文是否正常，从而进行DDoS攻击的防护。然而这种防护方法，防护代理设备需要对终端发送的每个报文进行解密，识别该报文的内容是否合法，需要消耗大量的资源，并且终端和HTTPS服务器进行通信的报文的内容对于防护代理设备都是可见的，影响了终端和HTTPS服务器之间报文传输的私密性。
技术实现思路
本专利技术提供一种DDoS攻击的防护方法及装置，用以解决现有技术中进行DDoS攻击防护时，终端和HTTPS服务器之间数据传输的私密性差，并且消耗大量资源的问题。本专利技术公开了一种DDoS攻击的防护方法，应用于防护代理设备，所述方法包括：接收终端发送的报文，判断自身保存的黑名单或白名单中是否记录有所述终端的信息；如果白名单中记录有所述终端的信息，将所述终端发送的报文转发至HTTPS服务器，如果黑名单中记录有所述终端的信息，丢弃所述终端发送的报文；否则，若所述报文为第一https请求报文，向所述终端发送https验证报文，使所述终端向自身发送第二https请求报文，其中所述https验证报文中包括验证信息；接收所述终端发送的第二https请求报文，判断所述第二https请求报文中是否包含与所述验证信息对应的验证结果；如果是，在所述白名单中添加所述终端的信息。进一步地，所述判断自身保存的黑名单或白名单中是否记录有所述终端的信息之前，所述方法还包括：获取所述HTTPS服务器的当前流量，判断所述当前流量是否大于设定的流量阈值；如果是，进行后续步骤。进一步地，若所述报文非第一https请求报文，所述方法还包括：判断所述报文是否为ClientHello报文；如果是，与所述终端建立安全套接层SSL/传输层安全TLS连接。进一步地，确定所述终端发送的报文为ClientHello报文之后，与所述终端建立SSL/TLS连接之前，所述方法还包括：对所述终端对应的在第一时长内向所述防护代理设备发送SSL/TLS连接请求的第一次数进行更新；判断所述终端更新后的第一次数是否大于设定的第一次数阈值；如果否，进行后续步骤，如果是，不与所述终端建立SSL/TLS连接，并在所述黑名单中记录所述终端的信息。进一步地，如果在设定的超时时长内未与所述终端成功建立SSL/TLS连接，确定与所述终端连接失败，所述方法还包括：对所述终端对应的在设定的第二时长内的连接失败的第二次数进行更新；判断所述终端更新后的第二次数是否大于设定的第二次数阈值；如果是，在所述黑名单中记录所述终端的信息。进一步地，如果在设定的超时时长内与所述终端成功建立SSL/TLS连接，确定与所述终端连接成功，所述方法还包括：对所述终端对应的在设定的第三时长内的连接成功的第三次数进行更新；判断所述终端更新后的第三次数是否大于设定的第三次数阈值；如果是，断开与所述终端的SSL/TLS连接，并在所述黑名单中记录所述终端的信息。本专利技术公开了一种分布式拒绝服务DDoS攻击的防护装置，应用于防护代理设备，所述装置包括：第一判断模块，用于接收终端发送的报文，判断自身保存的黑名单或白名单中是否记录有所述终端的信息，如果判断结果为是，触发处理模块，如果判断结果为否，触发验证模块；处理模块，用于如果白名单中记录有所述终端的信息，将所述终端发送的报文转发至HTTPS服务器，如果黑名单中记录有所述终端的信息，丢弃所述终端发送的报文；验证模块，用于若所述报文为第一https请求报文，向所述终端发送https验证报文，使所述终端向自身发送第二https请求报文，其中所述https验证报文中包括验证信息；接收所述终端发送的第二https请求报文，判断所述第二https请求报文中是否包含与所述验证信息对应的验证结果；如果是，在所述白名单中添加所述终端的信息。进一步地，所述装置还包括：第二判断模块，用于获取所述HTTPS服务器的当前流量，判断所述当前流量是否大于设定的流量阈值，如果是，触发第一判断模块。进一步地，所述装置还包括：连接模块，用于若所述报文非第一https请求报文，判断所述报文是否为ClientHello报文；如果是，与所述终端建立安全套接层SSL/传输层安全TLS连接。进一步地，所述连接模块，还用于确定所述终端发送的报文为ClientHello报文之后，对所述终端对应的在第一时长内向所述防护代理设备发送SSL/TLS连接请求的第一次数进行更新；判断所述终端更新后的第一次数是否大于设定的第一次数阈值；如果判断结果为否，与所述终端建立SSL/TLS连接，如果判断结果为是，不与所述终端建立SSL/TLS连接，并在所述黑名单中记录所述终端的信息。进一步地，所述装置还包括：第三判断模块，用于如果在设定的超时时长内未与所述终端成功建立SSL/TLS连接，确定与所述终端连接失败，对所述终端对应的在设定的第二时长内的连接失败的第二次数进行更新；判断所述终端更新后的第二次数是否大于设定的第二次数阈值；如果判断结果为是，在所述黑名单中记录所述终端的信息。进一步地，所述装置还包括：第四判断模块，用于如果在设定的超时时长内与所述终端成功建立SSL/TLS连接，确定与所述终端连接成功，对所述终端对应的在设定的第三时长内的连接成功的第三次数进行更新；判断所述终端更新后的第三次数是否大于设定的第三次数阈值；如果判断结果为是，断开与所述终端的连接，并在所述黑名单中记录所述终端的信息。本专利技术公开了一种DDoS攻击的防护方法及装置，所述方法包括：防护代理设备接收终端发送的报文，判断自身保存的黑名单或白名单中是否记录有所述终端的信息；如果白名单中记录有所述终端的信息，将所述终端发送的报文转发至HTTPS服务器，如果黑名单中记录有所述终端的信息，丢弃所述终端发送的报文；否则，若所述报文为第一HTTPS请求报文，向所本文档来自技高网...

【技术保护点】
一种分布式拒绝服务DDoS攻击的防护方法，其特征在于，应用于防护代理设备，所述方法包括：接收终端发送的报文，判断自身保存的黑名单或白名单中是否记录有所述终端的信息；如果白名单中记录有所述终端的信息，将所述终端发送的报文转发至HTTPS服务器，如果黑名单中记录有所述终端的信息，丢弃所述终端发送的报文；否则，若所述报文为第一https请求报文，向所述终端发送https验证报文，使所述终端向自身发送第二https请求报文，其中所述https验证报文中包括验证信息；接收所述终端发送的第二https请求报文，判断所述第二https请求报文中是否包含与所述验证信息对应的验证结果；如果是，在所述白名单中添加所述终端的信息。

【技术特征摘要】
1.一种分布式拒绝服务DDoS攻击的防护方法，其特征在于，应用于防护代理设备，所述方法包括：接收终端发送的报文，判断自身保存的黑名单或白名单中是否记录有所述终端的信息；如果白名单中记录有所述终端的信息，将所述终端发送的报文转发至HTTPS服务器，如果黑名单中记录有所述终端的信息，丢弃所述终端发送的报文；否则，若所述报文为第一https请求报文，向所述终端发送https验证报文，使所述终端向自身发送第二https请求报文，其中所述https验证报文中包括验证信息；接收所述终端发送的第二https请求报文，判断所述第二https请求报文中是否包含与所述验证信息对应的验证结果；如果是，在所述白名单中添加所述终端的信息。2.如权利要求1所述的方法，其特征在于，所述判断自身保存的黑名单或白名单中是否记录有所述终端的信息之前，所述方法还包括：获取所述HTTPS服务器的当前流量，判断所述当前流量是否大于设定的流量阈值；如果是，进行后续步骤。3.如权利要求1所述的方法，其特征在于，若所述报文非第一https请求报文，所述方法还包括：判断所述报文是否为ClientHello报文；如果是，与所述终端建立安全套接层SSL/传输层安全TLS连接。4.如权利要求3所述的方法，其特征在于，确定所述终端发送的报文为ClientHello报文之后，与所述终端建立SSL/TLS连接之前，所述方法还包括：对所述终端对应的在第一时长内向所述防护代理设备发送SSL/TLS连接请求的第一次数进行更新；判断所述终端更新后的第一次数是否大于设定的第一次数阈值；如果否，进行后续步骤，如果是，不与所述终端建立SSL/TLS连接，并在所述黑名单中记录所述终端的信息。5.如权利要求3所述的方法，其特征在于，如果在设定的超时时长内未与所述终端成功建立SSL/TLS连接，确定与所述终端连接失败，所述方法还包括：对所述终端对应的在设定的第二时长内的连接失败的第二次数进行更新；判断所述终端更新后的第二次数是否大于设定的第二次数阈值；如果是，在所述黑名单中记录所述终端的信息。6.如权利要求3所述的方法，其特征在于，如果在设定的超时时长内与所述终端成功建立SSL/TLS连接，确定与所述终端连接成功，所述方法还包括：对所述终端对应的在设定的第三时长内的连接成功的第三次数进行更新；判断所述终端更新后的第三次数是否大于设定的第三次数阈值；如果是，断开与所述终端的SSL/TLS连接，并在所述黑名单中记录所述终端的信息。7.一种分布式拒绝服务DDoS攻击的防护装置，其特征在于，应用于...

【专利技术属性】
技术研发人员：李明，叶晓虎，杨雪皎，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京,11