CC攻击防护方法及设备技术

本发明专利技术公开了一种CC攻击防护方法及设备，其中方法包括：在客户端首次访问服务器时，向客户端提供预设的Cookie；验证客户端请求报文是否携带预设的Cookie；在验证通过后，将客户端标识加入信任列表；在客户端再次访问服务器时，验证客户端标识是否已存在于信任列表中；在验证通过后，对客户端请求报文放行。本发明专利技术可以对CC攻击实现高效的防护。

CC attack protection method and equipment

The invention discloses a CC attack protection method and device, wherein the method comprises the following steps: first to access the server in the client, provide the default Cookie to the client; the client authentication request message carrying a preset Cookie; after verification, the client ID into trust list; the client access server again, verify whether the client identity already exists in the trust list; after verification, the client request message release. The invention can effectively protect the CC attack.

【技术实现步骤摘要】
CC攻击防护方法及设备
本专利技术涉及数据安全
，尤其涉及CC攻击防护方法及设备。
技术介绍
本部分旨在为权利要求书中陈述的本专利技术实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。CC(ChallengeCollapsar)意为“挑战黑洞”，是利用不断对网站发送连接请求致使形成拒绝服务的目的。CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。现有CC攻击防护方案主要有如下两种：1、设置流量阈值的方式。该方案针对传统DDOS(DistributedDenialofService，分布式拒绝服务)攻击比较有效，但CC攻击与DDOS攻击有所不同，CC不一定产生大量的流量，同时攻击的目标是网页，所以在实际应用过程中，对阈值的设置非常困难，很容易造成误拦截等问题。2、设置IP黑白名单。该方案配置策略繁琐，人工成本大，一般对外开发的网站设置全部的IP白名单实际操作起来非常困难。
技术实现思路
本专利技术实施例提供一种CC攻击防护方法，用以对CC攻击实现高效的防护，该方法包括：在客户端首次访问服务器时，向客户端提供预设的Cookie；验证客户端请求报文是否携带预设的Cookie；在验证通过后，将客户端标识加入信任列表；在客户端再次访问服务器时，验证客户端标识是否已存在于信任列表中；在验证通过后，对客户端请求报文放行。本专利技术实施例还提供一种CC攻击防护设备，用以对CC攻击实现高效的防护，该设备包括：Cookie提供模块，用于在客户端首次访问服务器时，向客户端提供预设的Cookie；Cookie验证模块，用于验证客户端请求报文是否携带预设的Cookie；信任表建立模块，用于在验证通过后，将客户端标识加入信任列表；信任表验证模块，用于在客户端再次访问服务器时，验证客户端标识是否已存在于信任列表中；报文处理模块，用于在验证通过后，对客户端请求报文放行。本专利技术实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述CC攻击防护方法。本专利技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述CC攻击防护方法的计算机程序。本专利技术实施例中，在客户端首次访问服务器时通过预设Cookie来验证客户端，在验证通过后，将客户端标识加入信任列表，后续根据信任列表对客户端请求报文进行验证，在验证通过后才对客户端请求报文放行，从而对CC攻击实现有效的防护；该方案避免了现有技术中阈值设置困难、容易造成误拦截的问题，并且该方案配置策略简单，成本较低，操作起来也非常简便易行，具有实时性高、准确率高和性能高的优点。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：图1为本专利技术实施例中CC攻击防护方法的示意图；图2为本专利技术实施例中建立信任列表的一个具体实例图；图3为本专利技术实施例中在建立信任列表后进行CC攻击防护的示例图；图4为本专利技术实施例中CC攻击防护设备的示意图；图5为本专利技术实施例中CC攻击防护设备的一个具体示例图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本专利技术实施例做进一步详细说明。在此，本专利技术的示意性实施例及其说明用于解释本专利技术，但并不作为对本专利技术的限定。图1为本专利技术实施例中CC攻击防护方法的示意图，如图1所示，该方法可以包括：步骤101、在客户端首次访问服务器时，向客户端提供预设的Cookie；步骤102、验证客户端请求报文是否携带预设的Cookie；步骤103、在验证通过后，将客户端标识加入信任列表；步骤104、在客户端再次访问服务器时，验证客户端标识是否已存在于信任列表中；步骤105、在验证通过后，对客户端请求报文放行。由图1所示流程可以得知，本专利技术实施例没有采用现有技术中设置阈值或IP黑白名单的方式，而是在客户端首次访问服务器时通过预设Cookie来验证客户端，在验证通过后将客户端标识加入信任列表，后续根据信任列表对客户端请求报文进行验证，在验证通过后对客户端请求报文放行，由此避免了现有技术中设置阈值时阈值设置困难、容易造成误拦截的问题，也避免了设置IP黑白名单时配置策略繁琐、操作困难的问题，本专利技术实施例自动预设Cookie并维护信任列表，其配置策略简单，成本较低，操作起来也非常简便易行，能够对CC攻击实现高效的防护。图1所示流程可以由能够实现其功能的设备实施，例如该设备可以是网关或其它的网络设备，并且该设备可以是一个或多个设备，只要能够实现其功能即可。实施时，在客户端首次访问服务器时，向客户端提供预设的Cookie，验证客户端请求报文是否携带预设的Cookie，在验证通过后，将客户端标识加入信任列表。在一具体实施例中，在客户端首次访问服务器时，向客户端提供预设的Cookie，可以包括：在客户端与服务器建立TCP三次握手后，拦截客户端发送的第一个HTTP请求报文，重定向至客户端并携带预设的Cookie；验证客户端请求报文是否携带预设的Cookie，可以包括：在客户端与服务器再次建立TCP三次握手后，验证客户端发送的HTTP请求报文是否携带预设的Cookie。图2给出了本专利技术实施例中建立信任列表的一个具体实例图。本例中，由GW(GateWay，网关)实现建立信任列表的功能。本例中，GW接收网络数据报文，识别报文协议类型，如果为TCP链接报文，则进行信任列表的建立，具体过程可以包括：A)客户端与服务器之间建立TCP三次握手(SYN、SYN/ACK、ACK)；B)当客户端发送第一个HTTP请求报文(GET)后，拦截该请求报文并发送302重定向(302/ZYUCGW)到客户端，同时携带预设的标签Cookie(FIN/ACK)，发送RST报文到服务器，断开连接；C)客户端与服务器再次建立TCP三次握手(SYN、SYN/ACK、ACK)；D)客户端发送HTTP请求报文(GET/ZYUCGW)，此时验证客户端发送的HTTP请求报文是否携带预设的Cookie，如果验证成功，则将客户端标识加入信任列表。实施例中，预设的Cookie例如可以是预设的标签(flag)等。实施例中，客户端标识可以包括：客户端IP地址和/或预设的Cookie等能够用来标识客户端的信息或数据。实施时，在客户端再次访问服务器时，验证客户端标识是否已存在于信任列表中，在验证通过后对客户端请求报文放行。由于存在信任列表中的报文无需重复检测及验证，使得本专利技术实施例方法具有性能高的特点。实施例中，当客户端标识包括预设的Cookie，验证客户端标识是否已存在于信任列表中，可以包括：验证客户端请求报文携带的Cookie是否已存在于信任列表中；如果存在，则对客户端请求报文放行；如果不存在，可以进一步验证客户端请求报文携带的Cookie是否与预设的Cookie相同，在验证通过后，将该Cookie加入信任列表并对该报文放行。不存在的情况可能是，由于某种原因，未将Cookie本文档来自技高网...

【技术保护点】
一种CC攻击防护方法，其特征在于，包括：在客户端首次访问服务器时，向客户端提供预设的Cookie；验证客户端请求报文是否携带预设的Cookie；在验证通过后，将客户端标识加入信任列表；在客户端再次访问服务器时，验证客户端标识是否已存在于信任列表中；在验证通过后，对客户端请求报文放行。

【技术特征摘要】
1.一种CC攻击防护方法，其特征在于，包括：在客户端首次访问服务器时，向客户端提供预设的Cookie；验证客户端请求报文是否携带预设的Cookie；在验证通过后，将客户端标识加入信任列表；在客户端再次访问服务器时，验证客户端标识是否已存在于信任列表中；在验证通过后，对客户端请求报文放行。2.如权利要求1所述的方法，其特征在于，所述在客户端首次访问服务器时，向客户端提供预设的Cookie，包括：在客户端与服务器建立TCP三次握手后，拦截客户端发送的第一个HTTP请求报文，重定向至客户端并携带预设的Cookie；所述验证客户端请求报文是否携带预设的Cookie，包括：在客户端与服务器再次建立TCP三次握手后，验证客户端发送的HTTP请求报文是否携带预设的Cookie。3.如权利要求1所述的方法，其特征在于，所述客户端标识包括：客户端IP地址和/或所述预设的Cookie。4.如权利要求3所述的方法，其特征在于，当所述客户端标识包括所述预设的Cookie，所述验证客户端标识是否已存在于信任列表中，包括：验证客户端请求报文携带的Cookie是否已存在于信任列表中；该方法进一步包括：如果不存在，验证客户端请求报文携带的Cookie是否与所述预设的Cookie相同，在验证通过后，将该Cookie加入信任列表并对该报文放行。5.如权利要求1至4任一项所述的方法，其特征在于，进一步包括：根据客户端访问量在信任列表中设置客户端信任级别；根据客户端信任级别，对放行的客户端请求报文进行权限控制。6.一种CC攻击防护设备，其特征在于，包括：Cookie提供模块，用于在客户端首次访问服务器时，向客户端提供预设的Cookie；Cookie验证模块，用于验证客户端请求报文是否携带预设的Cookie；信任...

【专利技术属性】
技术研发人员：郭大鹏，
申请(专利权)人：中盈优创资讯科技有限公司，
类型：发明
国别省市：北京,11