网络攻击防御方法、装置以及系统制造方法及图纸

本申请提供了一种网络攻击防御方法、装置和系统，本申请的方案中，旁路检查设备截获向服务系统中的服务器发送的访问请求，并将发送该访问请求的客户端重定向到验证服务器，以通过验证服务器对该客户端进行验证码验证；当确定出验证服务器对客户端验证通过时，才将该客户端发送的访问请求转发给服务系统中的服务器。本申请的方法可以提高服务系统防御DDoS等恶意攻击行为的灵活性和便捷性。

【技术实现步骤摘要】
网络攻击防御方法、装置以及系统
本申请涉及网络
，特别涉及一种网络攻击防御方法、装置以及系统。
技术介绍
随着网络技术的不断进步，网络领域中的网络攻击也越来越多。目前，众多网络攻击中分布式拒绝服务攻击(DistributedDenialofService，DDoS)已经成为较为严重的攻击手段。较为常见的DDoS攻击方式是恶意的针对需要攻击的目标(如，服务器)频繁发起访问请求，以占用过多的服务资源，从而使得合法用户无法得到服务的响应。为了防御DDOS，需要预先在服务器中配置验证码验证机制，以使得服务器可以启动验证码验证功能。在服务器启动验证码验证功能之后，如果服务器接收到客户端发送的访问请求，服务器会向该客户端返回一个验证码输入界面，并在确认客户端向该验证码输入界面输入正确的验证码之后，服务器才会响应该客户端的访问请求。然而，云平台或者分布式服务器等服务系统中一般都部署有大量的服务器，如果服务系统中的多台甚至全部服务器均需要防御DDoS时，则需要分别在多台服务器上分别部署验证码验证机制，导致防御DDoS复杂度较高；而且，一旦需要更改某台服务器中的验证码验证逻辑时，则需要中断服务器所提供的服务，然后才可以在服务器中进行验证逻辑的修改，灵活性较差。
技术实现思路
本申请提供了一种网络攻击防御方法、装置以及系统，以提高服务系统防御DDoS等恶意攻击行为的灵活性和便捷性。为了解决上述问题，一方面，本申请提供了一种网络攻击防御方法，包括：截获向服务系统中的服务器发送的访问请求，其中，该服务系统包括至少一台所述服务器；将发送所述访问请求的客户端重定向到验证服务器，以通过所述验证服务器对所述客户端进行验证码验证；获取所述验证服务器对所述客户端进行验证码验证的验证结果；当所述验证结果表明所述客户端验证通过时，将所述客户端发送的访问请求转发给服务器。另一方面，本申请提供了一种网络攻击防御装置，包括：截获单元，用于截获向服务系统中的服务器发送的访问请求，其中，该服务系统包括至少一台所述服务器；重定向单元，用于将发送所述访问请求的客户端重定向到验证服务器，以通过所述验证服务器对所述客户端进行验证码验证；验证获取单元，用于获取所述验证服务器对所述客户端进行验证码验证的验证结果；请求转发单元，用于当所述验证结果表明所述客户端验证通过时，将所述客户端发送的访问请求转发给服务器。另一方面，本申请提供了一种网络攻击防御系统，包括：旁路检查设备和至少一台验证码服务器；其中，所述旁路检查设备，用于截获向服务系统中的服务器发送的访问请求，其中，该服务系统包括至少一台所述服务器；将发送所述访问请求的客户端重定向到验证服务器；获取所述验证服务器对所述客户端进行验证码验证的验证结果；当所述验证结果表明所述客户端验证通过时，将所述客户端发送的访问请求转发给所述服务器；所述验证码服务器，用于对所述客户端进行验证码验证，并将验证结果返回给所述旁路检查设备。由以上可知，在访问请求到达服务系统中的服务器之前，网络攻击防御系统中的旁路检查设备会将发送访问请求的客户端重定向到网络攻击防御系统中的验证服务器进行验证码验证，只有验证服务器对客户端验证通过后，旁路检查设备才会将客户端的访问请求转发给服务系统的服务器，从而在无需单独对服务系统中的各台服务器进行修改或配置的前提下，便可以减少非真实用户通过客户端恶意向该服务系统中的服务器发起的频率访问，减少了DDoS攻击等恶意攻击服务系统的行为，有利于降低防御DDoS攻击的复杂度；而且，在旁路检查设备中可以设置或修改针对服务系统中某一台或多台服务器的验证码验证逻辑，从而无需中断服务系统中服务器的服务，可以实现灵活修改或设置验证码验证逻辑，提高了服务系统防御DDoS等攻击的灵活性。附图说明为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1示出了本申请一种网络攻击防御系统一个实施例的组成结构示意图；图2示出了本申请一种网络攻击防御系统一个应用场景的示意图；图3示出了本申请一种网络攻击防御方法一个实施例的流程交互示意图；图4示出了本申请一种网络攻击防御方法又一个实施例的流程交互示意图；图5示出了本申请一种网络攻击防御系统又一个实施例的流程示意图；图6示出了本申请一种网络攻击防御系统又一个应用场景的示意图；图7示出了本申请一种网络攻击防御方法又一个实施例的流程交互示意图；图8示出了本申请一种网络攻击防御装置一个实施例的组成结构示意图；图9示出了本申请一种服务器的一种可能的硬件结构示意图。具体实施方式本申请实施例的方案可以适用于对任意服务系统中的服务器进行攻击防御，以减少DDoS攻击等恶意访问服务系统中服务器的攻击行为。其中，该服务系统可以包括一台或多台服务器。如，服务系统可以为包含有多台服务器的云平台，这样，本申请实施例的方案可以对云平台中一台或多台服务器进行网络攻击防御。又如，该服务系统可以为提供某些服务业务的服务器集群，该服务器集群中可以包括多台服务器，这样，本申请实施例的方案可以对该服务器集群中一台或多台服务器进行网络攻击防御。在本申请实施例中，所提到的客户端可以为访问服务系统的客户端，如，该客户端可以为浏览器所在的客户端。本专利技术实施例描述的业务场景是为了更加清楚的说明本专利技术实施例的技术方案，并不构成对于本专利技术实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本专利技术实施例提供的技术方案对于类似的技术问题，同样适用。在本申请实施例中，网络攻击防御系统可以包括旁路检查设备以及一台或多台验证服务器，其中，该旁路检查设备可以通过网络与验证服务器相连。在为服务系统部署该网络攻击防御系统后，通过网络攻击防御系统中的旁路检查设备可以截获向服务系统中的服务器发送的访问请求，并将发送该访问请求的客户端重定向到网络攻击防御系统中的验证服务器，以通过验证服务器对该客户端进行验证码验证；如果旁路检查设备确定该验证服务器对该客户端验证通过，则旁路检查设备便可以将该客户端发送的访问请求转发给服务系统中相应的服务器。可见，在访问请求到达服务系统中的服务器之前，网络攻击防御系统中的旁路检查设备会将发送访问请求的客户端重定向到网络攻击防御系统中的验证服务器进行验证码验证，只有验证服务器对客户端验证通过后，旁路检查设备才会将客户端的访问请求转发给服务系统的服务器，从而可以减少非真实用户通过客户端恶意向该服务系统中的服务器发起的频率访问，减少了DDoS攻击等恶意攻击服务系统的行为。可见，通过为该服务系统部署网络攻击防御系统，便可以实现对该服务系统中的服务器进行DDOS攻击等网络攻击的防御，从而在无需单独对服务系统中的各台服务器进行修改或配置的前提下，便可以实现对服务系统进行DDoS攻击的防御，有利于降低防御DDoS攻击的复杂度；而且，在旁路检查设备中可以设置或修改针对服务系统中某一台或多台服务器的验证码验证逻辑，如，设置是否针对某台服务器或者某台服务器的某些页面启动验证码验证，以对访问该台服务器或该台服务器的某些页面本文档来自技高网...

【技术保护点】
一种网络攻击防御方法，其特征在于，包括：截获向服务系统中的服务器发送的访问请求，其中，该服务系统包括至少一台所述服务器；将发送所述访问请求的客户端重定向到验证服务器，以通过所述验证服务器对所述客户端进行验证码验证；获取所述验证服务器对所述客户端进行验证码验证的验证结果；当所述验证结果表明所述客户端验证通过时，将所述客户端发送的访问请求转发给服务器。

【技术特征摘要】
1.一种网络攻击防御方法，其特征在于，包括：截获向服务系统中的服务器发送的访问请求，其中，该服务系统包括至少一台所述服务器；将发送所述访问请求的客户端重定向到验证服务器，以通过所述验证服务器对所述客户端进行验证码验证；获取所述验证服务器对所述客户端进行验证码验证的验证结果；当所述验证结果表明所述客户端验证通过时，将所述客户端发送的访问请求转发给服务器。2.根据权利要求1所述的网络攻击防御方法，其特征在于，在所述将发送所述访问请求的客户端重定向到验证服务器之前，还包括：根据所述访问请求所携带的信息，判断是否需要对发送所述访问请求的客户端进行验证码验证；当判断出需要对所述客户端进行验证码验证时，则执行所述将发送所述访问请求的客户端重定向到验证服务器的操作。3.根据权利要求2所述的网络攻击防御方法，其特征在于，所述根据所述访问请求所携带的信息，判断是否需要对所述访问请求的客户端进行验证码验证，包括：检测所述访问请求所携带的源IP地址是否属于预置的防御列表中的IP地址；当所述源IP地址属于预置的防御列表中的IP地址时，则确定发送所述访问请求的客户端为需要进行验证码验证的客户端。4.根据权利要求2所述的网络攻击防御方法，其特征在于，所述根据所述访问请求所携带的信息，判断是否需要对所述访问请求的客户端进行验证码验证，包括：获取所述访问请求所携带的域名；检测所述域名中包含的服务器的主机名是否属于预置的防御列表中的主机名；当所述域名中包含的服务器的主机名属于预置的防御列表中的主机名时，则确定发送所述访问请求的客户端为需要进行验证码验证的客户端。5.根据权利要求1至4任一项所述的网络攻击防御方法，其特征在于，在所述将发送所述访问请求的客户端重定向到验证服务器之前，还包括：从多台验证服务器中，确定出用于对所述客户端进行验证的验证服务器；所述将发送所述访问请求的客户端重定向到验证服务器，包括：将发送所述访问请求的客户端重定向到确定出的所述验证服务器。6.根据权利要求5所述的网络攻击防御方法，其特征在于，所述从多台验证服务器中，确定出用于对所述客户端进行验证的验证服务器，包括：根据所述多台验证服务器当前的负载，从所述多台验证服务器中，确定出用于对所述客户端进行验证的验证服务器。7.根据权利要求6所述的网络攻击防御方法，其特征在于，在所述根据所述多台验证服务器当前的负载，从所述多台验证服务器中，确定出用于对所述客户端进行验证的验证服务器之前，还包括：从负载管理器中查询所述多台验证服务器当前的负载。8.根据权利要求5所述的网络攻击防御方法，其特征在于，在所述从多台验证服务器中，确定出用于对所述客户端进行验证的验证服务器，包括：根据预置的服务器与验证服务器的关联关系，从所述多台验证服务器中，确定出与所述访问请求所请求访问的服务器具有关联关系的验证服务器。9.根据权利要求1所述的网络攻击防御方法，其特征在于，在将发送所述访问请求的客户端重定向到验证服务器之前，还包括：检测验证通过表中是否记录有所述访问请求所携带的源IP地址，所述验证通过表中记录有当前时刻之前通过验证服务器验证的客户端的IP地址；当所述验证通过表中未记录有所述访问请求所携带的源IP地址时，则执行所述将发送所述访问请求的客户端重定向到验证服务器的操作；所述验证结果中携带有所述客户端的源IP地址；...

【专利技术属性】
技术研发人员：张浩浩，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44