基于nginx服务器检测和防护CC攻击的方法及系统技术方案

本公开涉及一种基于nginx服务器检测和防护CC攻击的系统和方法。该系统包括：nginx服务器配置模块，该nginx服务器配置模块通过nginx服务器配置文件在该系统中配置响应慢日志时间阈值、上传协议；HTTP响应慢日志生成模块，用于对于请求响应时间差超过所述响应慢日志时间阈值的请求，或者没有响应的请求，生成响应慢日志；代理服务模块，其用于按照所述上传协议传送所述响应慢日志，响应网络对所述响应慢日志的分析来解析出CC攻击IP并对所解析出的CC攻击IP进行处理；以及CC攻击分析平台，用于根据请求的特征分析出CC攻击IP，自动将攻击的特征加入黑名单并将黑名单通过socket下发到代理服务模块，以便解析出CC攻击IP并对所解析出的CC攻击IP进行处理。出的CC攻击IP进行处理。出的CC攻击IP进行处理。

【技术实现步骤摘要】
基于nginx服务器检测和防护CC攻击的方法及系统


[0001]本公开涉及基于nginx服务器检测和防护CC攻击的方法及系统。更具体地说，本公开涉及通过HTTP响应慢日志过滤掉绝大多数大量无效的HTTP请求以快速检测出CC攻击IP的基于nginx服务器检测和防护CC攻击的方法和系统。

技术介绍

[0002]DDOS分布式拒绝服务的一种，CC攻击模拟大量用户不停地访问那些需要消耗大量服务器资源的页面，耗尽服务器资源，如访问数据库应用及大量统计的应用，导致WEB服务器、数据库服务器CPU、IO利用率飙升，使得Web服务器无法对正常的Web服务请求进行响应，从而造成拒绝服务攻击。其具有很强的伪装性，其访问行为模拟正常用户访问特征，以少数僵尸机即可引发攻击目标服务器性能瘫痪，阻断正常用户访问，因此，CC攻击难以被检测发现，传统安全防御方法不能有效抵御CC攻击。
[0003]现有技术方案检测和防护CC攻击的方法包括限制源IP即配置黑白名单、限制源IP的连接数、对所有的请求源IP进行统计并计算其请求速率；分析CC攻击特征，将CC攻击特征IP的加入黑本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于nginx服务器检测和防护CC攻击的系统，该系统包括：nginx服务器配置模块，该nginx服务器配置模块通过nginx服务器配置文件在该系统中配置响应慢日志时间阈值、上传协议；HTTP响应慢日志生成模块，用于对于请求响应时间差超过所述响应慢日志时间阈值的请求，或者没有响应的请求，生成响应慢日志；代理服务模块，其用于按照所述上传协议传送所述响应慢日志，响应网络对所述响应慢日志的分析来解析出CC攻击IP并对所解析出的CC攻击IP进行处理；以及CC攻击分析平台，用于根据请求的特征分析出CC攻击IP，自动将攻击的特征加入黑名单并将黑名单通过socket下发到代理服务模块，以便解析出CC攻击IP并对所解析出的CC攻击IP进行处理。2.根据权利要求1所述的系统，其中，所述上传协议为syslog协议。3.根据权利要求1所述的系统，其中，所述HTTP响应慢日志生成模块记录包含日志类型、客户端IP、method、url、host、refer、user
‑
代理、cookie、accept、accept
‑
encoding、accept
‑
language、cache
‑
control、pragma、状态码、字节数、请求时间、请求响应时间差在内的字段。4.根据权利要求1所述的系统，其中，所述代理服务模块将所述CC攻击分析平台下发的黑名单规则进行转换，在linux平台下转换为iptables规则，而在windows平台下转换为wfp规则，并将动作设置为drop，从而在linux系统下利用iptables下对CC攻击IP进行过滤防护，而在windows系统下利用wfp规则对攻击IP进行过滤防护。5.根据权利要求3所述的系统，其中所述CC攻击分析平台对于复杂的攻击，提供响应慢日志明细以及各字段统计分析报表，为用户人工分析CC攻击IP提供依据。6.根据权利要求5所述的系统，其中所述CC攻击分析平台对于响应慢日志，解析出包含日志类型、客户端IP、method、url、host、refer、user
‑
代理、cookie、accept、accept
‑
encoding、accept
‑
language、cache
‑
control、pragma、状态码、字节数、请求时间、请求响应时间差在内的字段并保存到数据库，统计单位时间内HTTP响应慢日志的数量，当超过预设的阈值时启动CC攻击防护，而当低于所述预设的阈值时停止CC攻击防护。7.根据权利要求6所述的系统，其中所述预设的阈值可参考攻击分析平台HTTP响应慢日志的数量趋势图配置。8.根据权利要求6所述的系统，其中当单位时间内HTTP响应慢日志的数量超过预设的阈值时通过文字方式通知管理员存在CC攻击，以便及时处理。9.根据权利要求6所述的系统，其中当启动CC攻击防护时，CC攻击分析平台将当前HTTP响应慢日志各字段和系统内置的黑白名单库中的HTTP响应慢日志各字段进行比较，同时也将HTTP响应慢日志各字段与系统内置的标准浏览器、正常用户访问HTTP响应慢日志各字段组合特征库进行对比，从而及时筛选出攻击IP地址并将筛选出的攻击特征添加到黑名单特征库。10.一种基于nginx服务器检测和防护CC攻击的方法，该方法包括以下步骤：在开源nginx服务器基础上构建基于nginx服务器检测和防护CC攻击的系统，该系统包括：nginx服务器配置模块，该nginx服务器配置模块通过nginx服务器配置文件在该系统中配置响应慢日志时间阈值、上传协议；HTTP响应慢日志生成模块，用于对于请求响应时间差
超过所述响应慢日志时间阈值的请求，或者没有响应的请...

【专利技术属性】
技术研发人员：汪庆权，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：