本发明专利技术公开了一种基于请求头判定攻击源方法和系统,通过判断攻击者访问网站是否有伪造XFF头的行为,若无,则从服务端向客户端方向提取,并且跳过本地源IP转换设备IP,提取所述攻击者IP作为攻击者真实IP,若有,则判断所述攻击者访问网站是否存在本地源IP转换设备;若存在,则认定距离服务器最近一跳IP为本地源IP转换设备IP,提取所述本地源IP转换设备IP前面的一个IP作为攻击者真实IP;若不存在,则将网络层里的源IP作为攻击者真实IP。本发明专利技术基于网络层的源IP无法进行伪造,配置本地源IP转换设备提取时可进行过滤的基本认识,对XFF头的识别规则可以被认为能有效提取到真实的攻击源IP,对XFF头伪造的情况提出了可行的处理方案,还原攻击源真实IP。还原攻击源真实IP。还原攻击源真实IP。
【技术实现步骤摘要】
一种基于请求头判定攻击源方法和系统
[0001]本申请涉及基于请求头判定攻击源
,特别是涉及一种基于请求头判定攻击源方法和系统。
技术介绍
[0002]随着网络的发展,在获取攻击源IP过程中,如果是恶意攻击,攻击者一般会对目标的IP进行大量的扫描,从而发现攻击源。基于请求头判定攻击源ip,在网络中,请求通过网络时会有大量的请求,为了获取攻击源IP,一般收集请求,收集请求可以分为两个部分,分别是收集IP和源地址;判断请求头,如果是基于网络层的服务请求,那么我们需要分析这些请求的来源,从而确定其是否来自攻击者。对于常见的HTTP请求,我们可以通过以下方法进行判断:如果是发送方发起了类似于HTTP请求,那么这些请求在内容上应该与HTTP请求有一定的相似度或者在某些方面有相似之处。如果是发送方发起的类似于HTTP命令行参数提交等消息的请求,则应该从源IP地址进行匹配。如果是发送方发起的类似于HTTP数据包,则应该分析这种数据包的内容是否包含HTTP参数以及如何获取参数。通过上述判断可以确定源IP地址并不存在问题,但采用上述方案无法判断一个地址是不是攻击者IP,现有方案通过请求头来获取攻击源IP。
[0003]一个请求可能经过的路径:客户端=>(正向代理=>透明代理=>服务器反向代理=>)Web服务器,其中,正向代理、透明代理、服务器反向代理这三个环节并不一定存在。以PHP语言实现为例,目前客户端IP追踪的主要方法是根据预定义变量$_SERVER中的某些值直接判断,忽略了网络环境中经过层层代理转发和XFF伪造的情况,获取的攻击源IP无法确保可靠性。
技术实现思路
[0004]基于此,针对上述技术问题,提供一种基于请求头判定攻击源方法和系统,以解决现有方法获取的攻击源IP无法确保可靠性的问题。
[0005]第一方面,一种基于请求头判定攻击源方法,所述方法包括:
[0006]判断攻击者访问网站是否有伪造XFF头的行为;
[0007]若无,则从服务端向客户端方向提取,并且跳过本地源IP转换设备IP,提取所述攻击者IP作为攻击者真实IP;
[0008]若有,则判断所述攻击者访问网站是否存在本地源IP转换设备;
[0009]若存在,则认定距离服务器最近一跳IP为本地源IP转换设备IP,提取所述本地源IP转换设备IP前面的一个IP作为攻击者真实IP;
[0010]若不存在,则将网络层里的源IP作为攻击者真实IP。
[0011]上述方案中,可选地,所述判断攻击者访问网站是否有伪造XFF头的行为之前包括:
[0012]预先获取本地源IP转换设备IP并存储。
[0013]上述方案中,进一步可选地,所述方法还包括:预先获取本地源IP转换设备IP并存储后,自动开启伪造检测,网络层源IP非在本地源IP转换设备IP内的,则不进行XFF提取。
[0014]上述方案中,进一步可选地,所述转换设备包括:正向代理、透明代理、服务器反向代理。
[0015]第二方面,一种基于请求头判定攻击源系统,所述系统包括:
[0016]第一判断模块:用于判断攻击者访问网站是否有伪造XFF头的行为;
[0017]第一提取模块:用于若无,则从服务端向客户端方向提取,并且跳过本地源IP转换设备IP,提取所述攻击者IP作为攻击者真实IP;
[0018]第二判断模块:用于若有,则判断所述攻击者访问网站是否存在本地源IP转换设备;
[0019]第二提取模块:用于若存在,则认定距离服务器最近一跳IP为本地源IP转换设备IP,提取所述本地源IP转换设备IP前面的一个IP作为攻击者真实IP;
[0020]第三提取模块:用于若不存在,则将网络层里的源IP作为攻击者真实IP。
[0021]上述方案中,可选地,所述第一判断模块判断攻击者访问网站是否有伪造XFF头的行为之前包括:
[0022]预先获取本地源IP转换设备IP并存储。
[0023]上述方案中,进一步可选地,所述系统还包括:第一判断模块预先获取本地源IP转换设备IP并存储后,自动开启伪造检测,网络层源IP非在本地源IP转换设备IP内的,则不进行XFF提取。
[0024]上述方案中,进一步可选地,所述第一提取模块中转换设备包括:正向代理、透明代理、服务器反向代理。
[0025]第三方面,一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
[0026]判断攻击者访问网站是否有伪造XFF头的行为;
[0027]若无,则从服务端向客户端方向提取,并且跳过本地源IP转换设备IP,提取所述攻击者IP作为攻击者真实IP;
[0028]若有,则判断所述攻击者访问网站是否存在本地源IP转换设备;
[0029]若存在,则认定距离服务器最近一跳IP为本地源IP转换设备IP,提取所述本地源IP转换设备IP前面的一个IP作为攻击者真实IP;
[0030]若不存在,则将网络层里的源IP作为攻击者真实IP。
[0031]第四方面,一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
[0032]判断攻击者访问网站是否有伪造XFF头的行为;
[0033]若无,则从服务端向客户端方向提取,并且跳过本地源IP转换设备IP,提取所述攻击者IP作为攻击者真实IP;
[0034]若有,则判断所述攻击者访问网站是否存在本地源IP转换设备;
[0035]若存在,则认定距离服务器最近一跳IP为本地源IP转换设备IP,提取所述本地源IP转换设备IP前面的一个IP作为攻击者真实IP;
[0036]若不存在,则将网络层里的源IP作为攻击者真实IP。
[0037]本专利技术至少具有以下有益效果:
[0038]本专利技术基于对现有技术问题的进一步分析和研究,认识到目前客户端IP追踪的主要方法是根据预定义变量$_SERVER中的某些值直接判断,忽略了网络环境中经过层层代理转发和XFF伪造的情况,获取的攻击源IP无法确保可靠性,本专利技术通过判断攻击者访问网站是否有伪造XFF头的行为,若无,则从服务端向客户端方向提取,并且跳过本地源IP转换设备IP,提取所述攻击者IP作为攻击者真实IP,若有,则判断所述攻击者访问网站是否存在本地源IP转换设备;若存在,则认定距离服务器最近一跳IP为本地源IP转换设备IP,提取所述本地源IP转换设备IP前面的一个IP作为攻击者真实IP;若不存在,则将网络层里的源IP作为攻击者真实IP。本专利技术基于网络层的源IP无法进行伪造,配置本地源IP转换设备提取时可进行过滤的基本认识,对XFF头的识别规则可以被认为能有效提取到真实的攻击源IP,对XFF头伪造的情况提出了可行的处理方案,还原攻击源真实IP,为后续有针对性地封禁处理提供依据。
附图说明
[0039]图1为本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于请求头判定攻击源方法,其特征在于,所述方法包括:判断攻击者访问网站是否有伪造XFF头的行为;若无,则从服务端向客户端方向提取,并且跳过本地源IP转换设备IP,提取所述攻击者IP作为攻击者真实IP;若有,则判断所述攻击者访问网站是否存在本地源IP转换设备;若存在,则认定距离服务器最近一跳IP为本地源IP转换设备IP,提取所述本地源IP转换设备IP前面的一个IP作为攻击者真实IP;若不存在,则将网络层里的源IP作为攻击者真实IP。2.根据权利要求1所述的方法,其特征在于,所述判断攻击者访问网站是否有伪造XFF头的行为之前包括:预先获取本地源IP转换设备IP并存储。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:预先获取本地源IP转换设备IP并存储后,自动开启伪造检测,网络层源IP非在本地源IP转换设备IP内的,则不进行XFF提取。4.根据权利要求1所述的方法,其特征在于,所述转换设备包括:正向代理、透明代理、服务器反向代理。5.一种基于请求头判定攻击源系统,其特征在于,所述系统包括:第一判断模块:用于判断攻击者访问网站是否有伪造XFF头的行为;第一提取模块:用于若无,则从服务端向客户端方向提取,并且跳过本地源IP转换设备IP,提取所述攻...
【专利技术属性】
技术研发人员:刘庆林,古阳,李小琼,魏海宇,谢辉,安恩庆,张乃亮,杨晓峰,刘海洋,姜小光,杨帆,
申请(专利权)人:北京中睿天下信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。