一种基于工作量证明机制缓解CC攻击的方法技术

本申请公开了一种基于工作量证明机制缓解CC攻击的方法，应用于网站服务器，所述方法包括：设定运算模型；响应访问网站页面第一次请求，以随机生成的值作为输入执行运算模型得到第一输出值；返回包含运算模型和第一输出值的消息给访问者，要求访问者根据消息进行逆运算求解；逆运算求解所需的运算量远大于执行运算模型的运算量；接收包含访问者提供的验证值的第二次请求；将验证值作为输入执行运算模型得到第二输出值，判断第二输出值与第一输出值是否相等；若相等，返回正常页面；若不相等，禁止访问。因此即使更换IP皆无法绕过缓解CC攻击方案，且其他访问者使用与攻击者相同源IP，仍可正常访问页面。可正常访问页面。可正常访问页面。

【技术实现步骤摘要】
一种基于工作量证明机制缓解CC攻击的方法


[0001]本申请涉及网络信息安全的
，尤其是涉及一种缓解CC攻击的方法、服务器及客户端设备。

技术介绍

[0002]随着互联网技术的不断发展，计算机网络技术在各行各业得到了广泛应用。互联网应用的快速发展，伴生了许多安全漏洞。这些漏洞，会使计算机遭受病毒和黑客攻击，从而可能导致数据丢失，严重可能导致用户数据丢失或财产损失。因此互联网安全的防护是互联网技术中的重点。
[0003]CC攻击(Challenge Collapsar)，意为"挑战黑洞"，其前身名为Fatboy攻击，其原理是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。
[0004]现有技术中抵御CC攻击常常通过检测源IP的HTTP请求频率，若该请求频率高于预设阈值，则将对应的IP地址加入黑名单来进行防护。但是这种方式也存在几个重要缺点，一是容易误伤，例如使用同一个源IP的其他正常电脑正常访问网页也会被禁止访问；二是容易被绕过，攻击者通过IP代理可以快速切换IP绕过现有的CC防护方案。

技术实现思路

[0005]基于此，提供一种基于工作量证明机制缓解CC攻击的方法、服务器及客户端设备，以解决现有技术将高频次访问的IP地址加入黑名单来进行防护容易误伤且容易被绕过的问题。
[0006]第一方面，一种基于工作量证明机制缓解CC攻击的方法，应用于网站服务器，所述方法包括：
[0007]步骤一：设定运算模型；
[0008]步骤二：响应于访问者设备访问网站页面的第一次请求，以随机生成的值作为输入执行所述运算模型，得到第一输出值；
[0009]步骤三：返回消息给访问者设备，所述消息中包含所述运算模型和第一输出值，要求访问者设备根据所述运算模型和第一输出值进行逆运算求解；所述逆运算求解所需的运算量远大于执行所述运算模型的运算量；
[0010]步骤四：接收到访问者设备访问网站页面的第二次请求，所述第二次请求中包含访问者设备提供的验证值；
[0011]步骤五：以所述验证值作为输入再次执行所述运算模型，得到第二输出值，并判断所述第二输出值与所述第一输出值是否相等；若相等，则返回网站正常页面内容给访问者设备；若不相等，则不返回网站正常页面或禁止访问。
[0012]上述方案中，可选地，当接收到所述访问者设备再次访问网站页面的请求时，重复执行步骤二至步骤五。
[0013]上述方案中，可选地，所述运算模型为散列函数或大质因子求解函数
[0014]上述方案中，可选地，所述访问者设备提供的验证值包括：针对所述要求计算的验证值或所述访问者设备随机自主配置的验证值。
[0015]第二方面，一种基于工作量证明机制缓解CC攻击的方法，应用于访问者设备，所述访问者设备建立起与网站服务器的通信连接，所述网站服务器预先设定基于散列函数的运算模型，所述方法包括：
[0016]步骤一：向网站服务器发送访问网站页面的第一次请求；
[0017]步骤二：从网站服务器获取消息，所述消息中包含所述运算模型和第一输出值，所述第一输出值是网站服务器以随机生成的值作为输入执行所述运算模型得到的；
[0018]步骤三：按照要求根据所述运算模型和第一输出值进行逆运算求解；所述逆运算求解所需的运算量远大于执行所述运算模型的运算量；
[0019]步骤四：向网站服务器发送访问网站页面的第二次请求，所述第二次请求中包含访问者设备提供的验证值；若所述验证值能够作为输入执行所述运算模型时使得到的第二输出值与所述第一输出值相等，则能够接收网站的正常页面；若不能，则接收不到网站正常页面或被禁止访问。
[0020]上述方案中，可选地，当访问者设备再次发送访问网站页面请求时，重复执行步骤一至步骤四。
[0021]上述方案中，可选地，所所述运算模型为散列函数或大质因子求解函数。
[0022]上述方案中，可选地，所述访问者设备提供的验证值包括：针对所述要求计算的验证值或所述访问者设备随机自主配置的验证值。
[0023]第三方面，一种网站服务器，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述第一方面所述基于工作量证明机制缓解CC攻击的方法的步骤。
[0024]第四方面，一种访问者设备，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现上述第二方面所述基于工作量证明机制缓解CC攻击的方法的步骤。
[0025]本申请至少具有以下有益效果：
[0026]本申请通过每次向网站服务器发送网站页面第一次请求时，生成要求访问者进行逆运算的参数，即以随机生成的值作为输入执行运算模型时得到的第一输出值和运算模型，访问者设备进行逆运算得到验证值，只有发送携带该验证值的网站页面第二次请求，才能获取正常网站页面；因为逆运算求解所需的运算量远大于执行运算模型的运算量，因此若访问者进行CC攻击，则要发送大量的页面访问请求，因此访问者设备需要计算大量进行逆运算，增加攻击者电脑的硬件负载，使得攻击者电脑无法在短时间内发出大量的有效请求，从而有效的防御或缓存CC攻击；并且进行逆运算的过程是在攻击者的电脑上，无论如何更换IP皆无法绕过，而网站服务器判断请求是否合法是根据验证值，不是根据源IP，从而解决误伤的问题，即其他访问者使用攻击者同一个源IP，仍然可以正常访问网站服务器。
附图说明
[0027]图1为本申请一个实施例提供应用于网站服务器的基于工作量证明机制缓解CC攻击的方法的流程示意图。
[0028]图2为本申请一个实施例提供应用于访问者设备的基于工作量证明机制缓解CC攻击的方法的流程示意图。
[0029]图3为本申请一个实施例中一次访问网页的流程示意图；
具体实施方式
[0030]为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。
[0031]在本申请的描述中：除非另有说明，“多个”的含义是两个或两个以上。本申请中的术语“第一”、“第二”、“第三”等旨在区别指代的对象，而不具有技术内涵方面的特别意义(例如，不应理解为对重要程度或次序等的强调)。“包括”、“包含”、“具有”等表述方式，同时还意味着“不限于”(某些单元、部件、材料、步骤等)。
[0032]HTTP Flood俗称CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种，前身名为Fatboy攻击，也是一种常见的网站攻击方法。是针对Web服务在第七层协议发起的攻击。攻击者相较其他三层和四层，并不需要控制大量的肉鸡，取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理，攻击者通过匿名代理对攻击目标发起HTTP请求。匿名代理服务器在互联网上广泛存在。因此攻击容易发起而且可以保持长期高强度的持续攻本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于工作量证明机制缓解CC攻击的方法，应用于网站服务器，其特征在于，所述方法包括：步骤一：设定运算模型；步骤二：响应于访问者设备访问网站页面的第一次请求，以随机生成的值作为输入执行所述运算模型，得到第一输出值；步骤三：返回消息给访问者设备，所述消息中包含所述运算模型和第一输出值，要求访问者设备根据所述运算模型和第一输出值进行逆运算求解；所述逆运算求解所需的运算量远大于执行所述运算模型的运算量；步骤四：接收到访问者设备访问网站页面的第二次请求，所述第二次请求中包含访问者设备提供的验证值；步骤五：以所述验证值作为输入再次执行所述运算模型，得到第二输出值，并判断所述第二输出值与所述第一输出值是否相等；若相等，则返回网站正常页面内容给访问者设备；若不相等，则不返回网站正常页面或禁止访问。2.根据权利要求1所述的基于工作量证明机制缓解CC攻击的方法，其特征在于，当接收到所述访问者设备再次访问网站页面的请求时，重复执行步骤二至步骤五。3.根据权利要求1所述的基于工作量证明机制缓解CC攻击的方法，其特征在于，所述运算模型为散列函数或大质因子求解函数。4.根据权利要求1所述的基于工作量证明机制缓解CC攻击的方法，其特征在于，所述访问者设备提供的验证值包括：针对所述要求计算的验证值或所述访问者设备随机自主配置的验证值。5.一种基于工作量证明机制缓解CC攻击的方法，其特征在于，应用于访问者设备，所述访问者设备建立起与网站服务器的通信连接，所述网站服务器预先设定运算模型；所述方法包括：步骤一：向网站服务器发送...

【专利技术属性】
技术研发人员：朱效竞，夏宇颖，
申请(专利权)人：北京聚信得仁科技有限公司，
类型：发明
国别省市：