本申请的实施例提供了一种网络层的CC攻击拦截方法、装置及服务器,涉及通信技术领域。该方法包括:接收报文,从该报文中提取出五元组,并根据提取的五元组确定出该报文对应的目标数据流的目标流标识;判断目标流标识是否在攻击流表中,攻击流表中包括基于数据流的历史信息确定出的与第二黑名单匹配上的数据流的流标识,第二黑名单中包括至少一个域名及该域名对应的IP黑名单;若目标流标识在攻击流表中,则在网络层对该目标数据流进行拦截。如此,可解决网络间误拦截的问题,并且该方式是在网络层实现,拦截高效快捷。拦截高效快捷。拦截高效快捷。
【技术实现步骤摘要】
网络层的CC攻击拦截方法、装置及服务器
[0001]本申请涉及通信
,具体而言,涉及一种网络层的CC攻击拦截方法、装置及服务器。
技术介绍
[0002]在CC攻击(Challenge Collapsar)识别的拦截处理上,通常采用在网络层基于全局性的黑名单(即IP黑名单)进行识别拦截这种方式。而当该方式应用于CDN(Content Delivery Network,内容分发网络)等资源高度复用的业务场景下,容易造成误拦截,且极难发现。比如,应用A和应用B在同时对外提供服务,而A此时受到了来自IP 1的攻击,若在网络层拦截,则IP 1访问应用B也受阻。
技术实现思路
[0003]本申请实施例提供了一种网络层的CC攻击拦截方法、装置、服务器及可读存储介质,其能够解决网络间误拦截的问题,并且该方式是在网络层实现,拦截高效快捷。
[0004]本申请的实施例可以这样实现:
[0005]第一方面,本申请实施例提供一种网络层的CC攻击拦截方法,所述方法包括:
[0006]接收报文,从所述报文中提取出五元组,并根据提取的五元组确定出所述报文对应的目标数据流的目标流标识;
[0007]判断所述目标流标识是否在攻击流表中,其中,所述攻击流表中包括基于数据流的历史信息确定出的与第二黑名单匹配上的数据流的流标识,所述第二黑名单中包括至少一个域名及该域名对应的IP黑名单;
[0008]若所述目标流标识在所述攻击流表中,则在网络层对该目标数据流进行拦截。
[0009]第二方面,本申请实施例提供一种网络层的CC攻击拦截装置,所述装置包括:
[0010]提取模块,用于接收报文,从所述报文中提取出五元组,并根据提取的五元组确定出所述报文对应的目标数据流的目标流标识;
[0011]处理模块,用于判断所述目标流标识是否在攻击流表中,其中,所述攻击流表中包括基于数据流的历史信息确定出的与第二黑名单匹配上的数据流的流标识,所述第二黑名单中包括至少一个域名及该域名对应的IP黑名单;
[0012]所述处理模块,还用于在所述目标流标识在所述攻击流表时,在网络层对该目标数据流进行拦截。
[0013]第三方面,本申请实施例提供一种服务器,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现前述实施方式所述的网络层的CC攻击拦截方法。
[0014]第四方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述实施方式所述的网络层的CC攻击拦截方法。
[0015]本申请实施例提供的网络层的CC攻击拦截方法、装置、服务器及可读存储介质,在
接收到报文后,根据从该报文中提取的五元组确定出该报文对应的目标数据流的目标流标识;然后,判断该目标流标识是否存在于攻击流表中,该攻击流表中包括基于数据流的历史信息确定出的与第二黑名单匹配上的数据流的流标识,该第二黑名单中包括至少一个域名及该域名对应的IP黑名单;若在,则在网络层对该目标数据流进行拦截。如此,可解决网络间误拦截的问题,并且该方式是在网络层实现,拦截高效快捷。
附图说明
[0016]为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0017]图1为本申请实施例提供的服务器的方框示意图;
[0018]图2为本申请实施例提供的网络层的CC攻击拦截方法的流程示意图之一;
[0019]图3为本申请实施例提供的网络层的CC攻击拦截方法的流程示意图之二;
[0020]图4为本申请实施例提供的网络层的CC攻击拦截方法的流程示意图之三;
[0021]图5为本申请实施例提供的网络层的CC攻击拦截方法的流程示意图之四;
[0022]图6为图2中步骤S200包括的子步骤的流程示意图;
[0023]图7为本申请实施例提供的网络层的CC攻击拦截装置的方框示意图。
[0024]图标:100
‑
服务器;110
‑
存储器;120
‑
处理器;130
‑
通信单元;200
‑
网络层的CC攻击拦截装置;210
‑
提取模块;220
‑
处理模块。
具体实施方式
[0025]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
[0026]因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0027]需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0028]本申请专利技术人经研究发现,在CC攻击识别的拦截处理上,可以采用黑白名单这种方式。例如,CC攻击到来后,可通过CC识别模块提取攻击源及攻击目的,并开始触发防御机制进行攻击已知,防御机制可以为黑白名单。若是利用网络层的黑白名单进行攻击识别,即
根据网络层的黑白名单所包括的IP地址及攻击源(即源IP地址)确定是否是攻击,这种方式虽然高效、实现简洁、防御效果极好,但缺点也明显,就是在CDN等资源高度复用的业务场景下,容易造成误拦,且极难发现,即全局性的黑白名单会导致误拦截。若是利用应用层的黑白名单,即根据应用层的黑白名单中包括的域名及与域名对应的IP地址、提取的攻击源及攻击目标(即域名)进行攻击识别,这种方式虽然识别准确、不存在跨站误拦的情况,但是不能充分利用网络层的优势。网络层的优势在于能操作数据包,且成本低廉。
[0029]针对以上情况,本申请实施例提供了一种网络层的CC攻击拦截方法、装置、服务器及可读存储介质,其能够解决网络间误拦截的问题,并且该方式是在网络层实现,拦截高效快捷本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络层的CC攻击拦截方法,其特征在于,所述方法包括:接收报文,从所述报文中提取出五元组,并根据提取的五元组确定出所述报文对应的目标数据流的目标流标识;判断所述目标流标识是否在攻击流表中,其中,所述攻击流表中包括基于数据流的历史信息确定出的与第二黑名单匹配上的数据流的流标识,所述第二黑名单中包括至少一个域名及该域名对应的IP黑名单;若所述目标流标识在所述攻击流表中,则在网络层对该目标数据流进行拦截。2.根据权利要求1所述的方法,其特征在于,在所述判断所述目标流标识是否在攻击流表中之前,所述方法还包括:判断提取出的源IP地址是否在第一黑名单中,其中,所述第一黑名单中包括所述域名对应的IP黑名单;若所述提取出的源IP地址在所述第一黑名单中,则执行判断所述目标流标识是否在攻击流表中的步骤。3.根据权利要求2所述的方法,其特征在于,在所述源IP地址在所述第一黑名单内之后,所述方法还包括:判断所述报文中是否包括有效载荷payload;若包括,则判断所述目标流标识是否存在于检查流表中,其中,所述检查流表中包括与所述第一黑名单匹配上的数据流的流标识;若所述目标流标识在所述检查流表中,则从所述报文中提取出目标域名,从所述检查流表中删除所述目标流标识,并将所述目标域名及源IP地址和所述第二黑名单进行匹配;在所述目标域名及源IP地址和所述第二黑名单中匹配上时,将所述目标流标识添加至所述攻击流表中,并对所述报文进行拦截;若所述目标流标识不在所述检查流表中,则执行判断所述目标流标识是否在攻击流表中的步骤。4.根据权利要求3所述的方法,其特征在于,所述对所述报文进行拦截,包括:丢弃所述报文,并释放所述目标数据流对应的连接。5.根据权利要求3所述的方法,其特征在于,所述从所述报文中提取出目标域名,包括:确定所述报文使用的目标协议;根据所述目标协议对应的域名提取方式提取出所述目标域名。6.根据权利要求3所述的方法,其特征在于,在所述判断所述报文中是否包括数据包之前,所述...
【专利技术属性】
技术研发人员:石涵,王小虎,
申请(专利权)人:北京知道创宇信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。