防范ＣＣ攻击的方法和设备技术

本发明专利技术公开了一种防范ＣＣ攻击的方法和设备，在被保护的目标服务器之前设置安全设备；该安全设备执行以下步骤：接收到来自客户端发送的请求报文时，确定该接收的请求报文所携带的动作标识１；从预先配置的动作标识和目标服务器单位时间内执行动作标识对应的动作的阈值之间的对应关系中确定出动作标识１对应的阈值，根据确定的阈值判断当前单位时间内是否要将所述请求报文发送给目标服务器，如果是，在当前单位时间内将所述请求报文发送给所述目标服务器；否则，在当前单位时间内丢弃所述请求报文。采用本发明专利技术，能够有效防范ＣＣ攻击，实现对目标服务器的有效保护。

【技术实现步骤摘要】

本专利技术涉及网络安全技术，特别涉及防范挑战黑洞(CC :ChalIengeCollapsar)攻 击的方法和设备。
技术介绍
随着计算机网络尤其是因特网(Internet)在全球的普及和深入，计算机网络技 术在各行各业中得到推广和普及。然而，网络应用的快速发展以及网络规模的急剧膨胀，使 得网络中的安全漏洞无处不在，网络攻击正是利用这些存在的安全漏洞对目标服务器进行 攻击。近年来流行的CC攻击就是网络攻击的一种。所谓CC攻击是一种基于页面的分布式拒绝服务(DDOS :DistributedDenial of Service)攻击，其通过不断发送耗性能的请求报文来消耗目标服务器的性能资源，CC攻击 的原理如图1所示，攻击者利用网络中的多台代理服务器多次向目标服务器发送耗性能的 请求报文，导致目标服务器不断执行大量计算，很快达到自身的处理能力极限，从而拒绝所 有用户的服务请求。从单个CC攻击来看，CC攻击者对目标服务器的攻击与合法用户发送请求报文访 问目标服务器完全一样。如此，目标服务器并不能正确区分接收的请求报文哪些是CC攻 击者发送的请求报文，哪些是合法用户发送的请求报文。针对这种情况，现有的防范CC攻 击的方法是在被保护的目标服务器之前设置安全设备，由安全设备控制单位时间内访问目 标服务器的请求报文的个数，即在单位时间内只允许预设值N个请求报文来访问目标服务 器。但是，这种现有的防范CC攻击的方法中，如果N比较大，就可能会导致过多的CC攻击 者发送的请求报文混入，如此，不能对CC攻击进行有效的防范；而如果N比较小，就会导致 合法用户的访问受到限制，达到了攻击者让服务器拒绝服务的目的。可以看出，一种有效防范CC攻击的方法是当前亟待解决的技术问题。
技术实现思路
本专利技术提供了一种防范CC攻击的方法和设备，以便有效防范CC攻击，实现对目标 服务器的有效保护。—种防范CC攻击的方法，在客户端和被保护的目标服务器之间设置安全设备；所 述安全设备执行以下步骤A，接收到来自客户端发送的请求报文时，确定该接收的请求报文所携带的动作标 识1 ；B，从预先配置的动作标识和目标服务器单位时间内执行动作标识对应的动作的 阈值之间的对应关系中确定出动作标识1对应的阈值，根据确定的阈值判断当前单位时间 内是否要将所述请求报文发送给目标服务器，如果是，在当前单位时间内将所述请求报文 发送给所述目标服务器；否则，在当前单位时间内丢弃所述请求报文。一种防范CC攻击的设备，该设备设置在被保护的目标服务器之前，包括动作标识确定单元、判断单元、发送单元和丢弃单元； 所述动作标识确定单元用于接收来自客户端发送的请求报文，确定该接收的请求 报文所携带的动作标识1 ；所述判断单元用于从预先配置的动作标识和目标服务器单位时间内执行动作标 识对应的动作的阈值之间的对应关系中确定出动作标识1对应的阈值，根据确定的阈值判 断当前单位时间内是否要将所述请求报文发送给目标服务器；所述发送单元用于在所述判断单元的判断结果为是时，在当前单位时间内发送所 述请求报文给所述目标服务器；所述丢弃单元用于在所述判断单元的判断结果为否时，在当前单位时间内丢弃所 述请求报文。由以上技术方案可以看出，本专利技术提供的防范CC攻击的方法和设备中，在客户端 和被保护的目标服务器之间设置安全设备；当安全设备接收到来自客户端发送的请求报文 时，确定该接收的请求报文所携带的动作标识1 ；从预先配置的动作标识和目标服务器单 位时间内执行动作标识对应的动作的阈值之间的对应关系中确定出动作标识1对应的阈 值，根据确定的阈值判断当前单位时间内是否要将所述请求报文发送给目标服务器，如果 是，在当前单位时间内将所述请求报文发送给所述目标服务器；否则，在当前单位时间内丢 弃所述请求报文。这种方式有针对性的对携带各个动作标识的各个请求报文进行限制，相 比于现有技术，能够有效防范CC攻击，实现对目标服务器的有效保护。附图说明图1为现有技术中CC攻击的示意图；图2是本专利技术实施例中防范CC攻击的基本流程图；图3a是本专利技术实施例中防范CC攻击的详细流程图；图北是本专利技术实施例中配置动作标识和目标服务器执行该动作标识对应的动作 的阈值之间对应关系的流程图；图4是本专利技术实施例中防范CC攻击的设备结构图。 具体实施例方式为了使本专利技术的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对 本专利技术进行详细描述。本专利技术实施例在客户端和被保护的目标服务器之间设置安全设备，该安全设备所 执行的主要方法可以如图2所示，主要包括以下步骤步骤201，接收到来自客户端发送的请求报文时，确定接收的请求报文携带的动作 标识。这里，请求报文携带的动作标识与目标服务器在接收到该动作标识时所执行的动 作对应。通常，动作标识可用数字代码或者关键字等来表示，比如，动作标识010201表示目 标服务器执行检索数据库的动作，动作标识010202表示目标服务器执行数据排序输出的 动作等。这里，为便于描述，将步骤201确定出的动作标识记为动作标识1。步骤202，从预先配置的动作标识和目标服务器单位时间内执行动作标识对应的动作的阈值之间的对应关系中确定出动作标识1对应的阈值，根据确定的阈值判断当前单 位时间内是否要将所述请求报文发送给目标服务器，如果是，执行步骤203;否则，执行步 骤 204。这里，单位时间可为1秒或者为1分钟，本专利技术实施例并不具体限定。目标服务器单位时间内执行动作标识对应的动作的阈值具体实现时可有多种形 式，比如，可为目标服务器单位时间内执行动作标识对应的动作的个数阈值或者为用于表 示携带该动作标识的请求报文直接发送给目标服务器的标识值等，本专利技术实施例并不具体 限定，其中，根据确定的阈值判断当前单位时间内是否要将所述请求报文发送给目标服务 器的具体操作可参见图3a所示的步骤30 至步骤308a，这里不再详述。步骤203，在当前单位时间内将所述请求报文发送给所述目标服务器。这里，本步骤203中发送的请求报文携带了动作标识1。步骤204，在当前单位时间内丢弃所述请求报文。 至此，实现了本专利技术实施例提供的方法的基本流程。为使本专利技术实施例提供的方法更加清楚，下面结合具体实施例对上述方法进行详 细描述。参见图3a，图3a为本专利技术实施例提供的详细方法流程图。如图3a所示，该方法可 以包括以下步骤步骤301a，预先配置动作标识和目标服务器单位时间内执行动作标识对应的动作 的阈值之间的对应关系。这里，步骤301a中的对应关系的配置操作具体可参见图北所示，包括步骤301b，针对目标服务器能够执行的每一动作，判断目标服务器执行该动作 所耗费的时间是否大于等于预设的耗费时间，如果是，则执行步骤30 ;否则，执行步骤 302b。通常，目标服务器的管理员对目标服务器的性能都有一定的了解，比如，了解目标 服务器能够执行的各个动作(其中，该动作具体用动作标识来表示，比如表示该动作的特 征码或者关键字)，以及执行各个动作所耗费的时间等，如此，本专利技术实施例中，可根据管理 员对目标服务器性能的了解确定出目标服务器能够执行的各个动作，以及执行各个动作时 所耗费的时间。之后，针对每一动作，判断目标服务器执行该动作所耗费的时间是否大于等 于预设的耗费时间，其中，预设的本文档来自技高网...

【技术保护点】
一种防范ＣＣ攻击的方法，其特征在于，在客户端和被保护的目标服务器之间设置安全设备；所述安全设备执行以下步骤：Ａ，接收到来自客户端发送的请求报文时，确定该接收的请求报文所携带的动作标识１；Ｂ，从预先配置的动作标识和目标服务器单位时间内执行动作标识对应的动作的阈值之间的对应关系中确定出动作标识１对应的阈值，根据确定的阈值判断当前单位时间内是否要将所述请求报文发送给目标服务器，如果是，在当前单位时间内将所述请求报文发送给所述目标服务器；否则，在当前单位时间内丢弃所述请求报文。

【技术特征摘要】
1.一种防范CC攻击的方法，其特征在于，在客户端和被保护的目标服务器之间设置安 全设备；所述安全设备执行以下步骤A，接收到来自客户端发送的请求报文时，确定该接收的请求报文所携带的动作标识1 ；B，从预先配置的动作标识和目标服务器单位时间内执行动作标识对应的动作的阈值 之间的对应关系中确定出动作标识1对应的阈值，根据确定的阈值判断当前单位时间内是 否要将所述请求报文发送给目标服务器，如果是，在当前单位时间内将所述请求报文发送 给所述目标服务器；否则，在当前单位时间内丢弃所述请求报文。2.根据权利要求1所述的方法，其特征在于，所述预先配置的对应关系中动作标识对 应的阈值为如果目标服务器单位时间内执行该动作标识对应的动作所耗费的时间大于等于预设 的耗费时间，则该动作标识对应的阈值为目标服务器单位时间内执行该动作标识对应的动 作的个数阈值；如果目标服务器单位时间内执行该动作标识对应的动作所耗费的时间小于预设的耗 费时间，则该动作标识对应的阈值为用于表示携带该动作标识的请求报文直接发送给目标 服务器的标识值。3.根据权利要求2所述的方法，其特征在于，所述步骤B中根据确定的阈值判断当前单 位时间内是否要将请求报文发送给目标服务器包括判断确定的阈值为目标服务器单位时间内执行动作标识1对应的动作的个数阈值还 是为用于表示携带动作标识1的请求报文直接发送给目标服务器的标识值，如果是标识值，则确定当前单位时间内要将所述请求报文发送给目标服务器； 如果是个数阈值，则判断当前已发送给目标服务器的动作标识1是否达到该动作标识 1对应的个数阈值，如果是，确定当前单位时间内要将所述请求报文发送给目标服务器，否 则，确定当前单位时间内不将所述请求报文发送给目标服务器。4.根据权利要求2所述的方法，其特征在于，所述步骤B中，如果预先配置的对应关系 中不存在动作标识1，则确定目标服务器执行动作标识1对应的动作所耗费的时间，包括Bi，记录接收到请求报文的时间，之后，发送该请求报文给所述目标服务器； B2，接收所述目标服务器返回的与该请求报文对应的响应报文，记录接收到该响应报 文的时间；B3，根据记录的接收到请求报文的时间和接收到与该请求报文对应的响应报文的时间 计算目标服务器执行动作标识1对应的动作所耗费的时间。5.根据权利要求4所述的方法，其特征在于，在确定出动作标识1对应的动作所耗费的 时间后，进一步包括B4，根据确定的耗费时间确定动作标识1和目标服务器单位时间内执行动作标识1对 应的动作的阈值之间的对应关系，将确定的对应关系更新到所述预先配置的对应关系中。6.根据权利要求5所述的方法，其特征在于，所述步骤B4中确定对应关系包括 B41，判断确定的耗费时间是否大于等于预设的耗费时间，如果是，执行步骤B42;否则，执行步骤B43;B42，确定动作标识1和目标服务器单位时间内执行动作标识1对应的动作的个数阈值之间的对应关系；B43，确定动作标识1和用于表示携带动作标识1的请求报文直接发送给目标服务器的 标识值之间的对应关系。7.根据权利要求6所述的方法，其特征在于，所述步骤B42包括Cl，根据确定的耗费时间确定目标服务器单位时间内执行动作标识1对应的动作的最 大个数；C2，按照单位时间内不使目标服务器的性能资源完全被消耗的原则，设置单位时间内 动作标识1对应的动作占用目标服务器的性能资源值，所述性能资源值为动作标识1对应 的动作单位时间内占用目标服务器的性能资源与目标服务器的总性能资源的比值；C3，将确定的最大个数和设置的性能资源值的乘积确定为动作标识1对应的个数阈 值；得到动作标识1和目标服务器单位时间内执行动作标识1对应的动作的个数阈值之间 的对应关系。8.根据权利要求3所述的方法，其特征在于，所述动作标识1对应的个数阈值包含不 经由代理服务器转发的携带动作标识1的请求报文的第一个数阈值和经由代理服务器转 发的携带动作标识1的请求报文的第二个数阈值，所述第一个数阈值大于等于第二个数阈 值，所述不经由代理服务器转发的请求报文为不携带特征字段X-Forwarded-FOR的请求报 文，经由代理服务器转发的请求报文为携带特征字段X-Forwarded-FOR的请求报文；所述判断当前已发送给目标服务器的动作标识1是否达到该动作标识1对应的个数阈 值包括如果接收的携带了动作标识1的请求报文是不经由代理服务器发送的，则判断当前单 位时间内已发送给目标服务器的动作标识1是否未达到动作标识1对应的第一个数阈值； 如果接收的携带了动作标识1的请求报文是经由代理服务器发送的，则判断当前单位时间 内已发送给目标服务器的动作标识1是否未达到动作标识1对应的第二个数阈值。9.根据权利要求1至8任一所述的方法，其特征在于，发送请求报文给目标服务器包括判断当前所处的...

【专利技术属性】
技术研发人员：韩艳辉，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：86[中国|杭州]