防范cc攻击的方法和设备的制作方法

专利名称：防范cc攻击的方法和设备的制作方法
技术领域：
本发明涉及通信技术领域，尤其涉及一种防范CC(Challenge Collapsar，挑战黑洞)攻击的方法和设备。
背景技术：
随着计算机网络尤其是Internet(因特网)在全球的普及和深入，计算机网络技术不断地在各行各业中得到推广和普及。然而，网络应用的快速发展以及网络规模的急剧膨胀，使得网络中的安全漏洞无处不在，网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。近年来流行的CC攻击就是其中的一种。
CC攻击是一种基于页面的DDoS(Distributed Denial of Service，分布式拒绝服务)攻击。CC攻击的原理如图1所示，攻击者通过一台连接到Internet的终端，利用网络中的多台代理服务器对其实际身份进行隐藏，向目标服务器发送大量需要较长计算时间的URL(Uniform Resource Locator，统一资源定位系统)请求，如数据库查询等，导致目标服务器进行大量计算，很快达到自身的处理能力极限而形成拒绝所有用户终端的服务请求，而攻击者一旦发送请求给代理后就主动断开连接，因为代理并不因为用户终端连接的断开就不去连接目标服务器，因此，攻击机的资源消耗相对很小。
由于只需要一台主机就可以发起CC攻击，相对传统的DDoS攻击，其发起攻击的难度减小了很多。传统的DDoS攻击需要聚集大量的主机才能发起一次有规模的DDoS攻击，但CC攻击与传统的DDoS攻击不同。CC攻击并不是以大量的数据流量对服务器实施拒绝服务攻击，而是针对耗用系统资源高的页面，使用不同的身份，进行频繁的访问，最终导致服务器资源耗尽，无法对外提供服务。只要在任何一用户终端上使用已有的CC攻击软件，并使用足够数量的代理服务器，就能在任何时间对任何目标发起大规模的分布式拒绝服务攻击，导致目标服务器的服务处于瘫痪状态。
由于攻击原理的限制，CC攻击的目标服务器大多为需要进行大量数据库查询的服务器，如游戏服务器、大型论坛，信息查询系统等。这些服务器辐射面广，实时性强，且大多数都与服务提供商的经济收入直接挂钩，所以一旦受到CC攻击，将会对服务提供商造成巨大的损失。
目前，一般采用IDS(Intrusion Detection System，入侵检测系统)或者IPS(Intrusion Prevention System，入侵防护系统)以瞬时流量作为指标，判断数据流是否为DDoS攻击，这种判断方法在CC攻击面前显得无能为力。特别是在网络中处于旁路的IDS，即使检测出CC攻击，也无法与防火墙联动，进行有效的防御，因为防火墙无法基于四层以上内容进行数据包的截断，而需要防御CC攻击，需要对数据包四层以上内容进行分析，这种方法对于IDS或者IPS来说，要求具有极高的处理性能。
另外一种技术方案为通过限制代理的访问对CC攻击进行预防，因为一般的代理都会在HTTP(Hyper Text Transport Protocol，超文本传输协议)报文头中携带X_FORWARDED_FOR字段。但这种方法具有很大的局限性，首先，有些代理请求中是不带该字段的，即并不是所有的代理服务器都会在HTTP报文头中携带X_FORWARDED_FOR字段；另外，有些上网用户确实需要代理才能连接目标服务器，这是一种客观存在的现象，如果采用限制代理访问的方式，就拒绝了这类合法用户。

发明内容
本发明提供一种防范CC攻击的方法和设备，以对网络中的目标服务器进行有效的保护，使其免于受到CC攻击。
为达到上述目的，本发明提供一种防范CC攻击的方法，包括如下步骤安全设备接收到向被保护设备发送的请求报文时，向所述请求报文的发送方设备发送重定向报文；所述安全设备接收所述发送方设备根据所述重定向报文发送的响应报文，并根据所述响应报文确定所述请求报文是否为攻击报文。
其中，所述重定向报文中携带重定向码，所述重定向码为固定码或动态生成码。
其中，所述安全设备在预定的时间内未收到所述响应报文时，确定所述请求报文为攻击报文，并丢弃所述请求报文。
其中，所述安全设备接收到所述响应报文，且所述响应报文携带的重定向码与所述重定向报文中的重定向码不一致时，确定所述请求报文为攻击报文，并丢弃所述请求报文。
其中，所述安全设备接收到所述响应报文，且所述响应报文携带的重定向码与所述重定向报文中的重定向码一致时，确定所述请求报文不是攻击报文，并将所述请求报文发送至所述被保护设备。
其中，所述安全设备向所述被保护设备发送所述请求报文后，还包括所述安全设备向所述发送方设备发送所述被保护设备对所述请求报文的响应。
其中，所述请求报文的发送方设备包括直接与所述安全设备连接的用户终端、或通过代理服务设备与所述安全设备连接的用户终端。
其中，所述请求报文的发送方设备为通过代理服务设备与所述安全设备连接的用户终端时，所述请求报文的发送流程为所述代理服务设备向所述安全设备转发所述用户终端发送的所述请求报文；所述重定向报文的发送流程为所述代理服务设备向所述用户终端转发所述安全设备发送的所述重定向报文；所述响应报文的发送流程为所述代理服务设备向所述安全设备转发所述用户终端根据所述重定向报文发送的响应报文。
其中，所述重定向码的动态生成方法为所述安全设备根据所述请求报文请求的内容、与所述请求报文的发送方设备的网络连接参数生成所述重定向码；所述网络连接参数包括源IP、目的IP、源端口、目的端口、协议版本号中的一种或多种。
本发明还提供一种安全设备，包括
重定向报文生成模块，用于在接收到发送方设备发送的请求报文时，生成重定向报文；判断模块，用于在所述发送方设备根据所述重定向报文发送响应报文时，根据所述响应报文确定所述请求报文是否为攻击报文。
其中，安全设备还包括重定向码生成模块，用于生成所述重定向报文生成模块所需的重定向码；接收模块，用于接收发送方设备发送的所述请求报文并转发给所述重定向报文生成模块，接收发送方设备发送的所述响应报文并转发给所述判断模块；发送模块，用于向发送所述请求报文的发送方设备发送所述重定向报文生成模块生成的重定向报文，并在所述判断模块判断所述请求报文不是攻击报文时，将所述请求报文转发给被保护设备。
与现有技术相比，本发明具有以下优点通过使用本发明，依据对响应报文的校验，准确地发现企图对目标服务器进行CC攻击的用户终端，可以有效防范CC攻击，并且不会影响正常用户终端的访问。


图1是现有技术中CC攻击的原理示意图；图2是本发明的实施例一中防范CC攻击的方法的流程图；图3是本发明的实施例二中防范CC攻击的方法的流程图；图4是本发明的实施例三中防范CC攻击的方法的流程图；图5是本发明的实施例四中防范CC攻击的方法的流程图；图6是本发明的实施例五中防范CC攻击的方法的流程图；图7是本发明的实施例七中安全设备的结构示意图。
具体实施例方式
本发明的核心思想在于，在被保护设备前设置安全设备，通过HTTP重定向技术，在接收到发送方设备向被保护设备发送的请求报文时，生成重定向报文并向该发送方设备发送；安全设备在接收到发送方设备根据重定向报文发送的响应报文时，通过对该响应报文的校验，确定发送方设备发送的请求报文是否为CC攻击报文，从而达到防范CC攻击的目的。
本发明的实施例一中，一种防范CC攻击的方法如图2所示，包括如下步骤步骤s101、安全设备接收到发送方设备请求连接被保护设备的请求报文。
步骤s102、安全设备向请求报文的发送方设备发送重定向报文。
步骤s103、安全设备接收发送方设备根据重定向报文发送的响应报文。
步骤s104、安全设备根据该响应报文确定请求报文是否为攻击报文。
上述流程中，安全设备确定请求报文是否为攻击报文的方法可以通过设置重定向码的方式实现，即在发送重定向报文时，在重定向报文中携带重定向码，并对发送方设备发送的响应报文进行校验，如果发送方设备未发送响应报文或响应报文中的重定向码不正确，则认为该发送方设备发送的请求报文为CC攻击报文。本发明的实施例二中，一种通过校验重定向码防范CC攻击的方法如图3所示，包括如下步骤步骤s201、安全设备接收到发送方设备请求连接被保护设备的请求报文。
步骤s202、安全设备向请求报文的发送方设备发送重定向报文，其中携带重定向码。
步骤s203、安全设备判断在预定的时间内是否接收到该发送方设备发送的响应报文，接收到时进行步骤s204，否则进行步骤s206。
步骤s204、安全设备判断接收到的响应报文携带的重定向码是否与步骤s202发送的重定向报文中携带的重定向码一致，一致时进行步骤s205，否则进行步骤s206。
步骤s205、安全设备向被保护设备发送步骤s201中发送方设备发送的请求报文并结束。
步骤s206、确定该发送方设备发送的请求报文为攻击报文，丢弃该请求报文并结束。
以下实施例分别具体描述发送方设备为不同的设备时，防范CC攻击的具体方法。其中，均以安全设备为防火墙设备、被保护设备为受保护的服务器为例，说明本发明的实施方式。
本发明的实施例三中，以发送方设备为通过代理服务器连接目标服务器的正常用户终端为例，一种防范CC攻击的方法如图4所示，包括以下步骤步骤s301、用户终端向代理服务器发起HTTP Get请求，请求访问目标地址。
对于用户终端初次发送的HTTP Get请求报文，与本发明实施例有关的HTTP Get请求报文头内容包括GET项，内容为“/somedir/page.html HTTP/1.1”，表明浏览器在请求对象/somedir/page.html，浏览器实现的是HTTP/1.1版本；Host项，内容为“www.h3c.com”，表明存放请求对象“/somedir/page.html”的主机为“www.h3c.com”。
GET项和Host项描述了与本步骤中目标地址有关的内容，即GET请求对象为“/somedir/page.html”，以及该请求对象所在的主机为“www.h3c.com”。
步骤s302、代理服务器接收到用户终端的Get请求之后，对HTTP报文头进行解析，直接访问报文头中GET字段指定的URL。
该步骤中，代理服务器转发到防火墙设备的HTTP Get请求报文也是如上所描述的报文形式。
步骤s303、防火墙设备接收到代理服务器的初次Get请求之后，不立即转发到后端受保护的服务器，而是向代理服务器回应一个HTTP重定向报文，报文的响应码为302，表示所请求的资源临时位于另外的URL(有关HTTP响应码的定义，请参考《(TCP(Transfer Control Protocol，传输控制协议)-IP详解卷3TCP事务协议、HTTP、NNTP(Network News Transport Protocol，网络新闻传输协议)、UNIX域协议》第13章)。与本发明实施例有关的HTTP重定向报文的内容包括HTTP响应码项，内容为“HTTP 1.1 302 Found”，响应码302表示所请求的资源临时位于另外的URL；Location项，内容为“http//www.h3c.com/A”，表明重定向后的URL，其中重定向码A也携带在URL中。
所谓另外的URL，即上述HTTP重定向报文中，Location项所描述的“http//www.h3c.com/A”，其中A为重定向码，可以为一固定的字符串，将重定向后的URL与之前用户终端通过代理服务器请求的URL加以区别。
步骤s304、代理服务器将接收到的HTTP重定向报文发送到用户终端。
步骤s305、用户终端根据接收到的HTTP重定向报文，自动向代理服务器发送响应报文，携带新的HTTP Get请求，请求连接重定向后的URL。
该步骤中，与本发明实施例有关的用户终端发送的响应报文头内容包括GET项，内容为“/somedir/page.html HTTP/1.1”，表明浏览器在请求对象/somedir/page.html，浏览器实现的是HTTP/1.1版本；Host项，内容为“www.h3c.com/A”，重定向码A携带在新的HTTP Get请求的URL中，表明存放请求对象“/somedir/page.html”的主机为“www.h3c.com/A”。
其中，该报文的Host项携带了重定向的URL“http//www.h3c.com/A”，其中A为重定向码。
步骤s306、代理服务器接收到用户终端的响应报文之后，对HTTP报文头进行解析，直接访问报文头中GET字段指定的URL，这个URL就是步骤s305中描述的重定向后的URL“http//www.h3c.com/A”，其中A为重定向码。
步骤s307、防火墙设备接收到代理服务器的响应报文之后，首先校验新的HTTP Get请求中携带的重定向码与步骤s303中向代理服务器发送的HTTP重定向报文中携带的重定向码是否一致，如果不一致则认为该连接请求不合法，直接丢弃请求报文，并返回一个响应码为401的HTTP应答报文，该应答报文内容为“Not Found，服务器上没有所请求的对象”。否则，读取还原步骤s301中用户终端发送的初始请求报文，向后端受保护服务器请求内容“/somedir/page.html”。防火墙设备向后端受保护的服务器发送的HTTP Get请求中，与本发明实施例有关的HTTP Get请求报文头内容如下GET项，内容为“/somedir/page.html HTTP/1.1”，表明浏览器在请求对象/somedir/page.html，浏览器实现的是HTTP/1.1版本；
Host项，内容为“www.h3c.com”，表明存放请求对象“/somedir/page.html”的主机为“www.h3c.com”。
步骤s308、受保护的服务器返回HTTP Get应答，其中包括页面“/somedir/page.html”中的信息。此时，防火墙和代理服务器完成报文的转发作用，用户终端根据HTTP Get应答，将内容呈现在用户终端的浏览器上。
本发明的实施例四中，以发送方设备为通过代理服务器连接目标服务器，并企图对目标服务器进行CC攻击的用户终端为例，说明防范CC攻击的方法。企图通过代理服务器对目标服务器进行CC攻击的用户终端的特点在于，这些用户终端只发送请求报文，在由代理服务器转发请求后，用户终端与代理服务器之间的TCP连接马上断开。基于该特点，本实施例的流程如图5所示，包括以下步骤步骤s401、用户终端向代理服务器发起HTTP Get请求，请求访问目标地址。
对于用户终端初次发送的HTTP Get请求报文，与本发明实施例有关的HTTP Get请求报文头内容包括GET项，内容为“/somedir/page.html HTTP/1.1”，表明浏览器在请求对象/somedir/page.html，浏览器实现的是HTTP/1.1版本；Host项，内容为“www.h3c.com”，表明存放请求对象“/somedir/page.html”的主机为“www.h3c.com”。
GET项和Host项描述了与本步骤中目标地址有关的内容，即GET请求对象为“/somedir/page.html”，以及该请求对象所在的主机为“www.h3c.com”。
步骤s402、代理服务器接收到用户终端的初次Get请求之后，对HTTP报文头进行解析，直接访问报文头中GET字段指定的URL。
该步骤中，代理服务器转发到防火墙设备的HTTP Get请求报文也是如步骤s401所描述的报文形式。
步骤s403、防火墙设备接收到代理服务器的初次Get请求之后，不立即转发到后端受保护的服务器，而是向代理服务器回应一个HTTP重定向报文，报文的响应码为302，表示所请求的资源临时位于另外的URL。与本发明实施例有关的HTTP重定向报文的内容包括HTTP响应码项，内容为“HTTP 1.1 302 Found”，响应码302表示所请求的资源临时位于另外的URL；Location项，内容为“http//www.h3c.com/A”，表明重定向后的URL，其中重定向码A也携带在URL中。
所谓另外的URL，即上述HTTP重定向报文中，Location项所描述的“http//www.h3c.com/A”，其中A为重定向码，可以为一固定的字符串，将重定向后的URL与之前用户终端通过代理服务器请求的URL加以区别。
步骤s404、代理服务器将接收到的HTTP重定向报文向用户终端发送。
步骤s405、由于企图攻击目标服务器的用户终端只发送初次数据，由代理服务器转发请求后，用户终端与代理服务器之间的TCP连接马上断开。所以，当代理服务器转发防火墙设备生成的HTTP重定向报文给用户终端时，该用户终端不可能回应重定向后的HTTP请求，所以此次交互结束。
这种情况下，防火墙设备后端受保护的服务器自始至终没有接受到攻击者任何的报文，前端的防火墙设备已经将这些攻击报文全部挡住，达到防范CC攻击的目的。
本发明的实施例五中，以发送方设备为不通过代理服务器，而直接连接目标服务器的正常用户终端为例，说明本发明中的防范CC攻击的方法不会对直接连接目标服务器的用户终端的使用造成影响。该种情况下的流程如图6所示，包括以下步骤步骤s501、用户终端发起HTTP Get请求，请求访问目标地址。
对于用户终端初次发送的HTTP Get请求报文，与本发明实施例有关的HTTP Get请求报文头内容包括GET项，内容为“/somedir/page.html HTTP/1.1”，表明浏览器在请求对象/somedir/page.html，浏览器实现的是HTTP/1.1版本；Host项，内容为“www.h3c.com”，表明存放请求对象“/somedir/page.html”的主机为“www.h3c.com”。
GET项和Host项描述了与本步骤中目标地址有关的内容，即GET请求对象为“/somedir/page.html”，以及该请求对象所在的主机为“www.h3c.com”。
步骤s502、防火墙设备接收到用户终端的Get请求之后，不立即转发到后端受保护的服务器，而是向用户终端回应一个HTTP重定向报文，报文的响应码为302，表示所请求的资源临时位于另外的URL。与本发明实施例有关的HTTP重定向报文的内容包括HTTP响应码项，内容为“HTTP 1.1 302 Found”，响应码302表示所请求的资源临时位于另外的URL；Location项，内容为“http//www.h3c.com/A”，表明重定向后的URL，其中重定向码A也携带在URL中。
所谓另外的URL，即上述HTTP重定向报文中，Location项所描述的“http//www.h3c.com/A”，其中A为重定向码，可以为一固定的字符串，以将重定向后的URL与之前用户终端请求的URL加以区别。
步骤s503、用户终端根据接收到的HTTP重定向报文，自动向防火墙设备发送响应报文，携带新的HTTP Get请求，请求连接重定向后的URL。
该步骤中，与本发明实施例有关的用户终端发送的响应报文头内容包括GET项，内容为“/somedir/page.html HTTP/1.1”，表明浏览器在请求对象/somedir/page.html，浏览器实现的是HTTP/1.1版本；Host项，内容为“www.h3c.com/A”，重定向码A携带在新的HTTP Get请求的URL中，表明存放请求对象“/somedir/page.html”的主机为“www.h3c.com/A”。
步骤s504、防火墙设备接收到用户终端的Get请求之后，首先校验响应报文中携带的重定向码与步骤s502中向该用户终端发送的重定向报文中携带的重定向码是否一致，如果不一致则为判断为该请求不合法，直接丢弃请求报文，并返回一个响应码为401的HTTP应答报文。否则，读取还原步骤s501中用户终端发送的初始请求报文，向后端受保护服务器请求内容“/somedir/page.html”。
与本发明实施例有关的HTTP Get请求报文头内容包括GET项，内容为“/somedir/page.html HTTP/1.1”，表明浏览器在请求对象/somedir/page.html。浏览器实现的是HTTP/1.1版本；Host项，内容为“www.h3c.com”，表明存放请求对象“/somedir/page.html”的主机为“www.h3c.com”。
步骤s505、受保护的服务器返回HTTP Get应答，此时，防火墙设备完成报文的转发作用，用户终端根据HTTP Get应答，将内容呈现在用户终端的浏览器上。即新增的防火墙设备不会对不通过代理服务器直接连接目标服务器的用户终端的正常使用造成影响。
上述实施例三至实施例五中，以不同情况下的用户终端作为发送方设备，对目标服务器的HTTP Get请求的处理过程进行了描述，其中，在描述HTTP重定向报文“http//www.h3c.com/A”的结构时，所使用的重定向码A为一固定的字符串。使用这种HTTP重定向报文结构时，由于A为固定的字符串，因此企图发起CC攻击的用户终端通过对HTTP重定向报文进行多次解析、发现了HTTP重定向报文“http//www.h3c.com/A”的组成结构时，可以在向代理服务器发送的初次HTTP Get请求报文时，直接使用“http//www.h3c.com/A”替换“http//www.h3c.com”，从而有可能使得防火墙设备无法发挥作用，达到绕开防火墙设备直接攻击目标服务器的目的。鉴于这种可能性的存在，可以使用更为安全的重定向码A的生成和校验方式。
本发明的实施例六中，描述了一种更为安全的重定向码A生成校验方法，该方法中，防火墙设备在接收到代理服务器或用户终端的HTTP Get请求报文时，防火墙设备依据代理服务器或用户终端和防火墙设备之间的TCP连接参数，以及该HTTP Get请求报文请求连接的URL，计算重定向码A，该TCP连接参数也称IP报文的五元组，具体包括请求报文中的SOURCE_IP(源IP)、DEST_IP(目的IP)、SOURCE_PORT(源端口)、DEST_PORT(目的端口)、Version(协议号)。在具体的计算方法上，可以采用如下方法防火墙接收到一个HTTP Get请求报文后，计算一个消息摘要macmac＝MAC(V，k)其中，MAC是密码学中的一个消息认证码函数，也就是满足某种安全性质的带密钥的HASH函数，它能够提供重定向码计算中需要的安全性。
V为根据上述TCP连接参数中的一种或多种、以及请求连接的URL，通过某种算法得到的值，如V＝Calc(SOURCE_IP，SOURCE_PORT，DEST_IP，DEST_PORT，URL)其中，K为防火墙设备独有的密钥。
在得到消息摘要mac后，防火墙设备根据消息摘要mac生成重定向码，如取mac值的第0到32比特位重定向码A＝mac(0:32)对于正常的HTTP请求，防火墙设备中都保留有当前连接的会话，该会话记录了每一条数据流的TCP连接参数。因此，当接收到响应报文后，首先从该响应报文的URL中得到重定向码A’，然后从会话记录中读取出该连接对应的初次HTTP请求，依据与重定向码生成算法相同的算法，得到向代理服务器或用户终端发送的HTTP重定向报文中的重定向码A，如果A’＝A，表示接收到的重定向后的HTTP请求合法，否则判断为不合法的URL请求。
通过使用本实施例中描述的重定向码A的生成方法，以发送方设备为通过代理服务器连接目标服务器的正常用户终端为例，一种防范CC攻击的方法流程与实施例三中所描述的流程相似，只是重定向码A由实施例二中的固定字符串变化为动态生成，即若每次请求的URL不同或TCP连接参数不同，重定向码A都互不不同，增强了该方法防范CC攻击的安全性和适用性。且上述算法简单，能快速地检测重定向码是否合法，不会明显降低防火墙设备的性能。
通过使用如以上实施例一至实施例六描述的方法，通过网页重定向，可以有效防范CC攻击，而且不绝对地拒绝一切使用代理服务器的用户终端，而是采用区别对待的方法，依据对重定向码的校验，准确地发现企图对目标服务器进行CC攻击的用户终端，而且不会影响正常用户终端的访问。另外，通过对重定向码的动态生成，增强了该方法的安全性和适用性。
本发明的实施例七中，一种安全设备的结构如图7所示，包括重定向报文生成模块11和判断模块12、接收模块13、发送模块14和重定向码生成模块15。
重定向报文生成模块11，用于在接收模块13接收到向被保护设备20发送的请求报文时，生成重定向报文，并通过发送模块14向该请求报文的发送方设备发送重定向报文。该发送方设备为用户终端或代理服务器。
判断模块12，用于在接收到接收模块13转发的发送方设备发送的响应报文时，根据该响应报文判断该发送方设备发送的请求报文是否合法。具体的，将该响应报文中的重定向码、与重定向报文生成模块11最初向该发送方设备发送的重定向报文中的重定向码进行比较，二者不一致时，判断为该发送方设备发送的请求报文不合法，将该请求报文丢弃；二者一致时，判断为该发送方设备发送的请求报文合法，并通过发送模块14向受保护的服务器发送该发送方设备的请求报文。
接收模块13，用于接收发送方设备发送的请求报文和响应报文，将请求报文转发至重定向报文生成模块11，将响应报文转发至判断模块12。
发送模块14，用于向请求报文的发送方设备发送重定向报文生成模块11生成的重定向报文，在判断模块12判断发送方设备合法时，向受保护的服务器发送该发送方设备发送的请求报文。
重定向码生成模块15，用于在重定向报文生成模块11需要生成重定向报文时，向重定向报文生成模块11发送所需的重定向码。
上述实施例七的描述中，发送方设备为直接向安全设备发送报文的用户终端，以及通过代理服务器向安全设备发送报文的用户终端。
通过使用如以上实施例七描述的设备，可以有效防范CC攻击，而且不绝对地拒绝一切使用代理服务器的用户终端，依据对重定向码的校验，准确地发现企图对目标服务器进行CC攻击的用户终端，而且不会影响正常用户终端的访问。另外，通过对重定向码的动态生成，增强了该方法的安全性和适用性。
以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1.一种防范CC攻击的方法，其特征在于，包括以下步骤安全设备接收到向被保护设备发送的请求报文时，向所述请求报文的发送方设备发送重定向报文；所述安全设备接收所述发送方设备根据所述重定向报文发送的响应报文，并根据所述响应报文确定所述请求报文是否为攻击报文。
2.如权利要求1所述防范CC攻击的方法，其特征在于，所述重定向报文中携带重定向码，所述重定向码为固定码或动态生成码。
3.如权利要求1所述防范CC攻击的方法，其特征在于，所述安全设备在预定的时间内未收到所述响应报文时，确定所述请求报文为攻击报文，并丢弃所述请求报文。
4.如权利要求2所述防范CC攻击的方法，其特征在于，所述安全设备接收到所述响应报文，且所述响应报文携带的重定向码与所述重定向报文中的重定向码不一致时，确定所述请求报文为攻击报文，并丢弃所述请求报文。
5.如权利要求2所述防范CC攻击的方法，其特征在于，所述安全设备接收到所述响应报文，且所述响应报文携带的重定向码与所述重定向报文中的重定向码一致时，确定所述请求报文不是攻击报文，并将所述请求报文发送至所述被保护设备。
6.如权利要求5所述防范CC攻击的方法，其特征在于，所述安全设备向所述被保护设备发送所述请求报文后，还包括所述安全设备向所述发送方设备发送所述被保护设备对所述请求报文的响应。
7.如权利要求1或6所述防范CC攻击的方法，其特征在于，所述请求报文的发送方设备包括直接与所述安全设备连接的用户终端、或通过代理服务设备与所述安全设备连接的用户终端。
8.如权利要求7所述防范CC攻击的方法，其特征在于，所述请求报文的发送方设备为通过代理服务设备与所述安全设备连接的用户终端时，所述请求报文的发送流程为所述代理服务设备向所述安全设备转发所述用户终端发送的所述请求报文；所述重定向报文的发送流程为所述代理服务设备向所述用户终端转发所述安全设备发送的所述重定向报文；所述响应报文的发送流程为所述代理服务设备向所述安全设备转发所述用户终端根据所述重定向报文发送的响应报文。
9.如权利要求2或4或5所述防范CC攻击的方法，其特征在于，所述重定向码的动态生成方法为所述安全设备根据所述请求报文请求的内容、与所述请求报文的发送方设备的网络连接参数生成所述重定向码；所述网络连接参数包括源IP、目的IP、源端口、目的端口、协议版本号中的一种或多种。
10.一种安全设备，其特征在于，包括重定向报文生成模块，用于在接收到发送方设备发送的请求报文时，生成重定向报文；判断模块，用于在所述发送方设备根据所述重定向报文发送响应报文时，根据所述响应报文确定所述请求报文是否为攻击报文。
11.如权利要求10所述安全设备，其特征在于，还包括重定向码生成模块，用于生成所述重定向报文生成模块生成重定向报文时所需的重定向码；接收模块，用于接收发送方设备发送的所述请求报文并转发给所述重定向报文生成模块，接收发送方设备发送的所述响应报文并转发给所述判断模块；发送模块，用于向发送所述请求报文的发送方设备发送所述重定向报文生成模块生成的重定向报文，并在所述判断模块判断所述请求报文不是攻击报文时，将所述请求报文转发给被保护设备。
全文摘要
本发明公开了一种防范CC攻击的方法，包括以下步骤安全设备接收到向被保护设备发送的请求报文时，向请求报文的发送方设备发送重定向报文；安全设备接收发送方设备根据重定向报文发送的响应报文，并根据响应报文确定请求报文是否为攻击报文。本发明还公开了一种防范CC攻击的安全设备。通过使用本发明，可以有效防范CC攻击，依据对重定向码的校验，准确地发现企图对目标服务器进行CC攻击的用户终端，而且不会影响正常用户终端的访问。
文档编号H04L1/00GK101030889SQ20071009029
公开日2007年9月5日 申请日期2007年4月18日 优先权日2007年4月18日
发明者王松波, 欧珊瑚 申请人:杭州华为三康技术有限公司