一种防御挑战黑洞攻击的方法及装置的制作方法

文档序号:7929717阅读:155来源:国知局
专利名称:一种防御挑战黑洞攻击的方法及装置的制作方法
技术领域
本发明涉及通讯技术,尤其涉及一种防御挑战黑洞(CC, ChallengeCollapsar)攻击的方法及装置。
背景技术
随着计算机网络技术的快速发展,企业正常运营及个人工作生活越来越依赖网络技术,而网络应用的快速发展以及网络规模的急剧膨胀,在为个人和企业带来生产经营效率的同时,也使得网络中的安全漏洞无处不在,从而给网络攻击者带来可乘之机,近年来流行的CC攻击便是网络攻击中的一种。
CC攻击是一种基于页面的分布式拒绝服务(DDoS, Distributed Denial ofService)攻击,它通过发送耗性能的超文本传输协议(HTTP, Hypertext TransferProtocol)请求HTTP GET来消耗服务器资源。攻击者主^L多次通过网络中的代理服务器向目标主机上开销比较大的页面发起HTTP请求,CC攻击的目标通常是一些要进行大量数据库查询的服务器,如游戏服务器,论坛,信息查询系统等,导致目标主机进行大量计算,很快达到处理能力极限,从而拒绝所有用户的服务请求。
现有技术中,计算目标主机发出响应报文数与目标主机收到的请求报文数间的比值,根据计算得到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击,当判断得到计算的所述比值小于预先设定的比值阈值时,则确定所述目标主机受到了 CC攻击。
在实现上述方法的过程中,发明人发现,在对服务器是否受到CC攻击的检测中,当目标主机发出的响应报文和请求报文的比值异常时,说明服务器已经被攻击一段时间,系统处于超负荷状态,因此检测时间比较长,防御具有滞后性。

发明内容
本发明实施例提供一种防御CC攻击的方法及装置,能够快速检测是否受到CC攻击,有效提高对CC攻击的防御性能。
本发明实施例提供了 一种防御黑洞攻击的方法,包括
4统计目标服务器请求队列的占用率;
当所述请求队列的占用率达到预置的第一门限值时,检测预先获取的可疑客户端是否满足阻断条件,如果满足阻断条件,则阻断所述可疑客户端向所述目标服务器发送的网页地址连接请求。
本发明实施例还提供了一种防御黑洞攻击的装置,包括
统计单元,用于统计目标服务器请求队列的占用率;
可疑客户端获取单元,用于预先获取可疑客户端;
判断单元,用于当统计得到所述请求队列的占用率高于预置的第 一 门限值时,在预先获得的可疑客户端中判断满足阻断条件的可疑客户端;
阻断单元,用于对满足阻断条件的可疑客户端向所述目标服务器发送的网页地址连接请求进行阻断。
本发明实施例通过统计目标服务器请求队列的占用率,当所述请求队列的占用率达到预置的第 一 门限值时,判断预先获取的可疑客户端是否满足阻断条件,如果满足,则阻断所述可疑客户端向所述目标服务器发送的网页地址连接请求,与现有技术相比,能够快速检测是否受到CC攻击,有效提高对CC攻击的防御性能。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前l^下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一所提供的防御CC攻击的方法流程图;图2为本发明实施例一所提供的获取可疑客户端的方法流程图;图3为本发明实施例二所提供的防御CC攻击的装置结构示意图;图4为本发明实施例二所提供的可疑客户端获取单元的结构示意图;图5为本发明实施例二所4是供的判断单元的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
参见图1,本发明实施例提供一种防御CC攻击的方法,该方法包括步骤101:统计目标服务器请求队列的占用率;
其中,对请求队列占用率的统计可以通过实时的统计,也可以根据实际需要设置统计周期,本发明实施例对统计的周期不作限定;
步骤102:当统计得到所述请求队列的占用率高于预置的第一门限值时,向预先获得的可疑客户端发送重定向报文;
其中,所述请求队列占用率的门限值,可^^据系统处理的实际情况预先灵活设置,例如,设置所述请求队列的占用率达到90%时,就对预先获取的可疑客户端是否满足阻断条件进行判断;
其中,所述的可疑客户端通常指可能正在发起CC攻击的客户端;
通常客户在访问互联网某个站点时,依次请求的页面之间具有一定的关联性,例如客户端在与互联网站点建立连接后,首先访问该站点的首页,接着通过首页上的链接访问该站点的其他页面,包括耗费系统资源的页面,如动态搜索页面,不通过互联网上站点的首页或一些一级路径而直接访问耗费系统资源的页面非常少,因此,参见图2,我们根据这一特性,在确定可疑客户端时,可通过以下方法
步骤21:记录客户端第一次向目标服务器请求的网页地址;
其中,所述的客户端第一次向目标服务器请求的网页地址,可以是所述客户端在与所述目标服务器建立连接后所发起第一个请求的网页地址;
为提高判断可疑客户端的可靠性,在定义客户端在访问某个站点的第 一个请求时,还可根据用户的访问情况,设定预置的时间内所出现的客户端发送的第一个网页地址请求作为该客户端此次访问目标服务器的第一个请求;此方法判断可疑客户端,可设定一个表格,表格中包括客户端的IP地址及与之对应的第一个请求的网页地址,如果表格中的客户端在预置的时间内没有向服务器发送数据包,则将该客户端从表格中删除;当出现新的客户端向目标服务器发送网页地址连4妻请求,则将该客户端的IP地址和该第 一次请求的网页地址添加到表格中;
步骤22:判断所述客户端第一次向目标服务器请求连接的网页为预先定义的消耗系统资源的网页时,确定该客户端为可疑客户端;
其中,所述预先定义的消耗系统资源的网页可以包括带搜索的动态网页
等;
鉴于进行CC攻击的主机是通过持续不断地向目标主机发送耗性能的请求报文来消耗目标主机的资源,其发出的请求报文数比合法主机要多,本实施例中,确定可疑客户端还可以通过统计客户端收到的响应才艮文数与客户端发出的
请求报文数的比值来确定。当目标主机遭受cc攻击时,目标主机发出的响应
报文数与目标主机收到的请求报文数的比值会变小,同样,客户端收到的响应报文数与客户端发出的请求报文数的比值同样会变小,并且客户端发出的请求报文数越多,其收到的响应报文数与发出的请求报文数的比值就越小。因此,可以通过统计客户端收到的响应报文数与客户端发出的请求报文数的比值,当所述比值低于预置的第二门限值,确定该客户端为发出恶意流量的可疑客户
端;所述第二门限值可根据系统承载资源的能力大小而预先设置,具体数值不做限定。
本发明实施例不对确定可疑客户端的方法进行限定,确定可疑客户端的方法在此不——赘述;
步骤103:检查可疑客户端对重定向报文所响应的重定向码,对重定向码响应错误或在预置的时间内没有响应的可疑客户端的网页地址连接请求进行阻断;
所述可疑客户端对重定向报文的响应形式,本发明实施例不作限定;本发明实施例还可包括
步骤104:所述目标服务器的请求队列占用率低于所述预置的第一门限值时,则取消对所述可疑客户端的重定向机制及对所述可疑客户端的阻断机制;
在实际操作中,当目标服务器的请求队列的占用率超过预置的门限值是由正常用户的连接请求导致的情况时,则可随机丢弃一些耗费系统资源的连接请求才艮文,如一些动态页面;
需要注意的是,本发明实施例中,当目标服务器的请求队列占用率高于预置的第一门限值时,对满足阻断条件的可疑客户端,均可阻断其向所述目标服务器发送的网页地址连接请求。其中,判断所述的阻断条件可以通过本实施例中采用的重定向方法,可疑客户端响应错误或者在预置的时间内没有响应的可
疑客户端视为满足阻断条件的可疑客户端;此外,也可根据当所述可疑客户端发送的报文数和接收的报文数之间的比值低于预置的第三门限值时,将其视为满足阻断条件的可疑客户端;
其中,对满足阻断条件的设定可根据需要灵活设置,本实施例不对其作限定。
本发明实施例通过统计目标服务器请求队列的占用率,当所述请求队列的占用率达到预置的第一门限值时,判断预先获取的可疑客户端是否满足阻断条件,如果满足,则阻断所述可疑客户端向所述目标服务器发送的网页地址连接请求,与现有技术相比,能够快速检测是否受到CC攻击,有效提高对CC攻击的防御性能。
实施例二
参见图3,本发明实施例还提供一种防御CC攻击的装置,该装置可以包括统计单元301,可疑客户端获取单元302,判断单元303,阻断单元304;统计单元301 ,用于统计目标服务器请求队列的占用率;其中,对请求队列占用率的统计可以通过实时的统计,也可以根据实际需要设置统计周期,本发明实施例对统计的周期不作限定;可疑客户端获取单元302,用于预先获取可疑客户端;其中,所述的可疑客户端通常指可能正在发起CC攻击的客户端;通常客户在访问互联网某个站点时,依次请求的页面之间具有一定的关联性,例如客户端在与互联网站点建立连接后,首先访问该站点的首页,接着通过首页上的链接访问该站点的其他页面,包括耗费系统资源的页面,如动态搜索页面,不通过互联网上站点的首页或一些一级路径而直接访问耗费系统资源的页面非常少,因此,参见图4,所述可疑客户端获取单元302可以包括记录子单元3021,用于记录客户端第一次向目标服务器请求的网页地址;
其中,所述的客户端第一次向目标服务器发送的请求,可以是所述客户端 在与所述目标服务器建立连接后发起的第一个网页地址的请求;
为提高判断可疑客户端的可靠性,在定义客户端访问某个站点的第 一个请 求时,还可根据用户的访问情况,设定预置的时间,将该时间内所出现的客户 端发送的第一个请求作为该客户端此次访问目标服务器的第一个请求;此方法 判断可疑客户端,可通过设定一个表格,表格中包括客户端的IP地址及与之 对应的第一个请求的网页地址,如果表格中的客户端在所述的预置时间内没有 向服务器发送数据包,则将该客户端从表格中删除;当出现新的客户端向目标 服务器发送网页地址连接请求,则将该客户端的IP地址和该第一次请求的网 页地址添加到表格中;
第一判断子单元3022,用于判断所述客户端第一次向目标服务器请求连 接的网页为预先定义的消耗系统资源的网页时,确定该客户端为可疑客户端;
其中,所述预先定义的消耗系统资源的网页可以包括带搜索的动态网页
等;
需要说明的是,鉴于进行CC攻击的主机是通过持续不断地向目标主机发 送耗性能的请求报文来消耗目标主机的资源,其发出的请求报文数比合法主机 要多,本实施例中,确定可疑客户端还可以通过统计客户端收到的响应报文数 与客户端发出的请求报文数的比值来确定。当目标主机遭受CC攻击时,目标 主机发出的响应报文数与目标主机收到的请求报文数的比值会变小,同样,客 户端收到的响应报文数与客户端发出的请求报文数的比值同样会变小,并且客 户端发出的请求报文数越多,其收到的响应报文数与发出的请求报文数的比值 就越小。因此,可以通过统计客户端收到的响应报文数与客户端发出的请求报 文数的比值,当所述比值低于预置的第二门限值时,确定该客户端为发出恶意 流量的可疑客户端;
本发明实施例不对确定可疑客户端获取单元的具体结构进行限定;
判断单元303,用于当统计得到所述请求队列的占用率高于预置的第一门 限值时,在预先获得的可疑客户端中判断满足阻断条件的可疑客户端;
其中,所述请求队列占用率的门限值,可根据系统处理的实际情况预先灵活设置,例如,设置所述请求队列的占用率达到90%时,就对预先获取的可疑
客户端是否满足阻断条件进行判断;
需要注意的是,本发明实施例中,当目标服务器的请求队列占用率高于预置的第一门限值时,对满足阻断条件的可疑客户端,均可阻断其向所述目标服务器发送的网页地址连接请求。其中,所述满足阻断条件的设定可根据需要灵活设置,本实施例不对其作限定,参见图5,以向可疑客户端采用重定向机制为例,所述判断单元303可以包括
的网页地址连4妻请求;
重定向单元3032,用于向所述的可疑客户端发送重定向报文,并接收所述可疑客户端对所述重定向报文的响应;
第二判断子单元3033,用于检查可疑客户端对重定向报文的响应,将响应错误或在预置的时间内没有响应的可疑客户端视为满足阻断条件的可疑客户端;
其中,在确定满足阻断条件的可疑客户端除了本实施例提供的判断单元303所采用的重定向方法外,也可根据所述可疑客户端发送的报文数和接收的报文数之间的比值低于预置的第三门限值时,将其视为满足阻断条件的可疑客户端;确定满足阻断条件的可疑客户端的方法在此不——赘述;
阻断单元304,用于对满足阻断条件的可疑客户端向所述目标服务器发送的网页地址连接请求进行阻断;
本发明实施例中,所述判断单元303,还可用于当所述目标服务器的请求队列占用率低于所述预置的第一门限值时,则取消对所述可疑客户端的重定向才几制;
所述阻断单元304,还可用于当所述目标服务器的请求队列占用率低于所述预置的第一门限值时,取消对所述可疑客户端的阻断机制。
本发明实施例通过统计目标服务器请求队列的占用率,当所述请求队列的占用率达到预置的第一门限值时,判断预先获取的可疑客户端是否满足阻
址连接请求,与现有技术相比,能够快速检测是否受到CC攻击,有效提高对
10CC攻击的防御性能。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述程序可以存储在计算机可读取
存储介质中,所述存储介质为ROM/RAM、磁碟、光盘等。
以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
权利要求
1、一种防御黑洞攻击的方法,其特征在于,包括统计目标服务器请求队列的占用率;当所述请求队列的占用率达到预置的第一门限值时,检测预先获取的可疑客户端是否满足阻断条件,如果满足阻断条件,则阻断所述可疑客户端向所述目标服务器发送的网页地址连接请求。
2、 根据权利要求1所述的防御黑洞攻击的方法,其特征在于,所述判 断预先获取的可疑客户端是否满足阻断条件,包括拦截所述预先获取的可疑客户端向目标服务器发送的网页地址连接请求;对所述的预先获取的可疑客户端发送重定向报文;检查所述预先获取的可疑客户端对所述重定向报文的响应,若所述响应 错误或者在预置的时间内所述可疑客户端没有响应重定向报文,则满足阻断 条件。
3、 根据权利要求1或2所述的防御黑洞攻击的方法,其特征在于,所 述预先获得的可疑客户端包括第 一次向所述目标服务器请求访问的网页为 预先定义的耗费资源网页的客户端。
4、 根据权利要求1或2所述的防御黑洞攻击的方法,其特征在于,所 述预先获得的可疑客户端包括在预置的时间内第一次向所述目标服务器请 求访问的网页为预先定义的耗费资源的网页的客户端。
5、 根据权利要求1或2所述的防御黑洞攻击的方法,其特征在于,该 方法还包括所述目标服务器的请求队列占用率低于所述预置的第一 门限值时,则取 消对所述可疑客户端的重定向机制及阻断机制。
6、 一种防御黑洞攻击的装置,其特征在于,包括 统计单元,用于统计目标服务器请求队列的占用率; 可疑客户端获:f又单元,用于预先获取可疑客户端;判断单元,用于当统计得到所述请求队列的占用率高于预置的第 一 门限 值时,在预先获得的可疑客户端中判断满足阻断条件的可疑客户端;阻断单元,用于将满足阻断条件的可疑客户端向所述目标服务器发送的网页地址连接请求进行阻断。
7、 根据权利要求6所述的防御黑洞攻击的装置,其特征在于,所述可 疑客户端获取单元,包括记录子单元,用于记录客户端第一次向目标服务器发送的网页地址连接请求;第一判断子单元,用于判断所述客户端第一次向目标服务器请求连接的 网页为预先定义的消耗系统资源的网页时,确定该客户端为可疑客户端。
8、 根据权利要求6或7所述防御黑洞攻击的装置,其特征在于,所述 判断单元包括的网页地址连接请求;重定向单元,用于向所述的可疑客户端发送重定向报文,并接收所述可 疑客户端对所述重定向报文的响应;第二判断子单元,用于^r查可疑客户端对重定向才艮文的响应,将响应错误或在预置的时间内没有响应的可疑客户端视为满足阻断条件的可疑客户 端。
9、 根据权利要求6或7所述的防御黑洞攻击的装置,其特征在于 所述判断单元,还用于,当所述目标服务器的请求队列占用率低于所述预置的第 一 门限值时,则取消对所述可疑客户端的重定向机制;所述阻断单元,还用于,当所述目标服务器的请求队列占用率低于所述 预置的第一门卩艮值时,取消对所述可疑客户端的阻断机制。
全文摘要
本发明实施例公开了一种防御挑战黑洞攻击的方法及装置,通过统计目标服务器请求队列的占用率,当所述请求队列的占用率达到预置的第一门限值时,判断预先获取的可疑客户端是否满足阻断条件,如果满足,则阻断所述可疑客户端向所述目标服务器发送的网页地址连接请求,与现有技术相比,能够快速检测是否受到挑战黑洞攻击,有效提高对挑战黑洞攻击的防御性能。
文档编号H04L29/06GK101478540SQ20081024223
公开日2009年7月8日 申请日期2008年12月31日 优先权日2008年12月31日
发明者烜 张, 张进军, 莉 杨, 谷勇浩 申请人:成都市华为赛门铁克科技有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1