Cc攻击的动态防御方法和系统的制作方法
【专利摘要】本发明公开了一种CC攻击的动态防御方法和系统,解决现有方式存在的弊端,及时并准确地防御CC攻击,在出现误杀时可以迅速纠错。其技术方案为:接收HTTP请求;统计请求IP在一段时间内的访问次数;根据统计结果得到防攻击阈值;根据防攻击阈值检测是否被攻击,若被攻击则拒绝访问,若没有被攻击则正常访问。
【专利说明】CC攻击的动态防御方法和系统
【技术领域】
[0001]本发明涉及CC (Challenge Collapsar)攻击防御方法,尤其涉及内容分发网络(⑶N)中的CC攻击防御方法。
【背景技术】
[0002]CC (Challenge Collapsar)攻击的原理是对一些消耗资源较高的页面不断发起正常的请求,达到消耗服务端资源,造成服务器无法进行正常连接。CC攻击发生在TCP协议三次握手完成之后,可以看成应用层的DDOS (Distributed Denial of Service)攻击。
[0003]屏蔽发起攻击的IP是防御CC攻击的一种方式,在发现一个IP在一段时间内的访问特征(如次数、流量等)超过阈值时,屏蔽此IP,使其不能继续访问。CC攻击的屏蔽IP防御方式具体有两种实现方式:
[0004](I)对访问日志进行统计分析,计算出防攻击阈值,使用该阈值抵御攻击;
[0005](2)不统计日志,直接配置防攻击阈值,使用该阈值抵御攻击。
[0006]根据日志分析设置阈值方式的弊端是:汇总、分析日志需要一定的时间,不能及时计算出相应的阈值,延长了受攻击的时间。
[0007]配置阈值方式的弊端是:比较难确定适当的阈值,导致抵御不住攻击或者出现误杀的情况。
[0008]此外,以上两种方式在出现误杀的情况下都不能快速恢复用户的访问。
【发明内容】
[0009]本发明的目的在于解决上述问题,提供了一种CC攻击的动态防御方法和系统,解决现有方式存在的弊端,及时并准确地防御CC攻击,在出现误杀时可以迅速纠错。
[0010]本发明的技术方案为:本发明揭示了一种CC攻击的动态防御方法,包括:
[0011]接收HTTP请求;
[0012]统计请求IP在一段时间内的访问次数;
[0013]根据统计结果得到防攻击阈值;
[0014]根据防攻击阈值检测是否被攻击,若被攻击则拒绝访问,若没有被攻击则正常访问。
[0015]根据本发明的CC攻击的动态防御方法的一实施例,在防攻击阈值检测的步骤之前还包括:
[0016]检测请求是否在黑/白名单中,若在黑名单中则拒绝访问,若在白名单中则正常访问发送响应。
[0017]根据本发明的CC攻击的动态防御方法的一实施例,黑名单和白名单通过以下步骤来调整:
[0018]监听动态配置服务端口 ;
[0019]接收黑名单和白名单的动态配置请求;[0020]根据请求类型处理,若为增加或删除名单,则进行黑名单和白名单的调整,若为查看名单则输出黑名单和白名单,处理完成后发送响应。
[0021]根据本发明的CC攻击的动态防御方法的一实施例,黑名单和白名单的有效期通过以下步骤来检测:
[0022]逐条检查每条黑名单和白名单的配置的有效性;
[0023]删除过期的配置。
[0024]本发明还揭示了一种CC攻击的动态防御系统,包括:
[0025]请求接收装置,接收HTTP请求;
[0026]请求统计装置,统计请求IP在一段时间内的访问次数;
[0027]阈值获取装置,根据统计结果得到防攻击阈值;
[0028]检测处理装置,根据防攻击阈值检测是否被攻击,若被攻击则拒绝访问,若没有被攻击则正常访问。
[0029]根据本发明的CC攻击的动态防御系统的一实施例,在检测处理装置之前还包括:
[0030]名单检测装置,检测请求是否在黑/白名单中,若在黑名单中则拒绝访问,若在白名单中则正常访问发送响应。
[0031]根据本发明的CC攻击的动态防御系统的一实施例,名单检测装置还包括名单调整模块,其中名单调整模块进一步包括:
[0032]监听单元,监听动态配置服务端口 ;
[0033]配置请求接收单元,接收黑名单和白名单的动态配置请求;
[0034]动态配置单元,根据请求类型处理,若为增加或删除名单,则进行黑名单和白名单的调整,若为查看名单则输出黑名单和白名单,处理完成后发送响应。
[0035]根据本发明的CC攻击的动态防御系统的一实施例,名单检测装置还包括有效期检测模块,其中有效期检测模块进一步包括:
[0036]有效性检查单元,逐条检查每条黑名单和白名单的配置的有效性;
[0037]过期配置删除单元,删除过期的配置。
[0038]本发明对比现有技术有如下的有益效果:本发明根据对访问情况的统计结果动态确定阈值,根据此动态阈值进行防攻击处理,也可根据可以动态配置的黑名单和白名单来拦截CC攻击。相较于传统技术,本发明可以实时调整适当的阈值,避免抵御不住攻击或者出现错杀的情况。
【专利附图】
【附图说明】
[0039]图1示出了本发明的CC攻击的动态防御方法的第一实施例的流程图。
[0040]图2示出了本发明的CC攻击的动态防御方法的第二实施例的流程图。
[0041]图3示出了本发明的动态配置黑/白名单的流程图。
[0042]图4示出了本发明的定期检测黑/白名单有效性的流程图。
[0043]图5不出了本发明的CC攻击的动态防御系统的第一实施例的原理图。
[0044]图6示出了本发明的CC攻击的动态防御系统的第二实施例的原理图。
[0045]图7示出了本发明的名单调整模块的细化原理图。
[0046]图8示出了本发明的有效期检测模块的细化原理图。【具体实施方式】
[0047]下面结合附图和实施例对本发明作进一步的描述。
[0048]CC攻击的动态防御方法的第一实施例
[0049]图1示出了本发明的CC攻击的动态防御方法的第一实施例的流程。请参见图1,本实施例的动态防御方法的实施步骤详述如下。
[0050]步骤SlO:接收HTTP请求。
[0051]步骤Sll:统计请求IP在一段时间内的访问次数。
[0052]在提供HTTP服务的服务器(如Nginx等)或代理服务器(如Squid等)软件中进行动态统计和分析。
[0053]步骤S12:根据统计结果得到防攻击阈值。
[0054]例如通过峰值比例等计算方法动态确定防攻击阈值。
[0055]步骤S13:根据防攻击阈值检测是否受到攻击,若被攻击则拒绝访问,若没有被攻击则正常处理请求并发送响应。
[0056]CC攻击的动态防御方法的第二实施例
[0057]图2示出了本发明的CC攻击的动态防御方法的第二实施例的流程。请参见图2,本实施例的动态防御方法的实施步骤详述如下。
[0058]步骤S20:接收HTTP请求。
[0059]步骤S21:统计请求IP在一段时间内的访问次数。
[0060]在提供HTTP服务的服务器(如Nginx等)或代理服务器(如Squid等)软件中进行动态统计和分析。
[0061]步骤S22:根据统计结果得到防攻击阈值。
[0062]例如通过峰值比例等计算方法动态确定防攻击阈值。
[0063]步骤S23:检测请求是否在黑/白名单中,若在黑名单中的URL和IP则直接进行拦截,拒绝访问,若在白名单中的URL和IP则正常处理请求并发送响应。
[0064]黑/白名单是可以动态配置的,对服务器软件增加动态配置接口,外部系统可以通过此动态配置接口向服务器软件发送IP及URL的黑名单和白名单的动态配置,包括动态增加、动态删除和查询等。
[0065]具体的配置流程请参见图3,首先监听动态配置服务端口 ;然后接收黑名单和白名单的动态配置请求;最后根据请求类型处理,若为增加或删除名单,则进行黑名单和白名单的调整,若为查看名单则将黑名单和白名单输出为文本,处理完成后发送响应给外部系统,以表示执行成功或失败。
[0066]外部系统发送的黑/白名单动态配置具有过期时间,过期之后会自动失效。如图4所示,首先逐条检查每条黑名单和白名单的配置的有效性,然后删除过期的配置。
[0067]步骤S24:根据防攻击阈值检测是否受到攻击,若被攻击则拒绝访问,若没有被攻击则正常处理请求并发送响应。
[0068]CC攻击的动态防御系统的第一实施例
[0069]图5示出了本发明的CC攻击的动态防御系统的第一实施例的原理,请参见图5,本实施例的CC攻击的动态防御系统包括:请求接收装置10、请求统计装置11、阈值获取装置12、检测处理装置13。
[0070]请求接收装置10的输出端连接请求统计装置11,请求统计装置11的输出端连接阈值获取装置12,阈值获取装置12的输出端连接检测处理装置13。
[0071]请求接收装置10接收HTTP请求。请求统计装置11统计请求IP在一段时间内的访问次数,在提供HTTP服务的服务器(如Nginx等)或代理服务器(如Squid等)软件中进行动态统计和分析。阈值获取装置12根据统计结果得到防攻击阈值,例如通过峰值比例等计算方法动态确定防攻击阈值。检测处理装置13根据防攻击阈值检测是否被攻击,若被攻击则拒绝访问,若没有被攻击则正常处理请求并发送响应。
[0072]CC攻击的动态防御系统的第二实施例
[0073]图6示出了本发明的CC攻击的动态防御系统的第二实施例的原理,请参见图6,本实施例的CC攻击的动态防御系统包括:请求接收装置20、请求统计装置21、阈值获取装置22、名单检测装置23、检测处理装置24。
[0074]请求接收装置20的输出端连接请求统计装置21,请求统计装置21的输出端连接阈值获取装置22,阈值获取装置22的输出端连接名单检测装置23,名单检测装置23的输出端连接检测处理装置24。
[0075]请求接收装置20接收HTTP请求。请求统计装置21统计请求IP在一段时间内的访问次数,在提供HTTP服务的服务器(如Nginx等)或代理服务器(如Squid等)软件中进行动态统计和分析。阈值获取装置22根据统计结果得到防攻击阈值,例如通过峰值比例等计算方法动态确定防攻击阈值。名单检测装置23检测请求是否在黑/白名单中,若在黑名单中的URL和IP则直接进行拦截,拒绝访问,若在白名单中的URL和IP则正常处理请求并发送响应。检测处理装置24根据防攻击阈值检测是否被攻击,若被攻击则拒绝访问,若没有被攻击则正常处理请求并发送响应。
[0076]黑/白名单是可以动态配置的,对服务器软件增加动态配置接口,外部系统可以通过此动态配置接口向服务器软件发送IP及URL的黑名单和白名单的动态配置,包括动态增加、动态删除和查询等。因此名单检测装置23还包括名单调整模块3,如图7所示包括监听单元31、配置请求接收单元32、动态配置单元33。监听单元31监听动态配置服务端口。配置请求接收单元32接收黑名单和白名单的动态配置请求。动态配置单元33根据请求类型处理,若为增加或删除名单,则进行黑名单和白名单的调整,若为查看名单则将黑名单和白名单输出为文本,处理完成后发送响应给外部系统,以表示执行成功或失败。
[0077]外部系统发送的黑/白名单动态配置具有过期时间,过期之后会自动失效。如图8所示,名单检测装置23还包括有效期检测模块4,其中有效期检测模块进一步包括有效性检查单元41和过期配置删除单元42。有效性检查单元41逐条检查每条黑名单和白名单的配置的有效性。过期配置删除单元42删除过期的配置。
[0078]上述实施例是提供给本领域普通技术人员来实现和使用本发明的,本领域普通技术人员可在不脱离本发明的发明思想的情况下,对上述实施例做出种种修改或变化,因而本发明的保护范围并不被上述实施例所限,而应该是符合权利要求书所提到的创新性特征的最大范围。
【权利要求】
1.一种CC攻击的动态防御方法,包括: 接收HTTP请求; 统计请求IP在一段时间内的访问次数; 根据统计结果得到防攻击阈值; 根据防攻击阈值检测是否被攻击,若被攻击则拒绝访问,若没有被攻击则正常访问。
2.根据权利要求1所述的CC攻击的动态防御方法,其特征在于,在防攻击阈值检测的步骤之前还包括: 检测请求是否在黑/白名单中,若在黑名单中则拒绝访问,若在白名单中则正常访问发送响应。
3.根据权利要求2所述的CC攻击的动态防御方法,其特征在于,黑名单和白名单通过以下步骤来调整: 监听动态配置服务端口; 接收黑名单和白名单的动态配置请求; 根据请求类型处理,若为增加或删除名单,则进行黑名单和白名单的调整,若为查看名单则输出黑名单和白名单,处理完成后发送响应。
4.根据权利要求2所述的CC攻击的动态防御方法,其特征在于,黑名单和白名单的有效期通过以下步骤来检测: 逐条检查每条黑名单和白名单的配置的有效性; 删除过期的配置。
5.一种CC攻击的动态防御系统,包括: 请求接收装置,接收HTTP请求; 请求统计装置,统计请求IP在一段时间内的访问次数; 阈值获取装置,根据统计结果得到防攻击阈值; 检测处理装置,根据防攻击阈值检测是否被攻击,若被攻击则拒绝访问,若没有被攻击则正常访问。
6.根据权利要求5所述的CC攻击的动态防御系统,其特征在于,在检测处理装置之前还包括: 名单检测装置,检测请求是否在黑/白名单中,若在黑名单中则拒绝访问,若在白名单中则正常访问发送响应。
7.根据权利要求6所述的CC攻击的动态防御系统,其特征在于,名单检测装置还包括名单调整模块,其中名单调整模块进一步包括: 监听单元,监听动态配置服务端口 ; 配置请求接收单元,接收黑名单和白名单的动态配置请求; 动态配置单元,根据请求类型处理,若为增加或删除名单,则进行黑名单和白名单的调整,若为查看名单则输出黑名单和白名单,处理完成后发送响应。
8.根据权利要求6所述的CC攻击的动态防御系统,其特征在于,名单检测装置还包括有效期检测模块,其中有效期检测模块进一步包括: 有效性检查单元,逐条检查每条黑名单和白名单的配置的有效性; 过期配置删除单元,删除过期的配置。
【文档编号】H04L29/08GK103442018SQ201310425784
【公开日】2013年12月11日 申请日期:2013年9月17日 优先权日:2013年9月17日
【发明者】洪珂, 郭文强, 程豪 申请人:网宿科技股份有限公司