Cdn流量放大攻击的防御方法及装置制造方法

Cdn流量放大攻击的防御方法及装置制造方法
【专利摘要】本发明公开了一种CDN流量放大攻击的防御方法及装置。其中的方法包括：接收连接请求消息，计算连接请求的最优路径跳数；通过至少一个CDN节点对所述连接请求消息进行转发；在所述连接请求消息每次经过一个CDN节点时，对所述连接请求消息头中的跳数累计字段计数；判断所述跳数累计字段的值是否超过所述最优路径跳数，如果是，确定存在CDN流量放大攻击，对所述连接请求消息进行相应处理，如果否，则对所述连接请求消息继续转发。可见，本发明通过对http协议报文简单的改造，即仅增加一个跳数累计字段，即可实现跳数的统计，当跳数值超过最优路径跳数时，则可容易地确定发生了CDN流量放大攻击。
【专利说明】CDN流量放大攻击的防御方法及装置【技术领域】
[0001]本发明涉及网络安全【技术领域】，具体涉及一种CDN流量放大攻击的防御方法及装置。
【背景技术】
[0002]Q)N(内容分发网络,Content Delivery Network),通过在网络各处的加速节点服务器来为网站抵挡恶意流量，把正常流量进行转发。CDN —般有三个作用:跨运营商加速、缓存加速以及恶意流量过滤。
[0003]目前存在一种攻击，不是对保护的网站进行攻击，而是对提供网站服务的服务节点进行攻击。CDN流量放大攻击就属于这样一种对CDN节点进行攻击的方式，它的原理是，在请求消息中通过伪装目的地址而使请求消息在CDN节点发生死循环。例如，CDN节点接收到一条post请求消息后,会解析获知目的地址，例如要请求访问域名WWW, baidu.com,正常情况下CDN节点会将消息发送给www.baidu.com对应的目的地址,此时,如果通过攻击手段将post请求消息中的目的地址进行修改，修改为⑶N节点本身的地址，那么，在此情况下，CDN节点会将消息一直发给自身。可见，CDN流量放大攻击利用一个请求消息就可以在CDN节点造成死循环，将流量放大了很多倍。
[0004]现有对CDN流量放大攻击的防御方法是，通过http消息自带的字段(X-Forwarded-For字段)可以获知请求消息经过的路径，现有的防御方法就是通过检测路径中的某个IP是否循环(重复)，如果循环，则确定发生了 CDN流量放大攻击，继而对数据包进行丢弃等处理。这种防御方法中，在每次请求到来时，都需要进行http解析，并通过复杂的计算才能获知某个IP循环次数，消耗的网络资源多，代价高。

【发明内容】

`[0005]鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的CDN流量放大攻击的防御方法及装置。
[0006]依据本发明的一个方面，提供一种CDN流量放大攻击的防御方法，包括:接收连接请求消息，计算连接请求的最优路径跳数；通过至少一个CDN节点对所述连接请求消息进行转发；在所述连接请求消息每次经过一个CDN节点时，对所述连接请求消息头中的跳数累计字段计数；判断所述跳数累计字段的值是否超过所述最优路径跳数，如果是，确定存在CDN流量放大攻击，对所述连接请求消息进行相应处理，如果否，则对所述连接请求消息继续转发。
[0007]优选的，所述跳数累计字段是在http协议报文头部增加的字段。
[0008]优选的，所述在连接请求消息每次经过一个CDN节点时、对连接请求消息头中的跳数累计字段计数包括:
[0009]优选的，在连接请求消息每次经过一个CDN节点时，将连接请求消息头中的跳数累计字段的数值加I。[0010]优选的，所述计算连接请求的最优路径跳数包括:计算连接请求到源站的最短路径所经过的CDN节点次数。
[0011]优选的，所述对连接请求消息进行相应处理包括:丢弃所述连接请求消息。
[0012]优选的,所述连接请求包括http连接的get请求和post请求。
[0013]依据本发明的另一个方面，提供一种CDN流量放大攻击的防御装置，包括:消息接收单元，用于接收连接请求消息；最优路径计算单元，用于计算连接请求的最优路径跳数；消息处理单元，用于对所述连接请求消息进行转发或丢弃处理，其中，所述连接请求消息经过至少一个CDN节点转发；跳数累计单元,用于在所述连接请求消息每次经过一个CDN节点时，对所述连接请求消息头中的跳数累计字段计数；判断单元，用于判断所述跳数累计字段的值是否超过所述最优路径跳数，如果是，确定存在CDN流量放大攻击，通过所述消息处理单元对所述连接请求消息进行相应处理，如果否，则通过所述消息处理单元对所述连接请求消息继续转发。
[0014]优选的，所述跳数累计字段是在http协议报文头部增加的字段。
[0015]优选的，所述跳数累计单元具体用于在连接请求消息每次经过一个CDN节点时，将连接请求消息头中的跳数累计字段的数值加I。
[0016]优选的，所述最优路径计算单元具体用于计算连接请求到源站的最短路径所经过的CDN节点次数。
[0017]优选的，当所述判断单元确定存在CDN流量放大攻击，通过所述消息处理单元丢弃所述连接请求消息。
[0018]优选的,所述连接请求包括http连接的get请求和post请求。
[0019]可见，本发明通过对http协议报文简单的改造，即仅增加一个跳数累计字段，即可实现跳数的统计，当跳数值超过最优路径跳数时，则可容易地确定发生了 CDN流量放大攻击。相比于现有的通过http协议的X-Forwarded-For字段防御方式,无需进行协议解析及拆分而获得IP地址，也无需通过复杂的计算方式获知该IP的循环次数，从而简化流程，节省系统开销。
[0020]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。
【专利附图】

【附图说明】
[0021]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0022]图1示出了根据本发明一个实施例的CDN流量放大攻击的防御方法流程图。
【具体实施方式】
[0023]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0024]如前所述的，⑶N通过在网络各处的加速节点服务器来为网站抵挡恶意流量，把正常流量进行转发。
[0025]⑶N —般有三个作用:
[0026]1.跨运营商加速:一个网站常常只属于一个运营商(比如:电信)，而加速节点遍布每家运营商，于是和网站不同运营商(比如:联通)的用户访问起来就不会那么慢了。
[0027]2.缓存加速:很多的静态资源以及一部分页面更新都是比较慢的(比如首页)，这个时候⑶N就会根据浏览器的max-age和last-modif ied值以及管理员的预设值来进行缓存，于是很多流量CDN节点就不会每次都来向网站请求，CDN节点可以直接将命中的缓存内容返回。
[0028]3.恶意流量过滤:这是⑶N非常重要的一个作用，也是很多网站会用⑶N的原因，因为CDN能为网站抵挡攻击大流量攻击、普通的攻击(比如注入等)，只有正常流量才会转发给网站。
[0029]名词说明:
[0030]源站:被保护的网站就被称为是源站，也就是要访问的网站。
[0031]反向代理:⑶N节点向源站请求数据的方式就叫反向代理，也就是上文所说的转发。
[0032]回源:CDN节点向源站请求数据的行为就叫做回源。
[0033]X-Forwarded-For 机制:X-Forwarded_For 是 http 协议自带的字段，X-Forwarded-For机制是通过一层代理后记录一个IP,让源站在使用⑶N后能够获得真实的访客IP而不是CDN节点IP。
[0034]下面探讨⑶N流量放大攻击的原理及实现。
[0035]例如，发现一个没有人访问的网站居然会有流量，并且有着惊人的访问次数。
[0036]通过CDN节点定期的(例如2分钟)反向代理检测，检测到的访问次数加起来为几百次，而实际访问次数达到百万次。通过查看日志，可发现单个域名的日志到达了几十G之多，而将其打开之后发现X-Forwarded-For字段中充斥着大量IP，而且都是本服务器IP。通过在管理端上验证可以得知把源站IP设成了⑶N节点的IP。由于2分钟一次的检测触发CDN节点的回源，而这个站点的源站是CDN节点本身，于是CDN就开始不断自身反向代理死循环，这样一个请求就被无限地放大了。当超时或者数据头(HEADER)太大(就是X-Forwarded-For字段导致HEADER溢出)的时候,请求会被丢弃。
[0037]把站点的源站IP设为CDN节点本身，能够让CDN节点进行自我的反向代理死循环，然后放大流量。
[0038]于是可总结，这种节点反向代理自身的攻击手法可以适用于这样的场景:想要攻击某个CDN节点，但是如果攻击页面消耗不了太多，而如果攻击CDN中的某个站点，因为流量会穿透过去，可能还没有把CDN节点攻击掉，背后的站点早被穿透死了。这个时候，如果让节点进行自身反向代理死循环，它就会把所有的流量给吃进去，并且没法吐出来，这个时候可以产生一定量的流量杠杆效应，可以使得CDN节点出现异常。
[0039]同理，既然一个节点能死循环，那两个节点也是会产生死循环，并且产生了质的变化。[0040]假设了这样的一个场景:
[0041]假设一个攻击(例如cc攻击)在甲⑶N服务商注册服务，并且在乙⑶N服务商注册服务，然后得到甲⑶N服务商的一个⑶N加速节点1.1.1.1，然后又得到乙⑶N服务商的一个⑶N加速节点2.2.2.2。然后，攻击方把在甲⑶N服务商设置源站为乙的加速节点
2.2.2.2，在乙⑶N服务商设置源站为甲的加速节点1.1.1.1，然后甲会问乙去索取源站，乙又来问甲索取源站，于是1.1.1.1和2.2.2.2就不停地交互起来。
[0042]以POST包作为测试包，原因有两个:
[0043]1.⑶N节点是会有缓存机制的，刚刚请求的地址命中缓存，那么就直接返回，不会成为死循环了，而POST包则有一个很好的特性，绝对回源。
[0044]2.POST包可以扩大体积，在同等连接数的情况下让攻击效应更加明显。
[0045]例如，测试发送500个POST包，每个体积大概为IOk左右。然后总共发送的流量为5M。
[0046]这一种攻击方式和前一种相比有两个“优点”:
[0047]1.⑶N服务商不能把源站IP做限制来防御，因为他无法知道别家的⑶N节点IP。
[0048]2.可以用一家⑶N服务商的⑶N节点来打另外一家⑶N服务商。
[0049]同理，一个站点可以把两个节点陷入死循环，如果把更多的节点引入是否同样会引起死循环。
[0050]假设，让多个⑶N节点和一个⑶N节点死循环，把中间的⑶N节点带宽耗尽。毕竟在CDN服务商添加一个域名的代价是很小的(免费)，因此，可以用一个一个域名将节点串起来，然后突然一下开始流量死循环震荡。
[0051]通过以上描述，了解了⑶N流量放大攻击的原理及实现方式。本发明提出的防御方法，针对一条连接，统计它的连接消息经过CDN节点的跳数，当统计的跳数值超过最优路径跳数时，确定发生了 CDN流量放大攻击，然后对数据包进行丢弃等处理。
[0052]参见图1，为CDN流量放大攻击的防御方法流程图。该方法包括以下步骤:
[0053]SlOl:接收连接请求消息,计算连接请求的最优路径跳数；
[0054]S102:通过至少一个⑶N节点对连接请求消息进行转发；
[0055]S103:在连接请求消息每次经过一个⑶N节点时，对连接请求消息头中的跳数累计字段计数；
[0056]S104:判断跳数累计字段的值是否超过最优路径跳数，如果是，执行S105 ;如果否，执行S106 ；
[0057]S105:当跳数累计字段的值超过最优路径跳数时，确定存在CDN流量放大攻击，对连接请求消息进行相应处理；
[0058]S106:当跳数累计字段的值没有超过最优路径跳数时，确定不存在CDN流量放大攻击，则对连接请求消息继续转发。
[0059]下面以http连接请求消息的处理为例对本发明进行说明。
[0060]本领域技术人员了解，Http连接包括GET请求和POST请求。创建的步骤分别是:1、创建HttpGet (或HttpPost)对象,将要请求的URL通过构造方法传入HttpGet (或HttpPost)对象中；2、使用 DefaultHttpClient 类的 execute 方法发送 HTTP GET 或 HTTPPOST请求，并返回HttpResponse对象；3、通过HttpResponse接口的getEntity方法返回响应信息。
[0061]例如,“云服务”系统接收访问域名www.baidu.com的http连接请求消息,并对该连接请求消息进行网络拓扑计算以及相应的转发处理。假设通过网络拓扑计算，该连接请求的最优路径是“北京一成都一百度网站”，也就是该连接请求消息要经过这三地的服务节点处理转发，那么最优路径跳数就是3。正常情况下，该连接请求消息经过三地的三个CDN节点转发即可完成该连接的建立。假设此时出现了 CDN流量放大攻击，该连接请求消息被攻击方通过将源站地址修改为某个/些⑶N节点地址的方式在这个/些节点之间循环发送，从而造成了死循环，占用系统资源。本发明提出，在http协议报文头中增加一个字段，称为跳数累计字段，用于专门针对一条连接对其请求消息所经过的跳数进行统计。如上场景，当发生了 CDN流量放大攻击而使得连接请求消息在某个/些CDN节点不停循环时，当跳数累计字段累加到4，即超过最优路径跳数3时，本发明即自动判断出CDN流量放大攻击，此时，可对消息进行丢弃等处理，从而避免继续浪费系统资源。假如跳数累计字段没有超过最优路径跳数，则对消息进行继续的转发等处理。本发明提供的方法对于上面列举的单个CDN攻击、多个CDN攻击以及服务商交互式的CDN攻击都适用，因为不论这三种方式中的哪一种，都是对本系统的CDN节点过多过少地(交互式CDN攻击只对本系统造成一部分流量放大)造成了死循环，那么通过跳数统计及判断，即可在超过最优跳数门限制时确定是否发生了 CDN流量放大攻击。其中，此处是假设每个地方由一个CDN节点，并且这三个CDN节点的关系是平等的“兄弟”节点关系，当然对于每个地方CDN节点的布置不作限制。
[0062]可见，本发明通过对http协议报文简单的改造，即仅增加一个跳数累计字段，即可实现跳数的统计，当跳数值超过最优路径跳数时，则可容易地确定发生了 CDN流量放大攻击。相比于现有的通过http协议的X-Forwarded-For字段防御方式,无需进行协议解析及拆分而获得IP地址，也无需通过复杂的计算方式获知该IP的循环次数，从而简化流程，节省系统开销。
[0063]与上述方法相对应，本发明还提供一种⑶N流量放大攻击的防御装置。该装置可以通过硬件、软件或软硬件结合实现。具体的，该装置可以是只CDN节点或其他服务节点内部的功能实体，也可以是指CDN节点本身或其他服务节点，只要能够实现相应功能即可，对其存在形式不作限定。
[0064]该装置可包括:
[0065]消息接收单元,用于接收连接请求消息；
[0066]最优路径计算单元，用于计算连接请求的最优路径跳数；
[0067]消息处理单元，用于对连接请求消息进行转发或丢弃处理，其中，连接请求消息经过至少一个⑶N节点转发；
[0068]跳数累计单元，用于在连接请求消息每次经过一个⑶N节点时，对连接请求消息头中的跳数累计字段计数；
[0069]判断单元，用于判断跳数累计字段的值是否超过最优路径跳数，如果是，确定存在CDN流量放大攻击，通过消息处理单元对连接请求消息进行相应处理，如果否，则通过消息处理单元对连接请求消息继续转发。
[0070]优选的，跳数累计字段是在http协议报文头部增加的字段。
[0071]其中，跳数累计单元具体用于在连接请求消息每次经过一个⑶N节点时，将连接请求消息头中的跳数累计字段的数值加I。
[0072]其中，最优路径计算单元具体用于计算连接请求到源站的最短路径所经过的⑶N节点次数。
[0073]其中，当判断单元确定存在⑶N流量放大攻击，通过消息处理单元丢弃连接请求消息。
[0074]优选的,连接请求包括http连接的get请求和post请求。
[0075]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0076]在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0077]类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】，其中每个权利要求本身都作为本发明的单独实施例。
[0078]本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0079]此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0080]本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的CDN流量放大攻击的防御装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0081]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0082]本发明提供:A1、一种⑶N流量放大攻击的防御方法，包括:
[0083]接收连接请求消息，计算连接请求的最优路径跳数；
[0084]通过至少一个⑶N节点对所述连接请求消息进行转发；
[0085]在所述连接请求消息每次经过一个CDN节点时，对所述连接请求消息头中的跳数累计字段计数；
[0086]判断所述跳数累计字段的值是否超过所述最优路径跳数，如果是，确定存在CDN流量放大攻击，对所述连接请求消息进行相应处理，如果否，则对所述连接请求消息继续转发。
[0087]A2、如Al所述的方法，所述跳数累计字段是在http协议报文头部增加的字段。
[0088]A3、如Al所述的方法,所述在连接请求消息每次经过一个⑶N节点时、对连接请求消息头中的跳数累计字段计数包括:
[0089]在连接请求消息每次经过一个CDN节点时，将连接请求消息头中的跳数累计字段的数值加I。
[0090]A4、如Al所述的方法，所述计算连接请求的最优路径跳数包括:计算连接请求到源站的最短路径所经过的CDN节点次数。
[0091]A5、如Al所述的方法，所述对连接请求消息进行相应处理包括:丢弃所述连接请求消息。
[0092]A6、如Al所述的方法,所述连接请求包括http连接的get请求和post请求。
[0093]B7、一种⑶N流量放大攻击的防御装置，包括:
[0094]消息接收单元，用于接收连接请求消息；
[0095]最优路径计算单元，用于计算连接请求的最优路径跳数；
[0096]消息处理单元，用于对所述连接请求消息进行转发或丢弃处理，其中，所述连接请求消息经过至少一个⑶N节点转发；
[0097]跳数累计单元，用于在所述连接请求消息每次经过一个⑶N节点时，对所述连接请求消息头中的跳数累计字段计数；
[0098]判断单元，用于判断所述跳数累计字段的值是否超过所述最优路径跳数，如果是，确定存在CDN流量放大攻击，通过所述消息处理单元对所述连接请求消息进行相应处理，如果否，则通过所述消息处理单元对所述连接请求消息继续转发。
[0099]B8dn B7所述的装置，所述跳数累计字段是在http协议报文头部增加的字段。[0100]B9、如B7所述的装置，所述跳数累计单元具体用于在连接请求消息每次经过一个CDN节点时，将连接请求消息头中的跳数累计字段的数值加I。
[0101]BlO^ B7所述的装置，所述最优路径计算单元具体用于计算连接请求到源站的最短路径所经过的CDN节点次数。
[0102]B11、如B7所述的装置，当所述判断单元确定存在⑶N流量放大攻击，通过所述消息处理单元丢弃所述连接请求消息。
[0103]B12、如B7所 述的装置,所述连接请求包括http连接的get请求和post请求。
【权利要求】
1.一种CDN流量放大攻击的防御方法，其特征在于，包括: 接收连接请求消息，计算连接请求的最优路径跳数； 通过至少一个CDN节点对所述连接请求消息进行转发； 在所述连接请求消息每次经过一个CDN节点时，对所述连接请求消息头中的跳数累计字段计数； 判断所述跳数累计字段的值是否超过所述最优路径跳数，如果是，确定存在CDN流量放大攻击，对所述连接请求消息进行相应处理，如果否，则对所述连接请求消息继续转发。
2.如权利要求1所述的方法，其特征在于，所述跳数累计字段是在http协议报文头部增加的字段。
3.如权利要求1所述的方法，其特征在于，所述在连接请求消息每次经过一个CDN节点时、对连接请求消息头中的跳数累计字段计数包括: 在连接请求消息每次经过一个CDN节点时，将连接请求消息头中的跳数累计字段的数值加I。
4.如权利要求1所述的方法，其特征在于，所述计算连接请求的最优路径跳数包括:计算连接请求到源站的最短路径所经过的⑶N节点次数。
5.如权利要求1所述的方法，其特征在于，所述对连接请求消息进行相应处理包括:丢弃所述连接请求消息。
6.如权利要求1所述的方法，其特征在于，所述连接请求包括http连接的get请求和post请求。
7.—种CDN流量放大攻击的防御装置，其特征在于，包括: 消息接收单元，用于接收连接请求消息； 最优路径计算单元，用于计算连接请求的最优路径跳数； 消息处理单元，用于对所述连接请求消息进行转发或丢弃处理，其中，所述连接请求消息经过至少一个⑶N节点转发； 跳数累计单元，用于在所述连接请求消息每次经过一个CDN节点时，对所述连接请求消息头中的跳数累计字段计数； 判断单元，用于判断所述跳数累计字段的值是否超过所述最优路径跳数，如果是，确定存在CDN流量放大攻击，通过所述消息处理单元对所述连接请求消息进行相应处理，如果否，则通过所述消息处理单元对所述连接请求消息继续转发。
8.如权利要求7所述的装置，其特征在于，所述跳数累计字段是在http协议报文头部增加的字段。
9.如权利要求7所述的装置，其特征在于，所述跳数累计单元具体用于在连接请求消息每次经过一个CDN节点时，将连接请求消息头中的跳数累计字段的数值加I。
10.如权利要求7所述的装置，其特征在于，所述最优路径计算单元具体用于计算连接请求到源站的最短路径所经过的CDN节点次数。
【文档编号】H04L29/06GK103685253SQ201310652790
【公开日】2014年3月26日 申请日期:2013年12月5日 优先权日:2013年12月5日
【发明者】姚熙 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司