[0037]可选地,在本实施例中,上述访问请求事件中包括但不限于访问攻击信息,其中,上述访问攻击信息包括但不限于以下至少之一:第二客户端向上述第一客户端发送用于请求执行访问操作的数据包的时间点、数据包的类型、第二客户端停止向上述第一客户端发送数据包的时间点。例如,根据第二客户端202向上述多个第一客户端206发送用于请求执行访问操作的数据包的时间点以及第二客户端202停止向上述多个第一客户端206发送数据包的时间点计算拦截时间,根据数据包的类型确定数据包的拦截模式。
[0038]可选地,在本实施例中,上述第一客户端206可以但不限于为一个客户端,即检测出第二客户端202对网络内的一台客户端进行持续性攻击。通过统计到的第二客户端202对上述一个第一客户端206发起的大量的攻击数据包的数量,判断上述攻击数据包的数量是否满足预定的阈值条件,若满足,则检测出上述第一客户端206为攻击客户端,将拦截上述第二客户端202向上述第一客户端206发送的用于请求执行访问操作的数据包。
[0039]可选地,在本实施例中,上述第二客户端202可以包括但不限于一个或多个客户端。
[0040]具体结合以下示例进行说明,结合图3所示,网络内包括第一客户端206-1、第一客户端206-2…第一客户端206-N,以及与上述第一客户端属于同一网络的第三客户端302-1…第三客户端302-M,其中,N与M的取值可以相同也可以不同。假设第二客户端202向多个连续IP的第一客户端206-1、第一客户端206-2…第一客户端206-N发送了用于请求执行访问操作的数据包,然后,上述第一客户端206-1、第一客户端206-2…第一客户端206-N向服务器204上报了访问请求事件,其中,上述每个第一客户端206所接收到的第二客户端202发送的用于请求执行访问操作的数据包的数量的小于等于第一预定阈值(例如,第一预定阈值为500)。服务器204根据上述访问请求事件判断出,上述第二客户端202向循环向多个连续IP的第一客户端206-1、第一客户端206-2…第一客户端206-N轮询,发送用于请求执行访问操作的数据包,其中,N大于第二预定阈值(例如第二预定阈值为50000),则服务器204将通知拦截上述第二客户端202所发送的用于请求执行访问操作的数据包。
[0041]通过本申请提供的实施例,通过根据第一客户端所上报的访问请求事件,判断第二客户端是否向上述第一客户端发起访问攻击,其中,第二客户端向每个第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;若判断出第二客户端向上述第一客户端发起访问攻击,则检测出上述第二客户端为攻击客户端。通过上述方式,实现了在攻击源攻击频率较低的情况下,也可准确检测出攻击客户端的效果。
[0042]作为一种可选的方案,如图4所7JK,第一客户端为多个第一客户端,其中,根据上报的访问请求事件判断第二客户端是否向第一客户端发起访问攻击包括:
[0043]S402,根据上报的访问请求事件查找多个第一客户端中处于被攻击状态的第一客户端;
[0044]S404,判断查找到的处于被攻击状态的第一客户端的个数是否大于第二预定阈值;
[0045]S406,若查找到的处于被攻击状态的第一客户端的个数大于第二预定阈值,则判断出第二客户端向第一客户端发起访问攻击;
[0046]S408,若查找到的处于被攻击状态的第一客户端的个数小于等于第二预定阈值,则判断出第二客户端未向第一客户端发起访问攻击。
[0047]可选地,在本实施例中,上述第二预定阈值可以预先配置,根据不同的应用场景可以配置为不同的取值。
[0048]具体结合以下示例进行说明,结合图3所示,假设第二预定阈值为50000,第二客户端202向第一客户端206-1至第一客户端206-N发送用于请求执行访问操作的数据包,例如,N的取值为100000,服务器204经查找得到第一客户端206-1至第一客户端206-N中处于被攻击状态的第一客户端206为S个,例如,S的取值为60000。进一步,判断上述处于被攻击状态的第一客户端206的数量S个(例如,S的取值为60000)与第二预定阈值P (例如,P的取值为50000)进行比较,判断得出上述被攻击状态的第一客户端206的数量大于第二预定阈值,则可判断出上述第二客户端202向上述第一客户端发起了访问攻击,则需要拦截上述被检测出为攻击客户端的第二客户端202所发送的用于请求执行访问操作的数据包。
[0049]通过本申请提供的实施例,服务器通过根据访问请求事件查找多个第一客户端中处于被攻击状态的第一客户端的个数是否大于第二预定阈值,若判断出上述处于被攻击状态的第一客户端的个数大于第二预定阈值,则可以判断出上述第二客户端向上述第一客户端发起了访问攻击。通过上述对处于被攻击状态的第一客户端的数量的判断,以确定第二客户端是否向第一客户端发起了访问攻击,即检测第二客户端是否为发起攻击的攻击客户端,以实现在第二客户端的攻击频率较低的情况下,也可以确定发起攻击的攻击客户端,并对上述攻击客户端所发送的攻击数据包进行准确拦截。
[0050]作为一种可选的方案,步骤S104,根据上报的访问请求事件查找多个第一客户端中处于被攻击状态的第一客户端包括以下之一:
[0051]I)若访问请求事件用于指示的状态表示第二客户端向上述第一客户端请求执行访问操作失败,则查找出第一客户端处于被攻击状态。
[0052]具体结合以下示例进行说明,例如,结合图3所示,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206-1至第一客户端206-N请求执行访问操作失败,没有成功对上述第一客户端206-1至第一客户端206-N进行访问操作,则查找出上述第一客户端206处于被攻击的状态。
[0053]2)若访问请求事件用于指示的状态表示第二客户端向上述第一客户端请求执行访问操作失败、且在失败之前的第一预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第三预定阈值,则查找出第一客户端处于被攻击状态。
[0054]具体结合以下示例进行说明,例如,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206请求执行访问操作失败,且在上述失败之前的第一预定时间段(例如,I小时)内上述第二客户端202向上述多个第一客户端206请求执行访问操作失败的次数大于第三预定阈值(例如,第三预定阈值为3),则查找出上述第一客户端206处于被攻击的状态。
[0055]3)若访问请求事件用于指示的状态表示第二客户端向上述第一客户端请求执行访问操作成功、且在失败之前的第二预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第四预定阈值,则查找出第一客户端处于被攻击状态。
[0056]具体结合以下示例进行说明,例如,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206请求执行访问操作成功,但是在上述成功操作之前的第二预定时间段(例如,I小时)内上述第二客户端202向上述多个第一客户端206请求执行访问操作失败的次数大于第四预定阈值(例如,第四预定阈值为3),则查找出上述第一客户端206处于被攻击状态。
[0057]通过本申请提供的实施例,通过上述至少一种判定方式判断上述多个第一客户端是否处于被攻击状态,进而检测出向上述第一客户端发送用于请求执行访问操作的数据包的第二客户端是否为发起攻击的攻击客户端,从而实现在攻击频率较低的情况下,也可对检测出的攻击客户端所发起的攻击行为进行准确拦截。
[0058]作为一种可选的方案,上述拦截第二客户端发送的用于请求执行访问操作的数据包包括:
[0059]SI,根据访问请求事件中指示的访问攻击信息选择对应的拦截模式,其中,访问攻击信息包括以下至少之一:第二客户端向第一客户端发送用于请求执行访问操作的数据包的时间点、数据包的类型、第二客户端停止向第一客户端发送数据包的时间点;
[0060]S2,采用拦截模式拦截第二客户端发送的用于请求执行访问操作的数据包。
[0061]可选地,在本实施例中,不同的数据包的类型可以对应不同的拦截模式。其中,数据包的类型可以包括但不限于:对数据库请求执行访问操作的数据包、对网站请求执行访问操作的数据包。当收到的数据包的类型不同,服务器也将选择不同的拦截模式针对不同的数据包执行相应的拦截操作。
[0062]可选地,在本实施例中,上述对第二客户端202发送的用于请求执行访问操作的数据包的拦截时间可以根据攻击信息中的第二客户端202向上述第一客户端206发送用于请求执行访问操作的数据包的时间点Tl和第二客户端202停止向上述第一客户端206发送数据包的时间点T2确定。可选地,在本实施例中,上述用于拦截第二客户端202所发送的用于请求执行访问操作的数据包的时长t要大于第二客户端202发起攻击的时长(T2-T1)。
[0063]例如,如图3所示,第二客户端202发起攻击的时间点为8:30,停止攻击的时间点为9:00,若预先配置要再延长拦截的时长为2小时,则服务器204将控制包括多个第一客户端20