6以及多个第三客户端302的防火墙拦截第二客户端202所发送的用于请求执行访问操作的数据包,拦截时长t为2.5个小时。
[0064]通过本申请提供的实施例,通过采用不同的拦截模式对上述第二客户端所发送的用于请求执行访问操作的数据包进行拦截,以实现针对不同的数据包的类型进行相应的拦截,更加提高了对攻击数据包的拦截的准确性;此外,通过延长拦截时长的方式,也实现了对攻击数据包的有效拦截。
[0065]作为一种可选的方案,采用拦截模式拦截第二客户端发送的用于请求执行访问操作的数据包包括:
[0066]SI,拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包;和/或
[0067]可选地,在本实施例中,上述拦截方式包括但不限于:在第一预定时间段内拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包;
[0068]S2,拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
[0069]可选地,在本实施例中,上述拦截方式包括但不限于:在第二预定时间段内拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
[0070]可选地,在本实施例中,拦截第二客户端发送的用于请求执行访问操作的数据包的方式,不仅针对已接收到上述第二客户端202所发送的用于请求执行访问操作的数据包的多个第一客户端206,还针对还未接收到上述第二客户端202所发送的用于请求执行访问操作的数据包,且与上述第一客户端206属于同一网络的多个第三客户端302。也就是说,服务器204将控制属于同一网络的客户端的防火墙,以实现对第二客户端202的全面拦截。例如,如图3所示,服务器204将控制拦截第二客户端202向第一客户端206-1至第一客户端206-N,以及第三客户端302-1至第三客户端302-M发送用于请求执行访问操作的数据包。
[0071]通过本申请提供的实施例,通过对网络内的客户端的全面拦截,以实现对第二客户端所发送的攻击数据包进行准确而有效地拦截。
[0072]本申请提供了一种优选的实施例来进一步对本申请进行解释,但是值得注意的是,该优选实施例只是为了更好的描述本申请,并不构成对本申请不当的限定。
[0073]实施例2
[0074]根据本申请实施例,还提供了一种检测攻击客户端的装置,如图5所示,该装置包括:
[0075]I)接收单元502,用于接收第一客户端上报的访问请求事件,其中,访问请求事件至少用于指示第二客户端向第一客户端请求执行访问操作的状态,第二客户端向每个第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;
[0076]2)判断单元504,用于根据上报的访问请求事件判断第二客户端是否发起访问攻击;
[0077]3)检测单元506,用于在判断出第二客户端向第一客户端发起访问攻击时,检测出第二客户端为攻击客户端。
[0078]可选地,在本实施例中,上述检测攻击客户端的装置可以应用于防止云内主机遭受破解攻击的过程中。例如,如图2所示,第一客户端206可以为多个客户端,例如,上述多个客户端可以包括:第一客户端206-1、第一客户端206-2、第一客户端206-3,第二客户端202向上述三个第一客户端,发送了用于请求执行访问操作的数据包,上述三个第一客户端接收到上述第二客户端202发送的用于请求执行访问操作的数据包后,分别将至少用于指示第二客户端202向上述3个第一客户端206请求执行访问操作的状态的访问请求事件上报给服务器204,由服务器204根据上述访问请求事件,判断第二客户端202是否向上述第一客户端206-1、第一客户端206-2、第一客户端206-3发起访问攻击。假设若第二客户端202为向上述第一客户端206发起访问攻击的攻击客户端,则检测出上述第二客户端202为攻击客户端。上述举例只是一种示例,本实施例对此不做任何限定。
[0079]可选地,在本实施例中,上述第一预定阈值可以预先配置,根据不同的应用场景可以配置为不同的取值。可选地,在本实施例中,上述第二客户端202向上述多个第一客户端206发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值。换言之,本实施例提供的数据包的拦截方法主要应用于请求访问操作速率较低,攻击范围较广的场景中。
[0080]可选地,在本实施例中,服务器204根据上报的访问请求事件判断第二客户端202是否向上述多个第一客户端206发起访问攻击的方式包括但不限于:判断处于被攻击状态的第一客户端206的个数是否大于第二预定阈值。例如,假设第二预定阈值为50000,则在服务器204接收到多个第一客户端206所上报的访问请求事件中,由第一客户端206所上报的访问请求事件判断出第二客户端202向上述数量为50000个的第一客户端206发起了访问攻击,则需要拦截上述第二客户端202所发送的用于请求执行访问操作的数据包。
[0081]可选地,在本实施例中,第一客户端206处于被攻击状态的判定方式包括以下至少之一:
[0082]I)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败,则查找出第一客户端处于被攻击状态;
[0083]2)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败、且在失败之前的第一预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第三预定阈值,则查找出第一客户端处于被攻击状态;
[0084]3)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作成功、且在失败之前的第二预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第四预定阈值,则查找出第一客户端处于被攻击状态。
[0085]可选地,在本实施例中,该装置还包括:
[0086]I)拦截单元,用于在检测出第二客户端为攻击客户端之后,拦截第二客户端发送的用于请求执行访问操作的数据包
[0087]可选地,在本实施例中,上述通过拦截单元执行拦截第二客户端202发送的用于请求执行访问操作的数据包的方式包括以下至少之一:
[0088]I)拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包;
[0089]2)拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
[0090]可选地,在本实施例中,服务器204在对第二客户端202所发送的用于请求执行访问操作的数据包拦截时,不仅拦截第二客户端202向上述多个第一客户端206所发送的用于请求执行访问操作的数据包,同时也会对与上述第一客户端206属于同一网络的第三客户端执行数据包拦截。
[0091]可选地,在本实施例中,上述访问请求事件中包括但不限于访问攻击信息,其中,上述访问攻击信息包括但不限于以下至少之一:第二客户端向上述第一客户端发送用于请求执行访问操作的数据包的时间点、数据包的类型、第二客户端停止向上述第一客户端发送数据包的时间点。例如,根据第二客户端202向上述多个第一客户端206发送用于请求执行访问操作的数据包的时间点以及第二客户端202停止向上述多个第一客户端206发送数据包的时间点计算拦截时间,根据数据包的类型确定数据包的拦截模式。
[0092]可选地,在本实施例中,上述第一客户端206可以但不限于为一个客户端,即检测出第二客户端202对网络内的一台客户端进行持续性攻击。通过统计到的第二客户端202对上述一个第一客户端206发起的大量的攻击数据包的数量,判断上述攻击数据包的数量是否满足预定的阈值条件,若满足,则检测出上述第一客户端206为攻击客户端,将拦截上述第二客户端202向上述第一客户端206发送的用于请求执行访问操作的数据包。
[0093]可选地,在本实施例中,上述第二客户端202可以包括但不限于一个或多个客户端。
[0094]具体结合以下示例进行说明,结合图3所示,网络内包括第一客户端206-1、第一客户端206-2…第一客户端206-N,以及与上述第一客户端属于同一网络的第三客户端302-1…第三客户端302-M,其中,N与M的取值可以相同也可以不同。假设第二客户端202向多个连续IP的第一客户端206-1、第一客户端206-2…第一客户端206-N发送了用于请求执行访问操作的数据包,然后,上述第一客户端206-1、第一客户端206-2…第一客户端206-N向服务器204上报了访问请求事件,其中,上述每个第一客户端206所接收到的第二客户端202发送的用于请求执行访问操作的数据包的数量的小于等于第一预定阈值(例如,第一预定阈值为500)。服务器204根据上述访问请求事件判断出,上述第二客户端202向循环向多个连续IP的第一客户端206-1、第一客户端206-2…第一客户端206-N轮询,发送用于请求执行访问操作的数据包,其中,N大于第二预定阈值(例如第二预定阈值为50000),则服务器204将通知拦截上述第二客户端202所发送的用于请求执行访问操作的数据包。
[0095]通过本申请提供的实施例,通过根据第一客户端所上报的访问请求事