专利名称::一种防御cc攻击的方法、装置和内容分发网络服务器的制作方法
技术领域:
:本发明涉及通信
技术领域:
,特别涉及一种防御CC攻击的方法、装置和内容分发网络服务器。
背景技术:
:随着信息技术的迅速发展,计算机网络技术在全球各行各业中得到了广泛普及,然而,网络应用的快速发展以及网络规模的急剧膨胀,使得网络中的安全漏洞无处不在,这些安全漏洞为网络攻击提供了滋生的土壤,近年来流行的挑战黑洞(ChallengeCollapsar,CC)攻击便是网络攻击中的一种。CC攻击是一种基于页面的分布式拒绝服务攻击,通过发送耗性能的超文本传输协议请求来消耗服务器资源。攻击主机通过多次向目标主机上开销比较大的页面发起访问请求,导致目标主机进行大量计算,很快达到处理能力极限,从而拒绝所有用户的服务请求。这里,目标主机也可以称为受害主机。以内容分发网络(ContentDeliveryNetwork,CDN)为例,在CDN网络中,现有的防御CC攻击的方法,主要是在CDN服务器的前端单独部署防御攻击的网络安全设备,可以将攻击流量牵引到部署了该网络安全设备的清洗节点上。因此,所有的攻击流量都先经过网络安全设备的检测和过滤,然后再交给CDN服务器处理。网络安全设备防御CC攻击时通常所采用的手段主要有限制源IP的连接数;或者,对所有的请求进行统计与检测;或者,对请求进行重定向等。由上述描述可以看出,现有的解决方案主要存在以下两点不足首先,防御CC功能的网络安全设备和提供⑶N业务的设备,即⑶N服务器是分离开的。而网络中通常有大量的服务器,一旦其中若干台分布在不同节点上的服务器受到CC攻击,分别部署网络安全设备的难度就会增加,进而导致不能快速的处理攻击。此外,这种防御CC的方式属于集中式防御,一旦网络安全设备出现了问题,则会导致与其相关的所有⑶N服务器都不能正常服务。其次,在具体防御CC的措施上,不管是限制源IP连接数,还是对请求进行统计检测或者重定向请求,均是网络安全设备通用的防御措施。这些措施并没有充分考虑CDN服务器实际的处理结果,因此,无法参照CDN服务器的实际处理情况进行有针对性防御,导致防御效果趋于粗放,无法做到非常准确。
发明内容本发明提供一种防御CC攻击的方法、装置和内容分发网络服务器,用以解决现有技术中防御CC攻击时无法参照服务器的实际处理情况进行有针对性防御,导致防御效果不理想的问题。一种防御CC攻击的方法,包括以下步骤服务器接收客户端发送的请求消息,确定该请求消息的标识信息;查找保存的黑名单,确定所述标识信息属于所述黑名单时,丢弃该请求消息,其中,所述黑名单根据该服务器的访问记录生成。一种防御CC攻击的装置,包括接收单元,用于接收客户端发送的请求消息,确定该请求消息的标识信息;确定单元,用于查找保存的黑名单,确定所述标识信息属于所述黑名单时,丢弃该请求消息;生成单元,用于根据该装置所在服务器的访问记录生成所述黑名单。一种内容分发网络服务器,包括上述任一所述的防御CC攻击的装置。本发明实施例中的防御CC攻击的方法、装置和内容分发网络服务器,可以根据服务器的访问记录生成一个黑名单,从而根据该黑名单对请求消息进行过滤,从而可以根据服务器的实际处理情况进行有针对性防御,使得防御效果理想。图1为本发明实施例中防御CC攻击的方法流程图;图2为本发明实施例中防御CC攻击的装置结构图。具体实施例方式本发明实施例提供了一种防御CC攻击的方法、装置和内容分发网络服务器,可以解决现有技术中防御CC攻击时无法参照服务器的实际处理情况进行有针对性防御,导致防御效果不理想的问题。本发明实施例提供了一种防御CC攻击的方法,如图1所示,包括以下步骤SlOl服务器接收客户端发送的请求消息,确定该请求消息的标识信息;S102:查找保存的黑名单,确定所述标识信息属于所述黑名单时,丢弃该请求消息,其中,所述黑名单根据该服务器的访问记录生成。较佳的,所述访问记录包括访问该服务器的所有请求消息对应的源IP地址、URL地址和访问结果标识,所述标识信息包括源IP地址,则所述黑名单的生成方式包括将在访问记录中出现频率高于设定的第一阈值的源IP地址添加到所述黑名单中;和/或,确定访问结果标识为异常,且包含同一源IP地址的访问记录出现频率高于设定的第二阈值时,将所述源IP地址添加到所述黑名单中。较佳的,所述确定访问结果标识为异常的步骤具体包括确定访问的URL地址为非法的访问记录,将该URL地址保存在访问控制列表中,当后续接收到包含该URL地址的请求消息时,在访问记录中将该请求消息的访问结果标识为异常。这里,访问的URL地址为非法的情况中,主要是指访问的URL地址在服务器端实际上是不存在的。或者,当所述访问记录还包括浏览器版本信息时,所述确定访问结果标识为异常的步骤还可以包括确定URL地址以及浏览器版本信息相同的访问记录出现频率高于设定的第三阈值之后,当后续接收到包含该URL地址以及浏览器版本信息的请求消息时,在访问记录中将该请求消息的访问结果标识为异常。并且,为了更好的结合服务器的实际处理情况,所述黑名单可以根据访问记录的变化情况进行动态更新。CN102137111A说明书3/5页本发明实施例中的防御CC攻击的方法,可以根据服务器的访问记录生成一个黑名单,从而根据该黑名单对请求消息进行过滤,从而可以根据服务器的实际处理情况进行有针对性防御,使得防御效果理想。下面以一个优选实施例详细描述一下本发明提供的防御CC攻击的方法,本实施例中,以CDN网络中的CDN服务器为例进行说明,当然,该方法也可以应用于其他网络环境。CDN服务器具体指为源站服务的反向代理服务器,该服务器与普通的为用户终端服务的正向代理服务器有所区别,一般而言,正向代理服务器部署在终端侧,而反向代理服务器部署在网络侧。本实施例中的方法主要应用于作为反向代理的CDN服务器上,从而可以使得每台CDN服务器都具备防御CC攻击的能力。本方法具体包括以下步骤步骤一、启用⑶N服务器防御CC攻击的功能之后,读取该⑶N服务器的访问记录,并根据这些访问记录生成黑名单。具体的,在CDN服务器上保存着访问该服务器的所有请求消息所对应的访问记录,在每条访问记录中,一般包含如下几项信息接收到该请求消息的时间、该请求消息的源IP地址、要访问的URL地址以及该请求消息本次的访问结果标识。其中,访问结果标识一般包括访问结果异常或访问结果正常等信息。黑名单主要是根据访问记录生成的,可以按照以下两种方式生成第一种方式为分析所有访问记录中,出现频率高于设定的第一阈值的源IP地址,也就是发送请求消息较频繁的源IP地址,将这些源IP地址添加到黑名单中,其中,第一阈值的大小可根据需要进行调整。例如,可以分析一段时间内的访问记录,将出现比例或出现次数最高的若干个IP地址添加到黑名单中。因为,在短时间内频繁发送请求消息的源IP地址对应的主机很可能就是攻击主机。第二种方式为分析所有访问记录,当访问结果标识为异常、且包含同一源IP地址的访问记录出现频率高于设定的第二阈值时,将该源IP地址添加到黑名单中。因为,访问结果为异常则说明该请求消息是不合法的,如果同一IP地址在一段时间内发送不合法的请求消息次数较多,则该IP地址对应的主机很可能就是攻击主机。上述两种方式可单独使用也可结合使用。通过上述两种方式确定的需要添加到黑名单中的源IP地址需要在后续的处理过程中进行封禁,即再次接收到黑名单中包含的源IP地址发送的请求消息时则直接丢弃该消息,具体实现时,可以在请求消息进入网络层或应用层后查询该黑名单,然后对黑名单中的IP地址发送的消息进行丢弃,或者,也可以通过配置访问控制列表或采用iptables工具等方式来实现封禁这些源IP地址的目的。为了确定访问结果为异常的请求消息,从而进行上述第二种方式的处理,可采用如下两种方法第一种方法确定访问的URL地址错误的访问记录,并保存该错误的URL地址,后续再接收到包含该URL地址的请求消息时,直接拒绝该请求消息,并在访问记录中将该请求消息的访问结果标识为异常。这里URL地址错误主要是指URL地址为非法。在具体实现时,可以通过在访问控制列表中进行配置,从而在包含该URL地址的请求消息进入应用层后,通过访问控制列表实现拒绝对该URL进行访问的目的,并在访问记录中将该请求消息的访问结果标识为异常;或者,也可以采用其他方式,例如,单独保存一个用于存储错误URL地址的URL列表,当收到请求消息后,直接查询该URL列表,当请求消息中包含的URL地址属于该URL列表时则丢弃该请求消息。其中,查询该URL列表确定是否丢弃该请求消息的操作可以在IS0/0SI七层网络体系结构中的多个协议层实现,例如可以在网络层或应用层进行,当然,为了提高处理效率,尽早丢弃不需要处理的请求,可以在网络层实现这一操作。第二种方法在访问记录中还可以包含浏览器版本信息,则确定URL地址以及浏览器版本信息相同的访问记录出现频率高于设定的第三阈值后,则将该URL地址以及该浏览器版本信息这一组合保存起来,当后续接收到的请求消息中URL地址与该URL地址相同,且浏览器版本信息也与该浏览器版本信息相同时,则丢弃该请求消息,并在访问记录中将该请求消息的访问结果标识为异常。因为这种采用相同的浏览器针对同一URL进行大量访问的源IP地址所对应的主机很可能就是攻击主机。具体的,为了丢弃这样的请求消息,也可以通过在访问控制列表中进行配置,从而在同时包含该URL地址以及该浏览器版本信息的请求消息进入应用层后,通过访问控制列表实现丢弃该请求消息的目的,并在访问记录中将该请求消息的访问结果标识为异常;或者,也可以采用其他方式,例如,单独保存一个用于存储出现频率高于设定的第三阈值的URL地址以及浏览器版本信息这两项组合信息的组合列表,当收到请求消息后,直接查询该组合列表,当请求消息中包含的URL地址以及浏览器版本信息这一组合信息属于该组合列表时则丢弃该请求消息。其中,查询该组合列表确定是否丢弃该请求消息的操作可以在IS0/0SI七层网络体系结构中的多个协议层实现,例如可以在网络层或应用层进行,当然,为了提高处理效率,尽早丢弃不需要处理的请求,可以在网络层实现这一操作。这两种方法也可以单独使用或结合使用。通过这两种方法,可以在后续的处理过程中,通过查看访问记录,识别出访问结果为异常的请求消息,进而通过生成黑名单时采用的第二种方式,即“分析所有访问记录,当访问结果标识为异常、且包含同一源IP地址的访问记录出现频率高于设定的第二阈值时,将该源IP地址添加到黑名单中”这一方式来生成黑名单。具体的,如果某一个IP地址过多的访问URL列表中错误的URL地址,和/或过多的发送包含组合列表中存储的URL地址以及浏览器版本信息的请求消息,则会将该源IP地址作为可疑的源IP地址,添加到黑名单中。总而言之,本步骤中生成黑名单时,首先,通过上述两种方法确定访问结果为异常的请求消息,然后在下一轮消息处理过程中,则可以将这些请求消息确定为异常,进而可以发现发送访问结果为异常的请求消息较多的源IP地址,从而将这些源IP地址进行封禁。并且,为了提高防御效果,本实施例中的黑名单还可以定期或不定期的进行更新,即根据服务器中访问记录的变化情况重新进行分析,从而更新黑名单,使得防御效果更加理想。步骤二、接收到请求消息之后,查询黑名单,确定该请求消息中包含的源IP地址属于黑名单时,丢弃该请求消息。或者,在本发明另一优选实施例中,也可以直接将上述提到的保存错误URL地址的URL列表,以及保存出现频率高于设定的第三阈值的URL地址以及浏览器版本信息这两项组合信息的组合列表,也作为黑名单中的内容增加到黑名单中,这样,在接收到请求消息后,也可以直接根据请求消息中包含的标识信息,即URL地址,或者URL地址以及浏览器版本信息这两项组合信息来确定是否需要对该请求消息进行封禁。通过采用本发明实施例提供的方法,可以根据服务器的访问记录生成一个黑名单,从而根据该黑名单对请求消息进行过滤,进而可以根据服务器的实际处理情况进行有针对性防御,使得防御效果理想。具体的,可以使CDN服务器具备防御CC攻击的功能,从而,CC攻击的检测与防御功能和CDN服务器的缓存应用功能可以实现高效的联动,相互为用。由于CDN业务与防御CC攻击的功能一体化,可以将CC攻击的检测结果中更适合缓存应用处理的,及时反馈给缓存应用进行处理,而缓存应用处理之后,又会增强CC攻击的防御效果。并且,由于防御CC攻击的功能是集成在CDN服务器上的,因此具体的检测和防御措施可以以用户实际的访问结果作为依据。这样检测得到的可疑源IP和非法URL更加准确。本发明实施例还提供了一种防御CC攻击的装置,如图2所示,包括接收单元21,用于接收客户端发送的请求消息,确定该请求消息的标识信息;确定单元22,用于查找保存的黑名单,确定所述标识信息属于所述黑名单时,丢弃该请求消息;生成单元23,用于根据该装置所在服务器的访问记录生成所述黑名单。较佳的,所述访问记录包括访问该装置所在服务器的所有请求消息对应的源IP地址、URL地址和访问结果标识,所述标识信息包括源IP地址,则所述生成单元,具体用于将在访问记录中出现频率高于设定的第一阈值的源IP地址添加到所述黑名单中;和/或,确定访问结果标识为异常,且包含同一源IP地址的访问记录出现频率高于设定的第二阈值时,将所述源IP地址添加到所述黑名单中。较佳的,所述生成单元,具体用于确定访问的URL地址为非法的访问记录,将该URL地址保存在访问控制列表中,当后续接收到包含该URL地址的请求消息时,在访问记录中将该请求消息的访问结果标识为异常。较佳的,所述访问记录还包括浏览器版本信息,则所述生成单元,还用于确定URL地址以及浏览器版本信息相同的访问记录出现频率高于设定的第三阈值之后,当后续接收到包含该URL地址以及浏览器版本信息的请求消息时,在访问记录中将该请求消息的访问结果标识为异常。较佳的,所述生成单元,还用于根据访问记录的变化情况动态更新所述黑名单。通过采用本发明实施例提供的装置,可以根据服务器的访问记录生成一个黑名单,从而根据该黑名单对请求消息进行过滤,从而可以根据服务器的实际处理情况进行有针对性防御,使得防御效果理想。本发明实施例还提供了一种内容分发网络服务器,包括上述的防御CC攻击的装置。通过采用本发明实施例提供的内容分发网络服务器,可以根据服务器的访问记录生成一个黑名单,从而根据该黑名单对请求消息进行过滤,从而可以根据服务器的实际处理情况进行有针对性防御,使得防御效果理想。并且,由于本实施例中是直接在CDN服务器上集成了防御CC攻击的功能,因此,当有多台CDN服务器时,也不必分别为其单独部署防御CC攻击的设备,从而大大降低了网络部署的难度。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。权利要求1.一种防御CC攻击的方法,其特征在于,包括以下步骤服务器接收客户端发送的请求消息,确定该请求消息的标识信息;查找保存的黑名单,确定所述标识信息属于所述黑名单时,丢弃该请求消息,其中,所述黑名单根据该服务器的访问记录生成。2.如权利要求1所述的方法,其特征在于,所述访问记录包括访问该服务器的所有请求消息对应的源IP地址、URL地址和访问结果标识,所述标识信息包括源IP地址,则所述黑名单的生成方式包括将在访问记录中出现频率高于设定的第一阈值的源IP地址添加到所述黑名单中;和/或,确定访问结果标识为异常,且包含同一源IP地址的访问记录出现频率高于设定的第二阈值时,将所述源IP地址添加到所述黑名单中。3.如权利要求2所述的方法,其特征在于,所述确定访问结果标识为异常的步骤具体包括确定访问的URL地址为非法的访问记录,将该URL地址保存在访问控制列表中,当后续接收到包含该URL地址的请求消息时,在访问记录中将该请求消息的访问结果标识为异常。4.如权利要求2或3所述的方法,其特征在于,所述访问记录还包括浏览器版本信息,则所述确定访问结果标识为异常的步骤具体包括确定URL地址以及浏览器版本信息相同的访问记录出现频率高于设定的第三阈值之后,当后续接收到包含该URL地址以及浏览器版本信息的请求消息时,在访问记录中将该请求消息的访问结果标识为异常。5.如权利要求1所述的方法,其特征在于,所述黑名单根据访问记录的变化情况动态更新。6.一种防御CC攻击的装置,其特征在于,包括接收单元,用于接收客户端发送的请求消息,确定该请求消息的标识信息;确定单元,用于查找保存的黑名单,确定所述标识信息属于所述黑名单时,丢弃该请求消息;生成单元,用于根据该装置所在服务器的访问记录生成所述黑名单。7.如权利要求6所述的装置,其特征在于,所述访问记录包括访问该装置所在服务器的所有请求消息对应的源IP地址、URL地址和访问结果标识,所述标识信息包括源IP地址,则所述生成单元,具体用于将在访问记录中出现频率高于设定的第一阈值的源IP地址添加到所述黑名单中;和/或,确定访问结果标识为异常,且包含同一源IP地址的访问记录出现频率高于设定的第二阈值时,将所述源IP地址添加到所述黑名单中。8.如权利要求7所述的装置,其特征在于,所述生成单元,具体用于确定访问的URL地址为非法的访问记录,将该URL地址保存在访问控制列表中,当后续接收到包含该URL地址的请求消息时,在访问记录中将该请求消息的访问结果标识为异常。9.如权利要求7或8所述的装置,其特征在于,所述访问记录还包括浏览器版本信息,则所述生成单元,还用于确定URL地址以及浏览器版本信息相同的访问记录出现频率高于设定的第三阈值之后,当后续接收到包含该URL地址以及浏览器版本信息的请求消息时,在访问记录中将该请求消息的访问结果标识为异常。10.如权利要求6所述的装置,其特征在于,所述生成单元,还用于根据访问记录的变化情况动态更新所述黑名单。11.一种内容分发网络服务器,其特征在于,包括如权利要求6至10任一所述的装置。全文摘要本发明公开了一种防御CC攻击的方法、装置和内容分发网络服务器,用以解决现有技术中防御CC攻击时无法参照服务器的实际处理情况进行有针对性防御,导致防御效果不理想的问题。该方法包括服务器接收客户端发送的请求消息,确定该请求消息的标识信息;查找保存的黑名单,确定所述标识信息属于所述黑名单时,丢弃该请求消息,其中,所述黑名单根据该服务器的访问记录生成。本发明实施例中的防御CC攻击的方法、装置和内容分发网络服务器,可以根据服务器的访问记录生成一个黑名单,从而根据该黑名单对请求消息进行过滤,进而根据服务器的实际处理情况进行有针对性防御,使得防御效果理想。文档编号H04L29/06GK102137111SQ201110099490公开日2011年7月27日申请日期2011年4月20日优先权日2011年4月20日发明者宗劼,王兴华,赵伟申请人:北京蓝汛通信技术有限责任公司