一种HTTP Get Flood攻击的防护方法
【专利摘要】本发明涉及计算机网络技术学科中网络安全领域,特别涉及一种HTTP Get Flood攻击的防护方法。针对攻击源IP数量较多时现有技术对CC攻击防护效果较差的问题,本发明提供了一种HTTP Get Flood攻击的防护方法,能够针对CC攻击中的HTTP Get Flood攻击提供效果更优的防护。通过分析随机抓取的网络数据包中请求IP是否含Proxy服务特征,计算其为攻击源IP的概率,结合其回馈响应的情况,判定该IP是否为HTTP Get Flood攻击的攻击源IP,对攻击源IP进行阻断。本发明设计简洁,易于实施,与现有的各类服务器均具有良好的适配性,具有广阔的应用和推广前景。
【专利说明】—种HTTP Get Flood攻击的防护方法
【技术领域】
[0001]本发明涉及计算机网络技术学科中网络安全领域,特别涉及一种HTTP Get Flood攻击的防护方法。
【背景技术】
[0002]近年来中国网络规模呈现膨胀式增长,随着网络活动,特别是网络电商的活跃,网络交互发展迅速。而与此同时,针对网络的攻击形式也在巨大的利益推动下开始向新的方向改变。目前,CC (Challenge Collapsar)攻击已经成为一种被广泛使用的典型攻击方式,由于其实施的技术难度较低并且攻击效果显著,CC攻击已经发展成为网络安全领域中的一种常见攻击方式。CC攻击的前身为Fatboy攻击,属于DDoS (Distribut1n Denialof Service分布式拒绝服务,简称DDoS)攻击中的一种。CC攻击以网站页面为主要攻击目标,能够藏匿真实的攻击源IP,借助代理服务器生成指向目标服务器的合法请求,在流量上不会产生异常的大流量数据,但却能造成服务器无法正常连接。CC攻击的攻击原理来源于著名的木桶理论,即一个木桶所能容纳水的最大容量不是由木桶最高的地方决定的,而是由木桶最低的地方决定的。CC攻击就是借鉴了木桶理论,在对服务器发起攻击时,攻击者常常向服务器请求需要占用其较多资源开销的应用,例如访问需要占用服务器大量CPU资源进行运算的页面或者请求需要频繁访问数据库的应用。基于以上因素,CC攻击的目标通常为网站服务器中需要动态生成的页面和需要访问数据库资源的页面,例如asp、jsp和Php等类型文件的页面资源。攻击者主要通过控制大量僵尸主机或代理服务器,由僵尸主机或代理服务器自动向服务器发送页面访问请求。当使用具有一定规模的僵尸僵尸主机或代理服务器进行CC攻击时,将会对服务器页面造成巨大的访问流量,可导致服务器瘫痪,同时整个攻击过程模拟了正常客户端访问互联网资源所发送的合法数据包,具有较强的隐蔽性。CC攻击主要有2种攻击方式,即HTTP Get Flood (超文本传输协议泛洪)攻击和链接耗尽型攻击。
[0003]目前,常见的CC攻击防护依靠防火墙,通过对访问服务器的单个IP连接数进行控制来限制CC攻击,在发起CC攻击的IP数量较多的情况下依靠防火墙限制或阻止CC攻击的效果较差。
【发明内容】
[0004]针对攻击源IP数量较多时现有技术对CC攻击防护效果较差的问题,本发明提供了一种HTTP Get Flood攻击的防护方法,能够针对CC攻击中的HTTP Get Flood攻击提供效果更优的防护。
[0005]本发明的技术方案为:
一种HTTP Get Flood攻击的防护方法,其特征在于包括以下步骤:
(a)抓取网络数据包;
(b)对所述网络数据包进行HTTP协议解码,得到请求访问服务器的请求IP;HTTP即 Hyper Text Transfer Protocol超文本传输协议,是目前互联网上应用最为广泛的协议之
Ce)检测所述请求IP是否含有Proxy服务的特征字符;ProXy服务即代理服务,包含Proxy服务特征字符的请求多为代理服务器发送的恶意请求,其请求IP多为HTTP GetFlood攻击的攻击源IP。
[0006](d)若步骤(c)中所述请求IP含有Proxy服务的特征字符,执行步骤(dl)?(d3); (dl)向步骤(d)中所述请求IP发送响应请求,并要求步骤(d)中所述请求IP回馈; (d2)若步骤(d)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(d)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a);
(d3)若步骤(d)中所述请求IP回馈符合要求的回馈响应,返回步骤(a);
(e)若步骤(c)中所述请求IP不含Proxy服务的特征字符,计算所述请求IP为HTTPGet Flood攻击的攻击源IP的概率,执行步骤(el)?(e3);
(el)若步骤(e)中所述概率小于阈值,返回步骤(a);
(e2)若步骤(e)中所述概率大于等于阈值,向步骤(e)中所述请求IP发送响应请求,并要求步骤(e)中所述请求IP回馈;
(e3)若步骤(e2)中所述请求IP回馈符合要求的回馈响应,返回步骤(a);
(e4)若步骤(e2)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(e2)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a)。
[0007]具体的,步骤(c )中所述Proxy服务的特征字符包括X_F0RWARDED_F0R、VIA、CLIENT_IP、X0NNECT1N 和 XR0XY_C0NNECT10N。
[0008]具体的,步骤(e)中所述概率根据服务器的历史统计计算。
[0009]具体的,步骤(el)?(e2)中所述阈值由服务器工作参数判定,所述服务器工作参数包括服务器性能和服务器正常业务流量。
[0010]具体的,步骤(dl)中所述响应请求为带有tag标记的响应请求。
[0011]具体的,步骤(e2)中所述响应请求为带有tag标记的响应请求。
[0012]本发明的有益效果:1、执行本发明技术方案步骤(a广(e4)能够识别并阻断HTTPGet Flood攻击的IP,实现针对HTTP Get Flood攻击的防护;2、本发明技术方案步骤(a广(e4)针对随机抓取的网络数据包中所有请求IP进行分析和计算以判定其是否为HTTP GetFlood攻击的攻击源IP,即使发起HTTP Get Flood攻击的IP数量较多,也能够逐一识别并阻断攻击源IP ;3、步骤(e)中所述概率根据服务器的历史统计计算得出,针对性强、可靠性高,有利于提高针对HTTP Get Flood攻击的防护效果;4、依据服务器工作参数,包括服务器性能和服务器正常业务流量设定阈值,能够满足不同服务器针对HTTP Get Flood攻击的防护要求;5、步骤(d2)和步骤(e2)中向请求IP发送的带有tag标记的响应请求能够判断该IP是否为恶意攻击者。本发明设计简洁,易于实施,与各类服务器均具有良好的适配性,具有广阔的应用和推广前景。
【专利附图】
【附图说明】
[0013]图1为本发明的流程图。
【具体实施方式】
[0014]下面结合附图对本发明作进一步说明。
[0015]参照图1,本实施例中针对HTTP Get Flood攻击的防护过程包括:
(a)抓取网络数据包;
(b)对网络数据包进行HTTP协议解码,得到请求访问服务器的请求IP;HTTP即HyperText Transfer Protocol超文本传输协议,是目前互联网上应用最为广泛的协议之一;
(c)检测请求IP 是否含有 X_F0RWARDED_F0R、VIA、CLIENT_IP、X0NNECT10N 和 XR0XY_CONNECT1N等Proxy服务的特征字符;ProXy服务即代理服务,包含Proxy服务特征字符的请求多为代理服务器发送的恶意请求,其请求IP多为HTTP Get Flood攻击的攻击源IP。
[0016](d)若步骤(c)中请求IP含有Proxy服务的特征字符,执行步骤(dl)?(d3); (dl)向步骤(d)中请求IP发送带有tag标记的响应请求,并要求步骤(d)中请求IP
回馈;
(d2)若步骤(d)中请求IP未回馈符合要求的回馈响应则判定步骤(d)中请求IP为HTTP Get Flood攻击的攻击源IP,阻断攻击源IP,返回步骤(a);
(d3)若步骤(d)中请求IP回馈符合要求的回馈响应,返回步骤(a);
(e)若步骤(c)中请求IP不含Proxy服务的特征字符,计算请求IP为HTTP Get Flood攻击攻击源IP的概率,执行步骤(el)?(e3);
(el)若步骤(e)中概率小于阈值,返回步骤(a);
(e2)若步骤(e)中概率大于等于阈值,向步骤(e)中请求IP发送带有tag标记的响应请求,并要求步骤(e)中请求IP回馈;
(e3)若步骤(e2)中请求IP回馈符合要求的回馈响应,返回步骤(a);
(e4)若步骤(e2)中请求IP未回馈符合要求的回馈响应则判定步骤(e2)中请求IP为HTTP Get Flood攻击的攻击源IP,阻断攻击源IP,返回步骤(a)。
[0017]其中,步骤(e)中概率根据服务器的历史统计计算,步骤(el)?(e2)中阈值可通过服务器性能和服务器正常业务流量等服务器工作参数判定。
[0018]本实施例中,步骤(e)中概率的计算方法为:
P=历史正常访问次数/(历史攻击次数+历史正常访问次数)。
[0019]本实施例中,服务器为IBM品牌的X3850 M2型服务器,其正常业务流量为500Mbps,步骤(el)?(e2)中阈值为0.01。
[0020]需要说明的是,抓取网络数据包、对网络数据包进行HTTP协议解码、检测请求IP是否含有Proxy服务的特征字符和阻断攻击源IP等技术为本领域(网络安全领域)的公知常识,即使本发明未进行详细说明,本领域技术人员也应当清楚以上步骤。
[0021]以上所述实施方式仅为本发明的优选实施例,而并非本发明可行实施的穷举。对于本领域一般技术人员而言,在不背离本发明原理和精神的前提下对其所作出的任何显而易见的改动,都应当被认为包含在本发明的权利要求保护范围之内。
【权利要求】
1.一种HTTP Get Flood攻击的防护方法,其特征在于包括以下步骤: (a)抓取网络数据包; (b)对所述网络数据包进行HTTP协议解码,得到请求访问服务器的请求IP; (c)检测所述请求IP是否含有Proxy服务的特征字符; Cd)若步骤(C)中所述请求IP含有Proxy服务的特征字符,执行步骤(dl)?(d3);(dl)向步骤(d)中所述请求IP发送响应请求,并要求步骤(d)中所述请求IP回馈;(d2)若步骤(d)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(d)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a); (d3)若步骤(d)中所述请求IP回馈符合要求的回馈响应,返回步骤(a); (e)若步骤(c)中所述请求IP不含Proxy服务的特征字符,计算所述请求IP为HTTPGet Flood攻击的攻击源IP的概率,执行步骤(el)?(e3); (el)若步骤(e)中所述概率小于阈值,返回步骤(a); (e2)若步骤(e)中所述概率大于等于阈值,向步骤(e)中所述请求IP发送响应请求,并要求步骤(e)中所述请求IP回馈; (e3)若步骤(e2)中所述请求IP回馈符合要求的回馈响应,返回步骤(a); (e4)若步骤(e2)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(e2)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a)。
2.根据权利要求1所述的一种HTTPGet Flood攻击的防护方法,其特征在于步骤(c)中所述 Proxy 服务的特征字符包括 X_F0RWARDED_F0R、VIA、CLIENT_IP、X0NNECT10N 和XR0XY_C0NNECT10N。
3.根据权利要求2所述的一种HTTPGet Flood攻击的防护方法,其特征在于步骤(e)中所述概率根据服务器的历史统计计算。
4.根据权利要求2所述的一种HTTPGet Flood攻击的防护方法,其特征在于步骤(el)?(e2)中所述阈值由服务器工作参数判定,所述服务器工作参数包括服务器性能和服务器正常业务流量。
5.根据权利要求3或4所述的一种HTTPGet Flood攻击的防护方法,其特征在于步骤(dl)中所述响应请求为带有tag标记的响应请求。
6.根据权利要求3或4所述的一种HTTPGet Flood攻击的防护方法,其特征在于步骤(e2)中所述响应请求为带有tag标记的响应请求。
【文档编号】H04L29/06GK104378357SQ201410567193
【公开日】2015年2月25日 申请日期:2014年10月23日 优先权日:2014年10月23日
【发明者】左晓军, 董立勉, 陈泽, 侯波涛, 卢宁, 郗波, 张君艳, 常杰, 王颖, 董娜, 刘伟娜, 王春璞, 刘惠颖 申请人:河北省电力建设调整试验所