防御流量攻击方法、预设列表生成方法、装置及清洗设备与流程

本申请涉及网络安全技术领域，尤其涉及一种防御流量攻击方法、预设列表生成方法、装置及清洗设备。

背景技术：

目前黑客的主要攻击方式是伪造随机源ip或者伪造真实源的4层真实连接，并未采用真实的业务终端设备去请求服务器。在应用层挑战黑洞(challengecollapsar，简称为cc)方面，分布式拒绝服务(ddos:distributeddenialofservice，简称为ddos)攻击的方法为：攻击者控制大量真实源ip的电脑肉鸡，每台的电脑肉鸡大量发送传输控制协议(transmissioncontrolprotocol，简称为tcp)请求，通过tcp请求连接到提供应用服务的服务器后，服务器会造成应用层的cc攻击，导致服务器提供的应用服务不可响应。

技术实现要素：

有鉴于此，本申请提供一种新的技术方案，可以有效地防御真实源ip的cc攻击。

为实现上述目的，本申请提供技术方案如下：

根据本申请的第一方面，提出了一种防御流量攻击方法，包括：

接收来自终端设备的第一请求，所述第一请求中携带有终端设备的源ip地址和所请求应用服务的应用名称；

确定所述源ip地址和所请求应用服务的应用名称是否在预设列表中；

根据确定结果，判断是否对所述第一请求的网络流量进行流量清洗。

根据本申请的第二方面，提出了一种预设列表生成方法，包括：

接收来自终端设备的具有预设格式的心跳报文，所述心跳报文包括所述终端设备的源ip地址和所请求应用服务的应用名称；

根据所述源ip地址和所述应用名称生成预设列表。

根据本申请的第三方面，提出了一种防御流量攻击装置，包括：

第一接收模块，用于接收来自终端设备的第一请求，所述第一请求中携带有终端设备的源ip地址和所请求应用服务的应用名称；

第一确定模块，用于确定所述第一接收模块接收到的所述源ip地址和所述应用名称是否在预设列表中；

流量清洗模块，用于根据所述第一确定模块的确定结果，判断是否对所述第一接收模块接收到的所述第一请求的网络流量进行流量清洗。

根据本申请的第四方面，提出了一种预设列表生成装置，包括：

第四接收模块，用于接收来自终端设备的具有预设格式的心跳报文，所述心跳报文包括所述终端设备的源ip地址和所请求应用服务的应用名称；

生成模块，用于根据所述第四接收模块接收到的所述源ip地址和所述应用名称生成预设列表。

根据本申请的第五方面，提出了一种清洗设备，所述清洗设备包括：

第一处理器；用于存储所述第一处理器可执行指令的存储器；第一网络接口；

其中，所述第一网络接口，用于接收来自终端设备的第一请求，所述第一第一请求中携带有终端设备的源ip地址和所请求应用服务的应用名称；

所述第一处理器，用于确定所述源ip地址和所述应用名称是否在预设列表中；根据确定结果，判断是否对所述第一请求的网络流量进行流量清洗。

根据本申请的第六方面，提出了一种服务器，所述服务器包括：

第二处理器；用于存储所述第二处理器可执行指令的存储器；第二网络接口；

其中，所述第二网络接口，用于接收来自终端设备的具有预设格式的心 跳报文，所述心跳报文包括所述终端设备的源ip地址和所请求应用服务的应用名称；

所述第二处理器，用于根据所述源ip地址和所述应用名称生成预设列表。

由以上技术方案可见，当攻击者控制大量真实源ip地址的电脑肉鸡向提供应用服务的服务器发起攻击时，本申请通过确定源ip地址和所请求应用服务的应用名称是否在预设列表中，判断是否对第一请求的网络流量进行流量清洗，从而可以有效地防御真实源ip对提供应用服务的服务器的cc攻击，大大缓解了服务器的压力。

附图说明

图1示出了根据本发明实施例所适用的网络架构图；

图2示出了根据本发明的示例性实施例一的防御流量攻击方法的流程示意图；

图3示出了根据本发明的示例性实施例二的防御流量攻击方法的流程示意图；

图4示出了根据本发明的示例性实施例三的防御流量攻击方法的流程示意图；

图5示出了根据本发明的示例性实施例四的防御流量攻击方法的流程示意图；

图6示出了根据本发明的示例性实施例五的防御流量攻击方法的流程示意图；

图7示出了根据本发明的示例性实施例一的预设列表生成方法的流程示意图；

图8示出了根据本发明的示例性实施例二的预设列表生成方法的流程示意图；

图9示出了根据本发明的示例性实施例三的预设列表生成方法的流程示意图；

图10示出了根据本发明的一示例性实施例的清洗设备的结构示意图；

图11示出了根据本发明的一示例性实施例的服务器的结构示意图；

图12示出了根据本发明的示例性实施例一的防御流量攻击装置的结构示意图；

图13示出了根据本发明的示例性实施例二的防御流量攻击装置的结构示意图；

图14示出了根据本发明的示例性实施例三的防御流量攻击装置的结构示意图；

图15示出了根据本发明的示例性实施例一的预设列表生成装置的结构示意图；

图16示出了根据本发明的示例性实施例二的预设列表生成装置的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第 二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本申请中涉及的基础概念包括：

流量清洗，表示清洗设备基于设定的报文过滤规则，对非法或者不符合设定要求的网络报文进行过滤的过程。

终端设备，表示安装有第一服务器提供的应用服务的客户端的电子设备。

应用服务，表示第一服务器提供的供用户通过终端设备使用的应用服务。

预设列表，表示用于记录嵌入有sdk的终端设备的ip地址和该ip地址对应的应用名称的列表。

图1示出了根据本发明实施例所适用的网络架构图；如图1所示，网络架构图包括：终端设备111、终端设备112、终端设备113、清洗设备121、清洗设备122、第一服务器131、第一服务器132、第二服务器14。其中，终端设备111上安装有第一服务器13所提供的应用服务的客户端，该客户端上嵌入有软件开发工具包，终端设备112为被攻击者控制的电脑肉鸡，其上可以安装有第一服务器131所提供应用服务的客户端，但攻击者未在终端设备112上安装sdk，终端设备113上安装有第一服务器13所提供应用服务的客户端，但合法用户未在该客户端上嵌入sdk。清洗设备121位于第一服务器131和第一服务器132的前端，第二服务器14可以为多台清洗设备提供预设列表，例如，第二服务器14为清洗设备121、清洗设备122提供预设列表，例如，终端设备111上的客户端由于嵌入有sdk，因此终端设备111的ip地址和应用名称可以被第二服务器14统计在预设列表中，终端设备112和终端设备113的ip地址和应用名称不会被第二服务器14统计在预设列表中。清洗设备121和清洗设备122可以通过预设列表识别正常的第一请求和攻击者的第一请求。

为对本申请进行进一步说明，提供下列实施例：

图2示出了根据本发明的示例性实施例一的防御流量攻击方法的流程示 意图；本实施例可以应用在图1所示的清洗设备121上，下面结合图1对本实施例进行示例性说明，如图2所示，包括如下步骤：

步骤201，接收来自终端设备的第一请求，第一请求中携带有终端设备的源ip地址和所请求应用服务的应用名称。

步骤202，确定源ip地址和所请求应用服务的应用名称是否在预设列表中。

步骤203，根据确定结果，判断是否对第一请求的网络流量进行流量清洗。

本申请中的应用名称可以通过应用标识的方式来体现，例如，应用标识“001”表示游戏a，应用标识“002”表示游戏b。

在一个示例性场景中，如图1所示，第一服务器131可以向用户提供游戏a的应用服务，当攻击者欲攻击第一服务器131时，由于攻击者已经获知了第一服务器131提供的应用服务(游戏a)，因此当终端设备112在攻击者的控制下向第一服务器131发起攻击时，通过向第一服务器131发送第一请求，该第一请求中携带有终端设备112的ip地址(源ip地址)以及游戏a的应用名称，清洗设备121从该第一请求中解析出终端设备112的ip地址和游戏a，并检测终端设备112对应的ip地址和游戏a是否记录在预设列表中，当检测到终端设备112的ip地址不在预设列表中时，可以认为来自终端设备112的第一请求为非法请求，清洗设备121根据来自终端设备112的第一请求的网络流量进行流量清洗，在通过流量清洗确认终端设备112为攻击流量时，将来自终端设备112的第一请求丢弃，从而可以有效拦截终端设备112的流量攻击。

本领域技术人员可以理解的是，本实施例仅以终端设备112作为攻击者的电脑肉鸡为例进行示例性说明，当攻击者控制大量的电脑肉鸡(例如，上万台的电脑肉鸡)时，清洗设备同样可以通过上述示例对电脑肉鸡的第一请求进行识别，通过流量清洗后识别出攻击流量，从而可以有效防御攻击者对第一服务器131的cc攻击。

由上述描述可知，当攻击者控制大量真实源ip地址的电脑肉鸡向第一服务器发起攻击时，本发明实施例通过上述步骤201-步骤203，判断是否对第一请求的网络流量进行流量清洗，从而可以有效地防御真实源ip对提供应用服务的服务器的cc攻击，大大缓解了第一服务器的压力。

图3示出了根据本发明的示例性实施例二的防御流量攻击方法的流程示意图；本实施例中，以嵌入有sdk的终端设备来表示合法终端设备为例进行示例性说明，如图3所示，包括如下步骤：

步骤301，接收来自终端设备的第一请求，第一请求中携带有终端设备的源ip地址和所请求应用服务的应用名称。

步骤302，确定源ip地址和所请求应用服务的应用名称是否在预设列表中，当源ip地址和所请求应用服务的应用名称不在预设列表中时，执行步骤303，当源ip地址和所请求应用服务的应用名称在预设列表中时，执行步骤305。

步骤303，对第一请求的网络流量进行流量清洗，确定网络流量是否为攻击流量，当通过流量清洗确认第一请求的网络流量为攻击流量时，执行步骤304，当通过流量清洗确认第一请求的网络流量为正常流量时，执行步骤305。

步骤304，丢弃第一请求，流程结束。

步骤305，将第一请求转发至ip地址为目的ip地址的第一服务器，流程结束。

作为一个示例性场景，如图1所示，当终端设备111向第一服务器131发送关于游戏a的第一请求时，该第一请求中携带有终端设备111的ip地址(源ip地址)以及游戏a的应用名称，清洗设备121从第一请求中解析出终端设备111的ip地址和游戏a，并检测终端设备111对应的ip地址和游戏a是否记录在预设列表中，当检测到终端设备111对应的ip地址和游戏a均在预设列表中时，可以认为终端设备111的第一请求为合法请求，清洗设备121将该第一请求转发至ip地址为目的ip地址的第一服务器131， 第一服务器131根据该第一请求向终端设备111提供游戏a的应用服务。

作为又一个示例性场景，再如图1所示，终端设备113向第一服务器131发送第一请求，该第一请求中携带有终端设备113的ip地址(源ip地址)以及游戏a的应用名称，当清洗设备121检测到终端设备113的ip地址不在预设列表中时，可以认为来自终端设备113的第一请求为非法请求，清洗设备121根据对终端设备113的第一请求进行流量清洗，在通过流量清洗确认第一请求为合法的网络流量时，清洗设备121将该第一请求转发至ip地址为目的ip地址的第一服务器131，第一服务器131根据该第一请求向终端设备111提供游戏a的应用服务。

对于第一请求的网络流量为攻击流量时的场景描述可以参考上述图2所示实施例的相关描述，在此不再详述。

本实施例在具有上述实施例的有益技术效果的基础上，可以有效地区分出攻击者和正常使用者，通过将攻击流量丢弃，将流量清洗后确认为合法的第一请求转发至第一服务器，避免了未嵌入sdk的客户端的合法的第一请求被清洗设备丢弃，确保了第一服务器为终端设备提供正常的应用服务。

图4示出了根据本发明的示例性实施例三的防御流量攻击方法的流程示意图；本实施例以清洗设备如何对预设列表进行更新为例并结合图1进行示例性说明，如图4所示，包括如下步骤：

步骤401，确定预设列表的更新周期。

步骤402，当预设列表到达更新周期时，向第二服务器发送第二请求。

步骤403，接收第二服务器根据第二请求返回的更新后的预设列表。

步骤404，将更新后的预设列表下发到清洗设备的防护引擎。

在一实施例中，预设列表的更新周期可以由清洗设备侧来确定，例如，更新周期设置为30秒。

在一示例性场景中，如图1所示，清洗设备121需要每30秒对预设列表更新一次，由于第二服务器14用于对嵌入sdk的客户端的ip地址以及该客户端所请求的应用服务进行统计，因此当预设列表到达更新周期时，清洗设 备121可以向第二服务器14发送第二请求，第二服务器14将最新的预设列表下发至清洗设备121，清洗设备121将更新后的预设列表下发到清洗设备121的防护引擎，通过防护引擎执行上述图2或者图3所示的方法流程，即可对攻击者的第一请求进行有效的防御。

本实施例中，清洗设备通过主动确定预设列表的更新周期并主动向第二服务器请求更新后的预设列表，可以使合法的尚未嵌入sdk的客户端在嵌入了sdk之后，能够将该客户端的终端设备的ip地址在第一时间被更新到预设列表中，避免了清洗设备对合法的第一请求的流量清洗，缓解了清洗设备对网络流量清洗的压力。

图5示出了根据本发明的示例性实施例四的防御流量攻击方法的流程示意图；本实施例以清洗设备如何对预设列表进行更新为例并结合图1进行示例性说明，如图5所示，包括如下步骤：

步骤501，接收来自第二服务器的预设列表，预设列表中包括用于更新预设列表的更新周期。

步骤502，当预设列表到达更新周期时，接收第二服务器根据更新周期返回的更新后的预设列表。

步骤503，将更新后的预设列表下发到清洗设备的防护引擎。

在一实施例中，预设列表的更新周期可以由第二服务器来确定，例如，更新周期设置为30秒，第二服务器可以在初次向清洗设备下发预设列表时将更新周期告知清洗设备，以便清洗设备获知预设列表的更新周期，并及时做好更新预设列表的准备。

在一示例性场景中，如图1所示，第二服务器14向清洗设备121、清洗设备122初次下发预设列表时，可以将更新周期记录在预设列表中，清洗设备121和清洗设备122获知更新周期后，可以对更新周期进行检测，第二服务器14在每一个更新周期对新增的嵌入sdk的客户端的ip地址以及该客户端所请求的应用服务进行统计，当第二服务器14在每一个更新周期对应的时间段内对预设列表进行更新后，并且清洗设备121和清洗设备122在确定更 新周期到达时，清洗设备121和清洗设备122确定可接收第二服务器14在更新周期对应的时间段内更新后的预设列表，并将更新后的预设列表下发至清洗设备121和清洗设备122各自对应的防护引擎，清洗设备121和清洗设备122通过各自对应的防护引擎执行上述图2或者图3所示的方法流程，即可对攻击者的第一请求进行有效的防御。

本实施例中，可以确保清洗设备能够与第二服务器同步更新预设列表，使合法的尚未嵌入sdk的客户端在嵌入了sdk之后，能够将该客户端的终端设备的ip地址在第一时间被更新到预设列表中，避免了清洗设备对合法的第一请求的流量清洗，缓解了清洗设备对网络流量清洗的压力。

图6示出了根据本发明的示例性实施例五的防御流量攻击方法的流程示意图；本实施例以清洗设备如何对预设列表进行老化为例并结合图1进行示例性说明，如图6所示，包括如下步骤：

步骤601，确定预设列表的老化周期，老化周期大于或者等于预设列表的更新周期。

步骤602，当老化周期到达时，对预设列表中超过老化周期的源ip地址和所请求应用服务的应用服务进行老化处理。

在一实施例中，例如，更新周期为30秒，则老化周期需要大于或者等于30秒，例如，老化周期为1分钟。

在一个示例性场景中，如图1所示，当预设列表中记录有ip地址为1.1.1.1向第一服务器131请求了游戏a的应用服务，当清洗设备121检测到1分钟后ip地址为1.1.1.1的客户端不再访问第一服务器131，则可以将1.1.1.1相关的信息从预设列表中删除。再例如，当用户不在终端设备111上通过客户端访问第一服务器131，而是改为通过终端设备113上的客户端访问第一服务器131，此时，终端设备111的ip地址已经不再有效。

本实施例中，当老化周期到达时，对预设列表中超过老化周期的源ip地址和所请求应用服务的应用服务进行老化，从而确保预设列表上所记录的ip地址和应用名称时时刻刻是最新的而且是最有效的，避免了预设列表无限扩 大，进而避免清洗设备的存储空间存储不必要的资源。

图7示出了根据本发明的示例性实施例一的预设列表生成方法的流程示意图；本实施例可以应用在第二服务器上，下面结合图1对本实施例进行描述，如图7所示，包括如下步骤：

步骤701，接收来自终端设备的具有预设格式的心跳报文，心跳报文包括终端设备的源ip地址和所请求应用服务的应用名称。

步骤702，根据源ip地址和应用名称生成预设列表。

可选地，预设列表生成方法还可以包括：

步骤703，将预设列表发送至清洗设备。

在上述步骤701中，终端设备的客户端可以嵌入sdk，通过sdk向第二服务器14发送具有预设格式的心跳报文，该预设格式可以由sdk的数据格式来定。本领域技术人员可以理解的是，本申请也可以不使用sdk获取合法终端设备的预设列表，只要能够在服务器端对合法终端设备的真实身份进行统计，并将统计得到的ip地址以及所请求的应用名称记录在预设列表中即可，从而可以预设列表用于记录合法终端设备的ip地址。

在上述步骤702中，第二服务器对接收到的心跳报文进行归类整理，将访问真实的应用服务的源ip地址和应用服务以预设列表的方式记录下来。

在上述步骤703中，在一实施例中，可以确定与目的ip地址距离最近的清洗设备，将预设列表发送至与目的ip地址距离最近的清洗设备。

在一个示例性场景中，如图1所示，终端设备111安装有客户端，该客户端嵌入sdk，则客户端可以通过sdk向第二服务器14发送心跳报文，其中，该心跳报文中包括其访问的应用名称和服务地址(也即目的ip地址)，此外，心跳报文中还可以携带有客户端的用户的注册信息，从而可以使第二服务器14对用户的身份进行识别。第二服务器14可以确定与目的ip地址距离最近的清洗设备，例如，目的ip地址为第一服务器131的ip地址，则第二服务器14可以将生成的预设列表发送给位于第一服务器131前端的清洗设备121。

本实施例中，通过将sdk嵌入到用户的客户端，可以有效的对用户的身份进行识别，第二服务器可以动态实时地将全部有效的客户端收集起来生成预设列表，将预设列表发送至清洗设备，从而可以协助清洗设备有效区分合法用户的第一请求和攻击者的第一请求，对于不在预设列表中的源ip地址和应用名称对应的第一请求的网络流量进行流量清洗，从而可以确保清洗设备能够有效防御攻击者对第一服务器的cc攻击。

图8示出了根据本发明的示例性实施例二的预设列表生成方法的流程示意图；本实施例以第二服务器如何协助清洗设备对预设列表进行更新为例并结合图1进行示例性说明，如图8所示，包括如下步骤：

步骤801，接收来自清洗设备的第二请求。

步骤802，根据第二请求向清洗设备返回更新后的预设列表。

本实施例中的场景举例以及相应的有益技术效果可以参见上述图4所示实施例中的相关描述，在此不再详述。

图9示出了根据本发明的示例性实施例三的预设列表生成方法的流程示意图；本实施例以第二服务器如何协助清洗设备对预设列表进行更新为例并结合图1进行示例性说明，如图9所示，包括如下步骤：

步骤901，确定预设列表是否到达更新周期。

步骤902，当预设列表到达更新周期时，对预设列表进行更新。

步骤903，向清洗设备返回更新后的预设列表。

本实施例中的场景举例以及相应的有益技术效果可以参见上述图5所示实施例中的相关描述，在此不再详述。

对应于上述的防御流量攻击方法，本申请还提出了图10所示的根据本发明的一示例性实施例的清洗设备的示意结构图。请参考图10，在硬件层面，该清洗设备包括第一处理器、内部总线、第一网络接口、内存以及非易失性存储器，当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成防御流量攻击装置。当然，除了软件实现方式之外，本申请并不排除其他实现方式，比 如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

其中，第一网络接口，用于接收来自终端设备的第一请求，第一请求中携带有终端设备的源ip地址、所请求应用服务的应用名称；

第一处理器，用于确定源ip地址和应用名称是否在预设列表中，预设列表用于记录合法终端设备的ip地址和该ip地址对应的应用名称；根据确定结果，判断是否对第一请求的网络流量进行流量清洗。

对应于上述的预设列表生成方法，本申请还提出了图11所示的根据本发明的一示例性实施例的服务器的结构示意图。请参考图11，在硬件层面，该服务器包括第二处理器、内部总线、第二网络接口、内存以及非易失性存储器，当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成预设列表生成装置。当然，除了软件实现方式之外，本申请并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

其中，第二网络接口，用于接收来自终端设备的具有预设格式的心跳报文，心跳报文包括终端设备的源ip地址和所请求应用服务的应用名称；

第二处理器，用于根据源ip地址和应用名称生成预设列表。

图12示出了根据本发明的示例性实施例一的防御流量攻击装置的结构示意图；如图12所示，该防御流量攻击装置可以包括：第一接收模块21、第一确定模块22、流量清洗模块23。其中：

第一接收模块21，用于接收来自终端设备的第一请求，第一请求中携带有终端设备的源ip地址和所请求应用服务的应用名称；

第一确定模块22，用于确定第一接收模块21接收到的源ip地址和应用名称是否在预设列表中；

流量清洗模块23，用于根据第一确定模块22的确定结果，判断是否对第一接收模块接收到的第一请求的网络流量进行流量清洗。

图13示出了根据本发明的示例性实施例二的防御流量攻击装置的结构示意图；如图13所示，在上述图12所示实施例的基础上，装置还可包括：

第一转发模块24，用于当流量清洗模块23通过流量清洗确认第一请求的网络流量为正常流量时，根据目的ip地址将第一请求转发至与应用名称对应的第一服务器；

丢弃模块25，用于当流量清洗模块23通过流量清洗确认第一请求的网络流量为攻击流量时，丢弃第一请求。

在一实施例中，第一请求中还携带有目的ip地址，装置还可包括：

第二转发模块26，用于当第一确定模块22确定源ip地址和所请求应用服务的应用名称在预设列表中时，将第一请求转发至ip地址为目的ip地址的第一服务器。

在一实施例中，装置还可包括：

第二确定模块27，用于确定预设列表的更新周期；

第一发送模块28，用于当第二确定模块27确定预设列表到达更新周期时，向第二服务器发送第二请求；

第二接收模块29，用于接收第二服务器根据第一发送模块28发送的第二请求返回的更新后的预设列表；

第一下发模块30，用于将第二接收模块29接收到的更新后的预设列表下发到清洗设备的防护引擎。

图14示出了根据本发明的示例性实施例三的防御流量攻击装置的结构示意图；如图14所示，在上述图12或者图13所示实施例的基础上，装置还可包括：

第三接收模块31，用于接收来自服务器的预设列表，预设列表中包括用于更新预设列表的更新周期；

第四接收模块32，用于当预设列表到达第三接收模块31接收到的更新周期时，接收服务器在更新周期对应的时间段内更新后的预设列表；

第二下发模块33，用于将第四接收模块32接收到的更新后的预设列表 下发到清洗设备的防护引擎。

在一实施例中，装置还可包括：

第三确定模块34，用于确定预设列表的老化周期，老化周期大于或者等于预设列表的更新周期；

老化处理模块35，用于当第三确定模块34确定老化周期到达时，对预设列表中超过老化周期的源ip地址和所请求应用服务的应用服务进行老化处理。

图15示出了根据本发明的示例性实施例一的预设列表生成装置的结构示意图；如图15所示，预设列表生成装置包括：第四接收模块51、生成模块52；其中，

第四接收模块51，用于接收来自终端设备的具有预设格式的心跳报文，心跳报文包括终端设备的源ip地址和所请求应用服务的应用名称；

生成模块52，用于根据第四接收模块51接收到的源ip地址和应用名称生成预设列表。

图16示出了根据本发明的示例性实施例二的预设列表生成装置的结构示意图；如图16所示，在上述图15所示实施例的基础上，装置还可包括：

第五接收模块53，用于接收来自清洗设备的第二请求；

第一返回模块54，用于根据第五接收模块53接收到的第二请求向清洗设备返回更新后的预设列表。

在一实施例中，装置还可包括：

第四确定模块55，用于确定预设列表是否到达更新周期；

更新模块56，用于当第四确定模块确定55预设列表到达更新周期时，对预设列表进行更新；

第二返回模块57，用于向清洗设备返回更新模块56更新后的预设列表。

在一实施例中，装置还可以包括：

第二发送模块58，用于将生成模块52生成的预设列表发送至清洗设备。

在一实施例中，心跳报文中还携带有目的ip地址，第二发送模块58可 包括：

确定单元581，用于确定与目的ip地址距离最近的清洗设备；

发送单元582，用于将预设列表发送至与确定单元581确定的目的ip地址距离最近的清洗设备。

上述实施例可见，通过统计合法终端设备的真实ip地址的预设列表，从而可以对真实源ip地址的cc攻击作出有效防护。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。