一种Web服务器恶意攻击的阻断方法、装置及防火墙与流程

本发明属于信息安全技术领域，更具体的说，是涉及一种Web服务器恶意攻击的阻断方法、装置及防火墙。

背景技术：

随着互联网技术的不断发展，越来越多的用户需要接入到互联网中来获取资料、访问各种网站等活动，由于用户接入互联网所使用的都是IPV4地址，而IPV4地址的数量有限，导致了IPV4的地址枯竭。

为了应对IPV4地址枯竭的问题，大多数的公司、政府、网吧等具有数量较多客户端的场所基本都是将这些客户端设置为局域网，然后通过NAT设备进行NAT地址转换后，连接到互联网中的。这样就会使得局域网内的所有客户端只使用一个公网IP来访问互联网。

于此同时，针对Web服务器的恶意攻击也越来越猖獗。恶意攻击主要包括爬虫攻击和漏洞扫描攻击，攻击者通过扫描探测工具，自动化攻击工具等攻击Web服务器。

为了应对恶意攻击，网站部署防火墙等网络安全设备来增强Web服务器的安全性。现有防火墙应对Web服务器恶意攻击的方法是，一旦识别出攻击，就阻断IP地址的访问。

但是，由于局域网内有大量的用户，如果只是其中一个用户主动发起恶意攻击或由于中毒、木马等因素被动发起恶意攻击，一旦阻断该用户所使用IP地址的访问，就会造成整个局域网内的所有用户都无法访问Web服务器。对不具有恶意攻击的用户来说，也无法正常访问Web服务器。

因此，亟需一种在识别出攻击后，仍然可以保证局域网中不具有恶意攻击的正常用户可以正常访问Web服务器的方法。

技术实现要素：

有鉴于此，本发明提供了一种Web服务器恶意攻击的阻断方法、装置及防火墙，以解决现有技术中由于局域网中有异常用户而导致整个局域网中的所有用户都无法正常访问Web服务器的技术问题。

为实现上述目的，本发明提供如下技术方案：

本发明提供了一种Web服务器恶意攻击的阻断方法，包括：

接收客户端访问Web服务器所发送的访问请求；

判断所述访问请求是否为恶意攻击请求，若是，则将所述客户端标记为恶意攻击客户端；

丢弃所述访问请求并阻断所述恶意攻击客户端发送的后续访问请求。

优选的，所述将所述客户端标记为恶意攻击客户端包括：

解析所述访问请求，得到所述客户端的标识信息；

根据所述标识信息将预设模板中与所述标识信息相对应的客户端标记为恶意攻击客户端。

优选的，所述解析所述访问请求，得到所述客户端的标识信息包括：

使用协议解析的方法解析所述访问请求，得到解析结果；

判断所述解析结果中是否包含有Cookie；

若是，则将所述Cookie中访问Web服务器的会话信息作为所述客户端的标识信息；

若否，则根据所述解析结果，使用预设算法得到包含标识信息的Cookie；

将所述包含标识信息的Cookie作为重定向报文回复给所述客户端，以使所述客户端存储该Cookie并在下次访问请求中携带该Cookie。

优选的，所述解析所述访问请求，得到所述客户端的标识信息后还包括：

解析所述访问请求，得到所述客户端的IP地址；

根据所述客户端的IP地址以及所述客户端的标识信息生成预设模板。

优选的，其中，所述预设模板中同一IP地址对应多个客户端的标识信息，所述阻断方法还包括：

将所述预设模板中客户端的IP地址以及该IP地址下的客户端的标识信息使用报表和/或日志的方式发送到显示模块进行显示。

本发明另一方面提供了一种Web服务器恶意攻击的阻断装置，包括：

接收模块，用于接收客户端访问Web服务器所发送的访问请求；

判断模块，用于判断所述访问请求是否为恶意攻击请求，若是，则将所述客户端标记为恶意攻击客户端；

处理模块，用于丢弃所述访问请求并阻断所述恶意攻击客户端发送的后续访问请求。

优选的，所述判断模块包括：

解析单元，用于解析所述访问请求，得到所述客户端的标识信息；

标记单元，用于根据所述标识信息将预设模板中与所述标识信息相对应的客户端标记为恶意攻击客户端。

优选的，所述解析单元包括：

第一解析子单元，用于使用协议解析的方法解析所述访问请求，得到解析结果；

判断单元，用于判断所述解析结果中是否包含有Cookie；若是，则将所述Cookie中访问Web服务器的会话信息作为所述客户端的标识信息；若否，则根据所述解析结果，使用预设算法得到包含标识信息的Cookie；

重定向单元，用于将所述包含标识信息的Cookie作为重定向报文回复给所述客户端，以使所述客户端存储该Cookie并在下次访问请求中携带该Cookie。

优选的，还包括：

第二解析子单元，用于解析所述访问请求，得到所述客户端的IP地址；

生成单元，用于根据所述客户端的IP地址以及所述客户端的标识信息生成预设模板。

本发明另一方面公开了一种防火墙，包括上述所述的阻断装置。

经由上述的技术方案可知，与现有技术相比，本发明公开了一种Web服务器恶意攻击的阻断方法、装置及防火墙，所述阻断方法包括：接收客户端访问Web服务器所发送的访问请求；判断所述访问请求是否为恶意攻击请求，若是，则将所述客户端标记为恶意攻击客户端；丢弃所述访问请求并阻断所述恶意攻击客户端发送的后续访问请求。由此可见，本发明中，不是直接对IP地址进行阻断，而是仅仅对发起恶意攻击的客户端进行阻断，保证了局域网中不具有恶意攻击的正常用户仍然可以正常访问Web服务器。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种Web服务器恶意攻击的阻断方法的流程示意图；

图2为本发明实施例提供的一种Web服务器恶意攻击的阻断方法的另一种流程示意图；

图3为本发明实施例提供的一种Web服务器恶意攻击的阻断装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在现有技术中，对恶意攻击的阻断方法是一旦发现访问请求是恶意攻击，则获取发送访问请求客户端的IP地址，然后通过阻断IP地址的方式来阻断此客户端对Web服务器的恶意攻击。

此种针对IP的阻断，只记录了阻断IP的日志信息，对于真正攻击者的调查取证无法提供证据信息。

而且，一旦阻断该用户所使用IP地址的访问，就会造成整个局域网内的所有用户都无法访问Web服务器。对不具有恶意攻击的用户来说，也无法正常访问Web服务器。

为了解决现有技术中所存在的问题，本发明实施例公开了一种Web服务器恶意攻击的阻断方法、装置及防火墙。下面详细说明本发明的技术方案。

图1是本发明提供的一种Web服务器恶意攻击的阻断方法的流程示意图。

参见图1所示，本发明提供了一种Web服务器恶意攻击的阻断方法，包括：

S101、接收客户端访问Web服务器所发送的访问请求；

本发明实施例中，所述阻断方法优选应用到防火墙中。防火墙架设在Web服务器与客户端之间，作为连接Web服务器与客户端的一个桥梁。

在实际使用中，通常将防火墙部署为网关模式，任何需要访问Web服务器的流量或请求都需要经过防火墙才能通过。

因此，本发明实施例中，当客户端需要访问Web服务器时，防火墙会在访问请求发送到Web服务器之前接收客户端发送的访问请求。

在实际使用中，此步骤也可以是实时检测客户端访问Web服务器的流量，所述流量中包括所述客户端访问Web服务器的访问请求。

S102、判断所述访问请求是否为恶意攻击请求，若是，则将所述客户端标记为恶意攻击客户端；

当接收到访问请求时，使用现有技术中成熟的检测手段来判断此请求是否为恶意攻击请求，例如恶意爬虫、漏洞扫描等攻击请求。

若是，则对发起攻击的客户端进行标记，将其标记为恶意攻击客户端。

在实际使用中可以是识别出流量中是否存在恶意攻击请求，若存在，则将所述客户但标记为恶意攻击客户端。

若否，可以对该访问请求放行，使得客户端可以正常访问Web客户端，当然，也可以执行其它策略，例如Web服务器是否到达访问上限等，在对此请求执行对应的后续操作即可，在此不进行赘述。

S103、丢弃所述访问请求并阻断所述恶意攻击客户端发送的后续访问请求。

若此访问请求为恶意攻击请求，丢弃访问请求，即丢弃客户端发送的数据包或报文。保护Web服务器不受到攻击。

并且，阻断恶意攻击客户端发送的后续请求。也就是将客户端屏蔽，阻断其与Web服务器的通信和连接，并阻止其在后续的时间段内试图与Web服务器进行再一次的攻击。后续时间段可以由用户根据实际的情况或参考来设定具体值，例如1小时、1天、一周或永久。

当然，当标记被清除或到达了限制时间后，就不会在对客户端进行屏蔽，还可以发出提示请求，来询问用户是否清除标记，用户根据实际情况来对标记进行操作，接收用户对该恶意客户端标记的操作，对标记进行清除或保留操作。

经由上述的技术方案可知，与现有技术相比，本发明公开了一种Web服务器恶意攻击的阻断方法，包括：接收客户端访问Web服务器所发送的访问请求；判断所述访问请求是否为恶意攻击请求，若是，则将所述客户端标记为恶意攻击客户端；丢弃所述访问请求并阻断所述恶意攻击客户端发送的后续访问请求。由此可见，本发明中，不是直接对IP地址进行阻断，而是仅仅对发起恶意攻击的客户端进行阻断，保证了局域网中不具有恶意攻击的正常用户仍然可以正常访问Web服务器。

对访问请求执行解析，来获取到客户端的标识信息。所述标识信息用于表征所述客户端访问Web服务器的记录。

上述实施例中，需要判断所述访问请求是否为恶意攻击请求下面对此过程进行进一步的介绍。

参照图2所示，图2是本发明实施例中提供的一种Web服务器恶意攻击的阻断方法的另一种流程示意图。

本发明提供的一种Web服务器恶意攻击的阻断方法，包括：

S201、接收客户端访问Web服务器所发送的访问请求；

S202、解析所述访问请求，得到所述客户端的标识信息；

根据所述标识信息将预设模板中与所述标识信息相对应的客户端标记为恶意攻击客户端。

S203、丢弃所述访问请求并阻断所述恶意攻击客户端发送的后续访问请求。

其中，S201与S203与前述S101和103相同，不在此过多赘述。

下面主要对步骤S202进行介绍。

本发明中的预设模板包括多个客户端以及各自对应的标识信息，即，在预设模板中是包括有每个访问Web服务器的客户端以及每个客户端对应的标识信息。

在分析出访问请求为恶意攻击请求后，根据客户端的标识信息将预设模板中的该客户端进行标记，标记可以是通过策略表的方式与预设模板进行关联，策略表中有对恶意攻击客户端的执行策略。也可以是在预设模板中设置标记数据列。当然，还可以是其它形式，只要可以将攻击客户端标记为恶意攻击客户端即可，在此不进行具体限定。

其中，S202可以分成如下步骤。

所述解析所述访问请求，得到所述客户端的标识信息包括：

使用协议解析的方法解析所述访问请求，得到解析结果；

判断所述解析结果中是否包含有Cookie；

若是，则将所述Cookie中访问Web服务器的会话信息作为所述客户端的标识信息；

若否，则根据所述解析结果，使用预设算法得到包含标识信息的Cookie；

将所述包含标识信息的Cookie作为重定向报文回复给所述客户端，以使所述客户端存储该Cookie并在下次访问请求中携带该Cookie。

通常，在本领域中，如果用户访问了某网站，即用户使用的客户端访问Web服务器，通常都会指示客户端存储访问此网站的记录，一般是指示客户端存储Cookie。在Cookie中，通常都包含有会话信息即知名会话标识sessionID，每一个客户端的sessionID的具体值是唯一的，因此，每个会话信息是不同的。该知名sessionID可以表征客户端访问了某Web服务器。例如新浪、搜狐等，在Cookie文件中都有自己的sessionID。

因此，本发明实施例中，获取客户端的标识信息，可以理解为获取Cookie中的知名sessionID。

本发明实施例中，使用现有技术中成熟的协议解析方法对访问请求进行解析，得到解析结果。解析结果中包客户端的IP地址，User-Agent(UA，通常包含操作系统、浏览器信息)，Accept(浏览器接收的文件类型)，Cookie。还可以包括Host(域名)、Accept-Language(浏览器接收的语言)、请求方法URL等与客户端相关的数据。

如果在解析结果中具有Cookie，则证明此客户端访问过Web服务器，将Cookie中的会话信息作为所述客户端的标识信息。

如果否，也就是不包含知名sessionID的情况。则根据解析结果，使用预设算法生成唯一的标识信息，并将该标识信息携带到Cookie中作为重定向报文回复给所述客户端，结束此次会话，即断开与客户端的连接。

客户端接收到此Cookie后，存储此Cookie，作为下一次访问请求中的数据发送到防火墙。

需要说明的是，如果解析结果中包括Cookie时，还可以判断此Cookie中是否包含有客户端的会话信息，如果没有获取到，也会执行后续步骤，生成唯一的标识信息，将所述包含标识信息的Cookie作为重定向报文回复给所述客户端。

计算出客户端的标识信息可以根据IP、User-agent(UA，通常包含操作系统、浏览器信息)、Accept(浏览器接收的文件类型)、Host(域名)、Accept-Language(浏览器接收的语言)、请求方法URL等字段以及时间计算所得，具体的计算方式在此不进行限定，只要可以得到唯一的标识信息即可。

上述实施例中，提到了预设模板，下面对生成预设模板的方法进行介绍。

所述解析所述访问请求，得到所述客户端的标识信息后还包括：

解析所述访问请求，得到所述客户端的IP地址；

根据所述客户端的IP地址以及所述客户端的标识信息生成预设模板。

在接收到客户端发送的访问请求后，不管此访问请求是否为恶意攻击，都会将客户端的IP地址以及客户端的标识信息作为对应关系存储在预设模板中。预设模版可以理解为IP以及标识的对应表。

可选的，所述预设模板中同一IP地址对应多个客户端的标识信息，所述阻断方法还包括：

将所述预设模板中客户端的IP地址以及该IP地址下的客户端的标识信息使用报表和/或日志的方式发送到显示模块进行显示。

在建立了预设模板后，可以根据IP和客户端标识，进行报表和日志展示。

按照所述对应关系将所述预设模板中客户端的IP地址以及该IP地址下的客户端的标识信息使用报表和/或日志的方式发送到显示模块进行显示。

当识别出所述访问请求为恶意攻击或者检测流量里的具有恶意攻击时，将包含有该客户端历史访问文件、攻击碎片、访问时间等信息上传到事件日志中，同时在事件日志中记录该客户端标识信息，存储在数据库中。

根据上述的介绍可以看出，本发明具有如下效果：

1)识别客户端标示和NAT转换IP，可以用于攻击溯源的跟踪，根据客户端信息，定位攻击者设备。

2)不阻断IP，根据客户端标示阻断，避免在NAT转换的环境里，对整个局域网的阻断。

3)攻击IP和客户端标示对应模板，可以用来进行攻击的溯源，通过IP定位到攻击者所在的局域网，通过客户端标识信息，区分局域网里的设备。追踪客户端标示的攻击事件，可以从同一个IP但不同客户端的维度，进行报表展示。报表中记录不同客户端的访问行为，攻击行为，统计同一个IP局域网内客户端的数量，对比不同客户端的行为，对可疑客户端行为进行展示。

与上述方法实施例相对应的，本发明实施例中提供了一种Web服务器恶意攻击的阻断装置。

参见图3，本发明提供的一种Web服务器恶意攻击的阻断装置包括：

一种Web服务器恶意攻击的阻断装置，其特征在于，包括：

接收模块301，用于接收客户端访问Web服务器所发送的访问请求；

判断模块302，用于判断所述访问请求是否为恶意攻击请求，若是，则将所述客户端标记为恶意攻击客户端；

处理模块303，用于丢弃所述访问请求并阻断所述恶意攻击客户端发送的后续访问请求。

可选的，所述判断模块包括：

解析单元，用于解析所述访问请求，得到所述客户端的标识信息；

标记单元，用于根据所述标识信息将预设模板中与所述标识信息相对应的客户端标记为恶意攻击客户端。

可选的，所述解析单元包括：

第一解析子单元，用于使用协议解析的方法解析所述访问请求，得到解析结果；

判断单元，用于判断所述解析结果中是否包含有Cookie；若是，则将所述Cookie中访问Web服务器的会话信息作为所述客户端的标识信息；若否，则根据所述解析结果，使用预设算法得到包含标识信息的Cookie；

重定向单元，用于将所述包含标识信息的Cookie作为重定向报文回复给所述客户端，以使所述客户端存储该Cookie并在下次访问请求中携带该Cookie。

可选的，还包括：

第二解析子单元，用于解析所述访问请求，得到所述客户端的IP地址；

生成单元，用于根据所述客户端的IP地址以及所述客户端的标识信息生成预设模板。

需要说明的是，本实施例的一种Web服务器恶意攻击的阻断装置可以采用上述方法实施例中的一种Web服务器恶意攻击的阻断方法，用于实现上述方法实施例中的全部技术方案，其各个模块的功能可以根据上述方法实施例中的方法具体实现，其具体实现过程可参照上述实施例中的相关描述，此处不再赘述。

本发明另一方面公开了一种防火墙，包括上述所述的阻断装置。

经由上述的技术方案可知，与现有技术相比，经由上述的技术方案可知，与现有技术相比，本发明公开了一种Web服务器恶意攻击的阻断方法、装置及防火墙，所述阻断装置接收客户端访问Web服务器所发送的访问请求；判断所述访问请求是否为恶意攻击请求，若是，则将所述客户端标记为恶意攻击客户端；丢弃所述访问请求并阻断所述恶意攻击客户端发送的后续访问请求。由此可见，本发明中，不是直接对IP地址进行阻断，而是仅仅对发起恶意攻击的客户端进行阻断，保证了局域网中不具有恶意攻击的正常用户仍然可以正常访问Web服务器。

当然，防火墙也可以实现上述阻断装置相同的功能。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

以上结合附图对本发明所提出的方法进行了示例性描述，以上实施例的说明只是用于帮助理解本发明的核心思想。对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。