.baidu.com发起访问。在本发明的实施例中访问请求为HTTP请求,判断HTTP请求中是否含有Cookie,如果含有Cookie,判断Cookie中是否含有GATEUSERID字段;如果含有GATEUSERID字段,判断GATEUSERID字段的值是否可以转化为一个小于2~32-1的值;如果该值可以转化为一个小于2~32-1的值,判断该Cookie是否在预设时间内;如果在预设时间内,即为有效的访问令牌。
[0059]如果安全网关200检测出访问请求中标识信息里含有有效的访问令牌,允许客户端对Web服务器300执行访问。如果安全网关200检测出访问请求中标识信息里没有含有有效的访问令牌,执行上述步骤S208至步骤S211。
[0060]步骤S213,安全网关200定时,老化访问令牌。
[0061]在步骤S212中,安全网关200生成访问令牌T时,安全网关200中记录该访问令牌T的生成时间,并设定有效期X秒;当访问令牌没有超过有效性X秒时,该访问令牌T为有效的访问令牌,如果访问令牌超过有效性X秒时,该访问令牌T为无效的访问令牌,即老化掉该访问令牌。需要说明的是,上述有效器X秒可由安全网关管理员根据实际情况设定。通过该步骤,提升了对访问令牌的可信性。
[0062]优选地,可以设定URL、IP等免检测名单,使用在白名单中的IP、URL不受安全网关200的保护。
[0063]优选地,可以设定URL、IP等必检名单,使用在黑名单中的IP、URL受到安全网关200的保护。
[0064]需要说明的是,上述的标识信息,在本发明的实施例中为客户端本地站点的Cookie0
[0065]需要说明的是,正常用户和攻击者的客户端都通过网络访问Web服务器。中间通过保护Web服务器的安全网关,正常用户的客户端请求Web服务器某一资源时,会有正常的包序列,例如SYN,ACK,HTTPREQUEST,RST等;并且会对安全网关回应的指示(例如,本实施例中的请求响应包)做出相应操作;而攻击者的客户端在发送完访问请求包以后,包序列有缺失,并且不会对回应的重定向指示做出相应动作;可以据此对正常用户和攻击者进行区分,从而阻断网络攻击,保护Web服务器。
[0066]具体地,如果客户端发出的访问请求是网络攻击的非法请求,在安全网关发送请求响应包至客户端之后,客户端不会根据该请求响应包从步骤S201开始重复执行,如果客户端100发出的访问请求是合法请求,在安全网关发送请求响应包至客户端之后,客户端100根据该请求响应包从步骤S201开始重复执行。安全网关200允许该客户端100访问Web服务器300。通过上述步骤,解决了现有技术中网络攻击Web服务器,消耗Web服务器资源的问题。优选地,解决了现有技术中CC攻击Web服务器,消耗Web服务器资源的问题。
[0067]需要说明的是,CC攻击为攻击者借助代理服务器生成指向受害主机的合法请求,实现DD0S,和伪装就叫:CC(Challenge Collapsar)。CC主要是用来攻击页面。例如,在进行论坛访问时,如果该论坛较大,访问的人数较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就越多。CC攻击充分利用了这个特点,模拟多个用户(即多少线程)不停的访问服务器,特别是访问那些需要大量数据操作,即需要大量CPU时间的页面。从而消耗服务器资源。导致服务器连接池和资源池耗尽,无法响应正常用户的请求,导致整个系统瘫痪的严重后果。
[0068]本发明实施例提供的防止网络攻击Web服务器的处理系统,客户端100 ;安全网关200 ;以及Web服务器300 ;其中,安全网关200接收访问请求,安全网关200检测标识信息中是否包括有效的访问令牌,如果安全网关200检测标识信息中包括有效的访问令牌,则允许客户端100对Web服务器300执行访问,以及如果安全网关200检测标识信息中不包括有效的访问令牌,则拒绝客户端100访问Web服务器300,其中,访问请求是客户端100请求访问Web服务器300的请求,访问请求包括客户端100的标识信息,访问令牌用于验证客户端100请求访问Web服务器300的合法性。解决了现有技术中网络攻击Web服务器,消耗Web服务器资源的问题,进而达到有效的防范网络攻击Web服务器,保证Web服务器的正常运行的效果。
[0069]图3是根据本发明实施例的防止网络攻击Web服务器的处理方法的流程图。如图3所示,该方法包括如下的步骤S301至步骤S304:
[0070]步骤S301,安全网关接收访问请求。
[0071]安全网关接收客户端发送的访问请求,其中,访问请求是客户端请求访问Web服务器的请求,访问请求包括客户端的标识信息。
[0072]步骤S302,安全网关检测标识信息中是否包括有效的访问令牌。
[0073]安全网关检测接收到的访问请求信息中的标识信息是否包括有效的访问令牌,访问令牌用于验证客户端请求访问Web服务器的合法性。
[0074]步骤S303,如果安全网关检测标识信息中包括有效的访问令牌,则允许客户端对Web服务器执行访问。
[0075]如果安全网关检测标识信息中包括有效的访问令牌,即该访问请求为合法的访问请求,因此安全网关允许客户端对Web服务器执行访问。
[0076]步骤S304,如果安全网关检测标识信息中不包括有效的访问令牌,则拒绝客户端访问Web服务器。
[0077]如果安全网关检测标识信息中不包括有效的访问令牌,即该访问请求为异常的访问请求或第一次访问Web服务器的请求,安全网关拒绝客户端访问Web服务器。
[0078]具体地,访问请求包括第一访问请求,第一访问请求标识信息中不包括有效的访问令牌,安全网关在判断出标识信息中不包括有效的访问令牌之后,该方法还包括:安全网关发送有效的访问令牌至客户端;安全网关检测是否接收到客户端发出的第二访问请求,其中,第二访问请求是客户端在接收到有效的访问令牌之后,再次请求访问Web服务器的请求;如果安全网关接收到客户端发出的第二访问请求,则允许客户端对Web服务器执行访问;以及如果安全网关没有接收到客户端发出的第二访问请求,则拒绝客户端访问Web服务器。
[0079]在检测出出异常的访问请求或第一次正常的访问请求不包括有效的访问令牌后,该安全网关发送有效的访问令牌至客户端,检测是否收到第二访问请求来决定是否允许客户端访问Web服务器。因为,即对Web服务器进行访问,其中,第二访问请求是客户端重新进行Web服务器访问时发出的请求,如果客户端发出的第一访问请求是网络攻击的非法请求,在安全网关发送有效的访问令牌至客户端之后,客户端不会发出第二访问请求,如果客户端发出的第一访问请求是合法请求,在安全网关发送有效的访问令牌至客户端之后,则客户端重新进行Web服务器访问。可以据此对合法请求和非法请求进行区分,从而阻断网络攻击,保护Web服务器。
[0080]优选地,在本发明实施例提供的防止网络攻击Web服务器的处理方法中,,安全网关发送有效的访问令牌至客户端包括:安全网关生成请求响应信息,其中,请求响应信息是安全网关根据接收到的第一访问请求生成的信息;安全网关生成有效的访问令牌;安全网关根据有效的访问令牌和请求响应信息生成请求响应包;以及安全网关发送请求响应包至客户端。
[0081]优选地,为了保证访问令牌的有效性,在本发明实施例提供的防止网络攻击Web服务器的处理方法中,安全网关检测标识信息中是否包括有效的访问令牌包括:检测标识信息中是否包括访问令牌;如果检测出标识信息中包括访问令牌,判断访问令牌是否符合预设的合法性条件;以及如果访问令牌符合预设的合法性条件,判断访问令牌是否超过预设时间;其中,如果判断出标识信息中访问令牌没有超过预设时间,则确定标识信息中访问令牌为有效的访问令牌,如果判断出标识信息中访问令牌不符合预设的合法性条件或标识信息中访问令牌超过预设时间,则确定标识信息中访问令牌不是有效的访问令牌。
[0082]优选地,为了快速的建立客户端与Web服务器之间的连接,在本发明实施例提供的防止网络攻击Web服务器的处理方法中,在安全网关接收访问请求之前,该方法还包括:安全网关接收握手信号,其中,握手信号为客户端向Web服务器发出建立连接的信号;安全网关转发握手信号至Web服务器;安全网关接收应