本發明專利技術提供了一種拒絕服務攻擊的防護方法和裝置。其中,拒絕服務攻擊的防護方法包括以下步驟:獲取主機受到拒絕服務攻擊的觸發事件;根據請求源向主機發出的訪問請求生成帶有驗證數據的應答消息,并返回給請求源;獲取請求源對應答消息的響應,并判斷響應中是否包括驗證數據的回應數據以及回應數據是否與驗證數據匹配;若以上任一判斷結果為否,截留請求源向主機發出的訪問請求。利用本發明專利技術的拒技術方案保障了防護目標主機的安全可靠運行,提高了網絡安全性。
【技術實現步驟摘要】
拒絕服務攻擊的防護方法和裝置
本專利技術涉及互聯網安全領域,特別是涉及一種拒絕服務攻擊的防護方法和裝置。
技術介紹
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問,是黑客常用的攻擊手段之一。利用大量超出響應能力的請求消耗大量攻擊目標的資源,這些資源包括磁盤空間、內存、進程甚至網絡帶寬,從而阻止正常用戶的訪問。嚴重時可以使某些服務被暫停甚至主機死機。作為拒絕服務攻擊的一種,CC攻擊(ChallengeCollapsar,挑戰黑洞攻擊),是利用不斷對網站發送連接請求,致使形成拒絕服務的目的的一種惡意攻擊手段。其原理為模擬多個用戶不停地進行訪問那些需要大量數據操作的頁面,造成目標主機服務器資源耗盡,一直到宕機崩潰。由于CC攻擊的攻擊方式是通過模擬用戶的訪問請求,難以進行區分,而且CC攻擊的技術門檻較低,利用一些工具和一定熟練數量的代理IP就可以進行攻擊,而且CC攻擊的攻擊效果明顯。現有技術中針對拒絕服務攻擊,特別是CC攻擊的處理方案,主要在于對目標服務器的優化,例如禁止網站代理訪問,限制連接數量,盡量將網站做成靜態頁面等方法。然而以上禁止代理訪問和限制連接數量的方法會影響正常用戶訪問網站,另外由于網頁的類型和內容的限制,也無法將網頁全部設置為靜態頁面,而且這種方式也不能完全消除拒絕服務攻擊的效果。
技術實現思路
鑒于上述問題,提出了本專利技術以便提供一種克服上述問題或者至少部分地解決上述問題的拒絕服務攻擊的防護裝置和相應的拒絕服務攻擊的防護方法。本專利技術一個進一步的目的是要使得消除拒絕服務攻擊對目標主機的攻擊效果。依據本專利技術的一個方面,提供了一種拒絕服務攻擊的防護方法。該拒絕服務攻擊的防護方法包括以下步驟:獲取主機受到拒絕服務攻擊的觸發事件;根據請求源向主機發出的訪問請求生成帶有驗證數據的應答消息,并返回給請求源;獲取請求源對應答消息的響應,并判斷響應中是否包括驗證數據的回應數據以及回應數據是否與驗證數據匹配;若以上任一判斷結果為否,截留請求源向主機發出的訪問請求。可選地,觸發事件的生成步驟包括:獲取向主機發出的訪問請求;對訪問請求進行拒絕服務攻擊識別,并按照拒絕服務攻擊識別的結果產生主機受到拒絕服務攻擊的觸發事件。可選地,如果判斷響應中包括對驗證數據的回應數據且回應數據與驗證數據匹配,允許訪問請求向主機發送。可選地,在截留請求源向主機發出的訪問請求之后還包括:對請求源的訪問日志進行分析,以確定對請求源的防護的有效性。可選地,驗證數據為瀏覽器用戶信息cookie,與帶有cookie信息的應答消息匹配的回應數據為帶有cookie信息跳轉至主機地址的請求。可選地,驗證數據為腳本文件,與帶有腳本文件的應答消息匹配的回應數據為腳本文件的執行結果。可選地,驗證數據為圖片數據,與帶有圖片數據的應答消息匹配的回應數據為帶有圖片數據文字識別結果的跳轉至主機地址的請求。根據本專利技術的另一個方面,還提供了一種拒絕服務攻擊的防護裝置。該拒絕服務攻擊的防護裝置包括:事件獲取模塊,用于獲取主機受到拒絕服務攻擊的觸發事件;應答模塊,用于根據請求源向主機發出的訪問請求生成帶有驗證數據的應答消息,并返回給請求源;判斷模塊,用于獲取請求源對應答消息的響應,并判斷響應中是否包括驗證數據的回應數據以及回應數據是否與驗證數據匹配;執行模塊,用于以上任一判斷結果為否,截留請求源向主機發出的訪問請求。可選地,事件獲取模塊被配置為:獲取向主機發出的訪問請求;對訪問請求進行拒絕服務攻擊識別,并按照拒絕服務攻擊識別的結果產生主機受到拒絕服務攻擊的觸發事件。可選地,執行模塊還用于:在判斷模塊的判斷結果均為是的情況下,允許訪問請求向主機發送。可選地,上述拒絕服務攻擊的防護裝置還包括:日志分析模塊,用于對請求源的訪問日志進行分析,以確定對請求源的防護的有效性。可選地,應答模塊返回的應答消息中包含的驗證數據包括以下任意一項:瀏覽器用戶信息cookie、腳本文件、圖片數據。本專利技術的拒絕服務攻擊的防護方法和防護裝置在確定防護目標主機受到拒絕服務攻擊時,向攻擊源返回驗證信息,在驗證信息不符合要求的情況下,忽略請求信息,對于防護目標主機而言,可以確保可靠運行,向正常用戶提供相應服務。從而保障了防護目標主機的安全可靠運行,提高了網絡安全性。進一步地,采用多種方式配合的方式進行驗證信息的反饋和驗證,構成了多層次的防護手段。又進一步地,根據拒絕服務攻擊的攻擊特征對以及防護目標主機的訪問特點對拒絕服務攻擊的攻擊源進行識別,盡量減小對正常訪問的影響,提高了用戶體驗。上述說明僅是本專利技術技術方案的概述,為了能夠更清楚了解本專利技術的技術手段,而可依照說明書的內容予以實施,并且為了讓本專利技術的上述和其它目的、特征和優點能夠更明顯易懂,以下特舉本專利技術的具體實施方式。根據下文結合附圖對本專利技術具體實施例的詳細描述,本領域技術人員將會更加明了本專利技術的上述以及其他目的、優點和特征。附圖說明通過閱讀下文優選實施方式的詳細描述,各種其他的優點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優選實施方式的目的,而并不認為是對本專利技術的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:圖1是根據本專利技術一個實施例的拒絕服務攻擊的防護裝置200的網絡應用環境的示意圖;圖2是根據本專利技術一個實施例的拒絕服務攻擊的防護裝置200示意圖;以及圖3是根據本專利技術一個實施例的拒絕服務攻擊的防護方法的示意圖。具體實施方式在此提供的算法和顯示不與任何特定計算機、虛擬系統或者其它設備固有相關。各種通用系統也可以與基于在此的示教一起使用。根據上面的描述,構造這類系統所要求的結構是顯而易見的。此外,本專利技術也不針對任何特定編程語言。應當明白,可以利用各種編程語言實現在此描述的本專利技術的內容,并且上面對特定語言所做的描述是為了披露本專利技術的最佳實施方式。圖1是根據本專利技術一個實施例的拒絕服務攻擊的防護裝置200的網絡應用環境的示意圖,在圖中,網頁客戶端110訪問目標網站時,經過域名解析系統的解析,將輸入的域名解析為網頁防護系統分布在各地機房的節點服務器120對應的地址,節點服務器120通過互聯網向目標網站的主機(host)140發出訪問請求,在host140之前設置了網頁應用防護系統130(WebApplicationFirewall,簡稱WAF),向目標主機140發出的訪問請求必須經過WAF130才能到達目標主機140,WAF130作為網站防火防火墻,提供網站的加速和緩存服務,可防止黑客利用跨站注入等漏洞對網站進行入侵,保護網站不被篡改和入侵,提高網站主機的安全性。本專利技術實施例的拒絕服務攻擊的攻擊源的識別裝置200與多個WAF130數據連接,根據WAF130收到的向目標主機140發送的訪問請求進行拒絕服務攻擊的攻擊源識別。拒絕服務攻擊的方式包含以下多種方式:使用單一互聯網協議地址(InternetProtocol,進程IP地址)對某一host的單個統一資源定位符(UniformResourceLocator,簡稱URL)進行攻擊、使用多個IP對單個URL進行攻擊、使用單一IP對多個URL進行攻擊、使用多個IP對多個URL進行攻擊。本專利技術實施例的拒絕服務攻擊的拒絕服務攻擊的防護裝置200及其相應的拒絕服務攻擊的防護本文檔來自技高網...
【技術保護點】
一種拒絕服務攻擊的防護方法,包括:獲取主機受到拒絕服務攻擊的觸發事件;根據請求源向所述主機發出的訪問請求生成帶有驗證數據的應答消息,并返回給所述請求源;獲取所述請求源對所述應答消息的響應,并判斷所述響應中是否包括所述驗證數據的回應數據以及所述回應數據是否與所述驗證數據匹配;若以上任一判斷結果為否,截留所述請求源向所述主機發出的訪問請求。
【技術特征摘要】
1.一種拒絕服務攻擊的防護方法,包括:獲取主機受到拒絕服務攻擊的觸發事件;根據請求源向所述主機發出的訪問請求生成帶有驗證數據的應答消息,并返回給所述請求源;獲取所述請求源對所述應答消息的響應,并判斷所述響應中是否包括所述驗證數據的回應數據以及所述回應數據是否與所述驗證數據匹配;若以上任一判斷結果為否,截留所述請求源向所述主機發出的訪問請求,在截留所述請求源向所述主機發出的訪問請求之后還包括:對所述請求源的訪問日志進行分析,以確定對所述請求源的防護的有效性,其中所述驗證數據包括:瀏覽器用戶信息cookie、腳本文件、圖片數據,并且在通過對所述訪問日志的分析確定采用cookie驗證被繞過后,開啟腳本文件驗證,在確定采用腳本文件驗證被繞過后,開啟圖片數據驗證。2.根據權利要求1所述的方法,其中,所述觸發事件的生成步驟包括:獲取向所述主機發出的訪問請求;對所述訪問請求進行拒絕服務攻擊識別,并按照所述拒絕服務攻擊識別的結果產生主機受到拒絕服務攻擊的觸發事件。3.根據權利要求1所述的方法,其中,如果判斷所述響應中包括對所述驗證數據的回應數據且所述回應數據與所述驗證數據匹配,允許所述訪問請求向所述主機發送。4.根據權利要求1至3中任一項所述的方法,其中,所述驗證數據為瀏覽器用戶信息cookie時,與帶有所述cookie信息的應答消息匹配的回應數據為帶有所述cookie信息跳轉至所述主機地址的請求。5.根據權利要求1至3中任一項所述的方法,其中,所述驗證數據為腳本文...
【專利技術屬性】
技術研發人員:蔣文旭,
申請(專利權)人:北京奇虎科技有限公司, 奇智軟件北京有限公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。