CN101969445B - 防御DDoS和CC攻击的方法和装置 - Google Patents
防御DDoS和CC攻击的方法和装置 Download PDFInfo
- Publication number
- CN101969445B CN101969445B CN201010530032.4A CN201010530032A CN101969445B CN 101969445 B CN101969445 B CN 101969445B CN 201010530032 A CN201010530032 A CN 201010530032A CN 101969445 B CN101969445 B CN 101969445B
- Authority
- CN
- China
- Prior art keywords
- server
- ddos
- attack
- described server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防御DDoS和CC攻击的方法和装置。其中,该方法包括利用网络爬虫到需要保护的服务器中收集服务器的处理信息;将收集到的服务器的处理信息记录到与服务器相连的网关设备中;根据服务器的处理信息配置DDoS和CC的攻击防护策略;利用配置的DDoS和CC的攻击防护策略使服务器免受DDoS和CC的攻击。本发明能够使用网络爬虫对所保护的服务器进行详尽的资源分析,根据分析结果及安全策略对DDoS和CC的攻击进行防御,比传统的防护方式更为精准和智能。另外,本发明还能为所保护的服务器量身定做安全防护策略,不但可以更好地进行DDoS和CC攻击防护,还可以充分利用服务器的资源。
Description
技术领域
本发明涉及网络安全领域,特别地,涉及一种防御DDoS和CC攻击的方法和装置。
背景技术
随着Internet互联网络带宽的增加和多种分布式拒绝服务攻击(Distributed Denial of Service,DDoS)黑客工具的不断发布,DDoS攻击事件正在成上升趋势。商业竞争、打击报复和网络敲诈等多种因素导致很多互联网数据中心(Internet Data Center,IDC)托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDoS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDoS攻击问题成为网络服务商必须考虑的头等大事。
目前对于DDoS的防范没有特别行之有效的办法,主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显,在所有的防御措施中硬件安防设施(硬件防火墙)是最有效的,但是硬件防火墙也无法杜绝所有攻击,仅仅能起到降低攻击级别的效果,DDoS攻击只能被减弱,无法被彻底消除。
CC攻击(Connections Flood)模拟多个用户不停的进行访问需要服务器进行大量数据操作的页面,最终耗尽服务器资源,达到攻击目的。CC攻击是一般硬件防火墙很难防住的,因为:CC攻击的IP地址都是真实的,分散的;CC攻击的数据包都是正常的数据包;CC攻击的请求,全都是有效的请求,无法拒绝的请求。因此,只单纯凭借硬件或是软件很难达到良好的防御攻击效果,需要一种将硬件和软件结合起来,并能有效防御各种DDoS及CC攻击的防护方式。
另外,当前的防护方式对所保护的服务器缺乏针对性,通常难以最大限度地使服务器资源投入使用。
发明内容
本发明要解决的一个技术问题是提供一种防御DDoS和CC攻击的方法和装置,能够使所保护的服务器免受DDoS和CC的攻击。
根据本发明的一方面,提出了一种防御DDoS和CC攻击的方法,包括利用网络爬虫到需要保护的服务器中收集服务器的处理信息;将收集到的服务器的处理信息记录到与服务器相连的网关设备中;根据服务器的处理信息配置DDoS和CC的攻击防护策略;利用配置的DDoS和CC的攻击防护策略使服务器免受DDoS和CC的攻击。
根据本发明方法的一个实施例,服务器的处理信息包括服务器中每部分资源被访问时所消耗的资源、服务器中每部分资源被访问时所需要的处理时间以及服务器能支持的连接数。
根据本发明方法的另一实施例,利用配置的DDoS和CC的攻击防护策略使服务器免受DDoS和CC的攻击的步骤包括实时检测并分析用户访问服务器时的HTTP流量中的信息;利用DDoS和CC的攻击防护策略和HTTP流量中的信息判断服务器是否遭受攻击;如果遭受攻击,则拒绝接受用户对服务器的访问。
根据本发明方法的又一实施例,DDoS和CC的攻击防护策略至少包括设定访问流量阈值和连接数阈值中的一个。
根据本发明的另一方面,还提出了一种防御DDoS和CC攻击的装置,包括信息收集模块,用于利用网络爬虫到需要保护的服务器中收集服务器的处理信息;信息记录模块,与信息收集模块相连,用于将收集到的服务器的处理信息记录到与服务器相连的网关设备中;策略配置模块,与信息记录模块相连,用于根据服务器的处理信息配置DDoS和CC的攻击防护策略;攻击判断模块,与策略配置模块相连,用于利用配置的DDoS和CC的攻击防护策略使服务器免受DDoS和CC的攻击。
根据本发明装置的一个实施例,服务器的处理信息包括服务器中每部分资源被访问时所消耗的资源、服务器中每部分资源被访问时所需要的处理时间以及服务器能支持的连接数。
根据本发明装置的另一实施例,攻击判断模块包括检测单元,用于实时检测并分析用户访问服务器时的HTTP流量中的信息;判断单元,与检测单元相连,用于利用DDoS和CC的攻击防护策略和HTTP流量中的信息判断服务器是否遭受攻击;处理单元,与判断单元相连,用于在遭受攻击的情况下拒绝接受用户对服务器的访问。
根据本发明装置的又一实施例,DDoS和CC的攻击防护策略至少包括设定访问流量阈值和连接数阈值中的一个。
本发明提供的防御DDoS和CC攻击的方法和装置,能够使用网络爬虫对所保护的服务器进行详尽的资源分析,根据分析结果及安全策略对DDoS和CC的攻击进行防御,比传统的防护方式更为精准和智能。另外,本发明还能为所保护的服务器量身定做安全防护策略,不但可以更好地进行DDoS和CC攻击防护,还可以充分利用服务器的资源。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分。在附图中:
图1是本发明方法的一个实施例的流程示意图。
图2是本发明利用网络爬虫收集服务器信息以实现防御DDoS和CC攻击的组网示意图。
图3是本发明方法的再一实施例的流程示意图。
图4是本发明装置的一个实施例的结构示意图。
图5是本发明装置的另一实施例的结构示意图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。本发明的示例性实施例及其说明用于解释本发明,但并不构成对本发明的不当限定。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
图1是本发明方法的一个实施例的流程示意图。
图2是本发明利用网络爬虫收集服务器信息以实现防御DDoS和CC攻击的组网示意图。
如图1和图2所示,该实施例可以包括以下步骤:
S102,利用网络爬虫到需要保护的服务器中收集服务器的处理信息,例如,在爬虫服务和网关设备所管辖的网络范围中使用网络爬虫模拟客户端访问服务器资源,针对服务器上每一部分资源记录被访问时消耗的资源和处理时间,记录服务器所支持的最大连接数等信息;
S104,将收集到的服务器的处理信息记录到与服务器相连的网关设备中;
S106,根据服务器的处理信息配置DDoS和CC的攻击防护策略;
S108,利用配置的DDoS和CC的攻击防护策略使服务器免受DDoS和CC的攻击,即,根据预先配置的DDoS及CC攻击防护策略,实时检测并分析用户HTTP流量中的信息,通过服务器连接数及访问各部分资源所消耗的资源及处理时间并结合网关设备本身防DDoS功能判定服务器是否遭受攻击,在未遭受攻击时响应或在遭受攻击时拒绝用户请求,以防御DDoS及CC的攻击。
该实施例能够利用网络爬虫获取服务器响应用户访问的相关信息,并将分析结果保存在网关设备中,根据设备中配置的安全策略,防御DDoS及CC攻击,以保护服务器的安全。
在本发明方法的另一实施例中,服务器的处理信息可以包括服务器中每部分资源被访问时所消耗的资源、服务器中每部分资源被访问时所需要的处理时间以及服务器所能支持的最大连接数等。
在本发明方法的又一实施例中,利用配置的DDoS和CC的攻击防护策略使服务器免受DDoS和CC的攻击的步骤可以包括:
实时检测并分析用户访问服务器时的HTTP流量中的信息;利用DDoS和CC的攻击防护策略和HTTP流量中的信息判断服务器是否遭受攻击;如果遭受攻击,则拒绝接受用户对服务器的访问。
举例说明,网关设备可以根据收集到的服务器的处理信息中的一个或多个设定阀值(在当前现网应用中一般稍微比用户的真实数据大些),一旦超过阀值,就告警,说明存在攻击的可能(当然也存在用户数据的突发,此时可能会产生误报)。爬虫服务可以实时获得服务器资源的使用情况,即时发出告警信息,由网关设备来完成具体的攻击防护工作。
在当前的现网应用中,设置的阀值示例可以为:保护目标A的流量为500M,保护目标B的流量为200M,保护目标C的最大连接数为200(例如,200个用户请求),这些值的设定没有具体的量化依据,所以存在误报(设置小了)、漏报(设置大了)的可能性很大,而该实施例就是针对每个保护目标所设定的阀值尽可能和实际应用相结合,做到更为精准和智能,可以最大限度的使用服务器的资源。
在本发明方法的再一实施例中,DDoS和CC的攻击防护策略至少包括设定访问流量阈值和连接数阈值中的一个。
图3是本发明方法的再一实施例的流程示意图。
如图3所示,可以包括以下步骤:
S202,爬虫服务器可以定制任务,模拟客户端访问被保护服务器的服务(例如,WEB服务等),访问策略可以定制,例如,访问目标网站的链接嵌套层次等;
S204,根据访问的反馈结果,例如,响应时间、目标网络连接数限制(例如,可以通过系统调用获得系统级和应用级(例如,IIS、SQL等)的最大连接数)、目标系统资源情况(CPU、内存等)、每个访问资源消耗等,爬虫服务器记录反馈结果;
S206,爬虫服务器将所收集到的被保护服务器的处理信息记录在网关设备(例如,IPS、FW等)中,网关设备根据记录的这些信息(可以针对每个被保护的目标)配置DDoS及CC的攻击防护策略(即,阀值),进而提供针对每一服务器、资源的攻击防护服务。
其中,攻击防护策略可以是针对DDoS/CC攻击所设定的阀值,可以是流量和/或连接数等。
图4是本发明装置的一个实施例的结构示意图。
如图4所示,该实施例的装置可以包括:
信息收集模块11,用于利用网络爬虫到需要保护的服务器中收集服务器的处理信息;
信息记录模块12,与信息收集模块11相连,用于将收集到的服务器的处理信息记录到与服务器相连的网关设备中;
策略配置模块13,与信息记录模块11相连,用于根据服务器的处理信息配置DDoS和CC的攻击防护策略;
攻击判断模块14,与策略配置模块13相连,用于利用配置的DDoS和CC的攻击防护策略使服务器免受DDoS和CC的攻击。
可选地,服务器的处理信息可以包括服务器中每部分资源被访问时所消耗的资源、服务器中每部分资源被访问时所需要的处理时间以及服务器能支持的连接数。
图5是本发明装置的另一实施例的结构示意图。
如图5所示,与图4中的实施例相比,该实施例的装置中的攻击判断模块21可以包括:
检测单元211,用于实时检测并分析用户访问服务器时的HTTP流量中的信息;
判断单元212,与检测单元211相连,用于利用DDoS和CC的攻击防护策略和HTTP流量中的信息判断服务器是否遭受攻击;
处理单元213,与判断单元212相连,用于在遭受攻击的情况下拒绝接受用户对服务器的访问。
可选地,DDoS和CC的攻击防护策略至少包括设定访问流量阈值和连接数阈值中的一个。
本发明可以应用于网络上各种类型的服务器,包括虚拟服务器。
本发明与传统的防御DDoS和CC攻击方法和装置相比,具有以下有益效果:
(1)很多传统的安全防护只能防御以高流量无用数据或大量TCP连接请求等方式进行的DDoS攻击,对于来自真实IP且为正常请求的CC攻击不能有效防御,而本发明对DDoS和CC的攻击都可以有效防御。
(2)本发明使用网络爬虫对需要保护的服务器进行详尽的资源分析,根据分析结果及安全策略进行防御,比传统的防护方式更为精准和智能,可以最大限度的使用服务器的资源。
(3)传统安全防护使用通用设置,对所保护的服务器缺乏针对性,而且用户较难获知服务器的弱点,而本发明可以向用户提供详尽的服务器资源分析,协助用户找到服务器的短板。
(4)本发明在现有设备攻击防护硬件基础上加入对服务器的资源分析,以防御DDoS和CC攻击,改变了单纯依靠硬件或软件进行攻击防护的传统方式。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (6)
1.一种防御DDoS和CC攻击的方法,其特征在于,包括:
使用网络爬虫模拟客户端访问服务器资源;
根据访问的反馈结果来收集服务器的处理信息,所述服务器的处理信息包括所述服务器中每部分资源被访问时所消耗的资源、所述服务器中每部分资源被访问时所需要的处理时间以及所述服务器能支持的连接数;
将收集到的所述服务器的处理信息记录到与所述服务器相连的网关设备中;
根据所述服务器的处理信息配置DDoS和CC的攻击防护策略;
利用配置的所述DDoS和CC的攻击防护策略使所述服务器免受DDoS和CC的攻击。
2.根据权利要求1所述的方法,其特征在于,所述利用配置的所述DDoS和CC的攻击防护策略使所述服务器免受DDoS和CC的攻击的步骤包括:
实时检测并分析用户访问所述服务器时的HTTP流量中的信息;
利用所述DDoS和CC的攻击防护策略和所述HTTP流量中的信息判断所述服务器是否遭受攻击;
如果遭受攻击,则拒绝接受所述用户对所述服务器的访问。
3.根据权利要求1所述的方法,其特征在于,所述DDoS和CC的攻击防护策略至少包括设定访问流量阈值和连接数阈值中的一个。
4.一种防御DDoS和CC攻击的装置,其特征在于,包括:
信息收集模块,用于使用网络爬虫模拟客户端访问服务器资源,根据访问的反馈结果来收集服务器的处理信息,所述服务器的处理信息包括所述服务器中每部分资源被访问时所消耗的资源、所述服务器中每部分资源被访问时所需要的处理时间以及所述服务器能支持的连接数;
信息记录模块,与所述信息收集模块相连,用于将收集到的所述服务器的处理信息记录到与所述服务器相连的网关设备中;
策略配置模块,与所述信息记录模块相连,用于根据所述服务器的处理信息配置DDoS和CC的攻击防护策略;
攻击判断模块,与所述策略配置模块相连,用于利用配置的所述DDoS和CC的攻击防护策略使所述服务器免受DDoS和CC的攻击。
5.根据权利要求4所述的装置,其特征在于,所述攻击判断模块包括:
检测单元,用于实时检测并分析用户访问所述服务器时的HTTP流量中的信息;
判断单元,与所述检测单元相连,用于利用所述DDoS和CC的攻击防护策略和所述HTTP流量中的信息判断所述服务器是否遭受攻击;
处理单元,与所述判断单元相连,用于在遭受攻击的情况下拒绝接受所述用户对所述服务器的访问。
6.根据权利要求4所述的装置,其特征在于,所述DDoS和CC的攻击防护策略至少包括设定访问流量阈值和连接数阈值中的一个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010530032.4A CN101969445B (zh) | 2010-11-03 | 2010-11-03 | 防御DDoS和CC攻击的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010530032.4A CN101969445B (zh) | 2010-11-03 | 2010-11-03 | 防御DDoS和CC攻击的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101969445A CN101969445A (zh) | 2011-02-09 |
| CN101969445B true CN101969445B (zh) | 2014-12-17 |
Family
ID=43548549
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010530032.4A Active CN101969445B (zh) | 2010-11-03 | 2010-11-03 | 防御DDoS和CC攻击的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101969445B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102164135B (zh) * | 2011-04-14 | 2014-02-19 | 上海红神信息技术有限公司 | 前置可重构DDoS攻击防御装置及方法 |
| CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
| CN102790700B (zh) * | 2011-05-19 | 2015-06-10 | 北京启明星辰信息技术股份有限公司 | 一种识别网页爬虫的方法和装置 |
| CN103179132B (zh) * | 2013-04-09 | 2016-03-02 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
| CN105306411A (zh) * | 2014-06-11 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 数据包处理方法和装置 |
| CN106713216B (zh) * | 2015-07-16 | 2021-02-19 | 中兴通讯股份有限公司 | 流量的处理方法、装置及系统 |
| CN105429975B (zh) * | 2015-11-11 | 2018-07-31 | 上海斐讯数据通信技术有限公司 | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 |
| CN105763560A (zh) * | 2016-04-15 | 2016-07-13 | 北京思特奇信息技术股份有限公司 | 一种Web Service接口流量实时监控方法和系统 |
| CN108683678A (zh) * | 2018-05-28 | 2018-10-19 | 北京天地和兴科技有限公司 | 一种基于行为协同感知模型的异常行为预测方法 |
| CN111339388B (zh) * | 2019-06-13 | 2021-07-27 | 海通证券股份有限公司 | 一种信息爬取系统 |
| CN112039887A (zh) * | 2020-08-31 | 2020-12-04 | 杭州安恒信息技术股份有限公司 | Cc攻击防御方法、装置、计算机设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1655526A (zh) * | 2004-02-11 | 2005-08-17 | 上海三零卫士信息安全有限公司 | 计算机网络应急响应之安全策略生成系统 |
| WO2010101634A1 (en) * | 2009-03-04 | 2010-09-10 | Alibaba Group Holding Limited | Evaluation of web pages |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100428689C (zh) * | 2005-11-07 | 2008-10-22 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
-
2010
- 2010-11-03 CN CN201010530032.4A patent/CN101969445B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1655526A (zh) * | 2004-02-11 | 2005-08-17 | 上海三零卫士信息安全有限公司 | 计算机网络应急响应之安全策略生成系统 |
| WO2010101634A1 (en) * | 2009-03-04 | 2010-09-10 | Alibaba Group Holding Limited | Evaluation of web pages |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101969445A (zh) | 2011-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101969445B (zh) | 防御DDoS和CC攻击的方法和装置 | |
| EP2528005B1 (en) | System and method for reducing false positives during detection of network attacks | |
| US8438639B2 (en) | Apparatus for detecting and filtering application layer DDoS attack of web service | |
| US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
| EP2472822A2 (en) | Method and system for estimating the reliability of blacklists of botnet-infected computers | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| US20100251370A1 (en) | Network intrusion detection system | |
| WO2010091186A2 (en) | Method and system for providing remote protection of web servers | |
| JP2004030286A (ja) | 侵入検知システムおよび侵入検知プログラム | |
| CN109561051A (zh) | 内容分发网络安全检测方法及系统 | |
| Kumar et al. | Classification of DDoS attack tools and its handling techniques and strategy at application layer | |
| CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| KR100973076B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 그 방법 | |
| KR101538374B1 (ko) | 사이버 위협 사전 예측 장치 및 방법 | |
| KR102501372B1 (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
| KR20170135495A (ko) | 보안 위협 정보 분석 및 관리 시스템 | |
| Xiao et al. | A novel approach to detecting DDoS attacks at an early stage | |
| Haggerty et al. | DiDDeM: a system for early detection of TCP SYN flood attacks | |
| CN101453363A (zh) | 网络入侵检测系统 | |
| Ramanauskaitė et al. | Modelling influence of Botnet features on effectiveness of DDoS attacks | |
| RU2675900C1 (ru) | Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам | |
| KR101231966B1 (ko) | 장애 방지 서버 및 방법 | |
| JP2004030287A (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| KR20120000942A (ko) | 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법 | |
| KR20190007697A (ko) | 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |