CN104378357A - 一种HTTP Get Flood攻击的防护方法 - Google Patents

一种HTTP Get Flood攻击的防护方法 Download PDF

Info

Publication number
CN104378357A
CN104378357A CN201410567193.9A CN201410567193A CN104378357A CN 104378357 A CN104378357 A CN 104378357A CN 201410567193 A CN201410567193 A CN 201410567193A CN 104378357 A CN104378357 A CN 104378357A
Authority
CN
China
Prior art keywords
http
attack
request
flood
ask
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410567193.9A
Other languages
English (en)
Inventor
左晓军
董立勉
陈泽
侯波涛
卢宁
郗波
张君艳
常杰
王颖
董娜
刘伟娜
王春璞
刘惠颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hebei Electric Power Construction Adjustment Test Institute
Original Assignee
Hebei Electric Power Construction Adjustment Test Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hebei Electric Power Construction Adjustment Test Institute filed Critical Hebei Electric Power Construction Adjustment Test Institute
Priority to CN201410567193.9A priority Critical patent/CN104378357A/zh
Publication of CN104378357A publication Critical patent/CN104378357A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及计算机网络技术学科中网络安全领域,特别涉及一种HTTP Get Flood攻击的防护方法。针对攻击源IP数量较多时现有技术对CC攻击防护效果较差的问题,本发明提供了一种HTTP Get Flood攻击的防护方法,能够针对CC攻击中的HTTP Get Flood攻击提供效果更优的防护。通过分析随机抓取的网络数据包中请求IP是否含Proxy服务特征,计算其为攻击源IP的概率,结合其回馈响应的情况,判定该IP是否为HTTP Get Flood攻击的攻击源IP,对攻击源IP进行阻断。本发明设计简洁,易于实施,与现有的各类服务器均具有良好的适配性,具有广阔的应用和推广前景。

Description

一种HTTP Get Flood攻击的防护方法
技术领域
本发明涉及计算机网络技术学科中网络安全领域,特别涉及一种HTTP Get Flood攻击的防护方法。 
背景技术
近年来中国网络规模呈现膨胀式增长,随着网络活动,特别是网络电商的活跃,网络交互发展迅速。而与此同时,针对网络的攻击形式也在巨大的利益推动下开始向新的方向改变。目前,CC(Challenge Collapsar)攻击已经成为一种被广泛使用的典型攻击方式,由于其实施的技术难度较低并且攻击效果显著,CC攻击已经发展成为网络安全领域中的一种常见攻击方式。CC攻击的前身为Fatboy攻击,属于DDoS(Distribution Denial of Service分布式拒绝服务,简称DDoS)攻击中的一种。CC攻击以网站页面为主要攻击目标,能够藏匿真实的攻击源IP,借助代理服务器生成指向目标服务器的合法请求,在流量上不会产生异常的大流量数据,但却能造成服务器无法正常连接。CC攻击的攻击原理来源于著名的木桶理论,即一个木桶所能容纳水的最大容量不是由木桶最高的地方决定的,而是由木桶最低的地方决定的。CC攻击就是借鉴了木桶理论,在对服务器发起攻击时,攻击者常常向服务器请求需要占用其较多资源开销的应用,例如访问需要占用服务器大量CPU资源进行运算的页面或者请求需要频繁访问数据库的应用。基于以上因素,CC攻击的目标通常为网站服务器中需要动态生成的页面和需要访问数据库资源的页面,例如asp、jsp和php等类型文件的页面资源。攻击者主要通过控制大量僵尸主机或代理服务器,由僵尸主机或代理服务器自动向服务器发送页面访问请求。当使用具有一定规模的僵尸僵尸主机或代理服务器进行CC攻击时,将会对服务器页面造成巨大的访问流量,可导致服务器瘫痪,同时整个攻击过程模拟了正常客户端访问互联网资源所发送的合法数据包,具有较强的隐蔽性。CC攻击主要有2种攻击方式,即HTTP Get Flood(超文本传输协议泛洪)攻击和链接耗尽型攻击。
目前,常见的CC攻击防护依靠防火墙,通过对访问服务器的单个IP连接数进行控制来限制CC攻击,在发起CC攻击的IP数量较多的情况下依靠防火墙限制或阻止CC攻击的效果较差。 
发明内容
针对攻击源IP数量较多时现有技术对CC攻击防护效果较差的问题,本发明提供了一种HTTP Get Flood攻击的防护方法,能够针对CC攻击中的HTTP Get Flood攻击提供效果更优的防护。
本发明的技术方案为:
一种HTTP Get Flood攻击的防护方法,其特征在于包括以下步骤:
(a)抓取网络数据包;
(b)对所述网络数据包进行HTTP协议解码,得到请求访问服务器的请求IP;HTTP即Hyper Text Transfer Protocol超文本传输协议,是目前互联网上应用最为广泛的协议之一;
(c)检测所述请求IP是否含有Proxy服务的特征字符;Proxy服务即代理服务,包含Proxy服务特征字符的请求多为代理服务器发送的恶意请求,其请求IP多为HTTP Get Flood攻击的攻击源IP。
(d)若步骤(c)中所述请求IP含有Proxy服务的特征字符,执行步骤(d1)~(d3);
    (d1)向步骤(d)中所述请求IP发送响应请求,并要求步骤(d)中所述请求IP回馈;
    (d2)若步骤(d)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(d)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a);
    (d3)若步骤(d)中所述请求IP回馈符合要求的回馈响应,返回步骤(a);
    (e)若步骤(c)中所述请求IP不含Proxy服务的特征字符,计算所述请求IP为HTTP Get Flood攻击的攻击源IP的概率,执行步骤(e1)~(e3);
    (e1)若步骤(e)中所述概率小于阈值,返回步骤(a);
    (e2)若步骤(e)中所述概率大于等于阈值,向步骤(e)中所述请求IP发送响应请求,并要求步骤(e)中所述请求IP回馈;
    (e3)若步骤(e2)中所述请求IP回馈符合要求的回馈响应,返回步骤(a);
    (e4)若步骤(e2)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(e2)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a)。
具体的,步骤(c)中所述Proxy服务的特征字符包括X_FORWARDED_FOR、VIA、CLIENT_IP、XONNECTION和XROXY_CONNECTION。
具体的,步骤(e)中所述概率根据服务器的历史统计计算。
具体的,步骤(e1)~(e2)中所述阈值由服务器工作参数判定,所述服务器工作参数包括服务器性能和服务器正常业务流量。
具体的,步骤(d1)中所述响应请求为带有tag标记的响应请求。
具体的,步骤(e2)中所述响应请求为带有tag标记的响应请求。
本发明的有益效果:1、执行本发明技术方案步骤(a)~(e4)能够识别并阻断HTTP Get Flood攻击的IP,实现针对HTTP Get Flood攻击的防护;2、本发明技术方案步骤(a)~(e4)针对随机抓取的网络数据包中所有请求IP进行分析和计算以判定其是否为HTTP Get Flood攻击的攻击源IP,即使发起HTTP Get Flood攻击的IP数量较多,也能够逐一识别并阻断攻击源IP;3、步骤(e)中所述概率根据服务器的历史统计计算得出,针对性强、可靠性高,有利于提高针对HTTP Get Flood攻击的防护效果;4、依据服务器工作参数,包括服务器性能和服务器正常业务流量设定阈值,能够满足不同服务器针对HTTP Get Flood攻击的防护要求;5、步骤(d2)和步骤(e2)中向请求IP发送的带有tag标记的响应请求能够判断该IP是否为恶意攻击者。本发明设计简洁,易于实施,与各类服务器均具有良好的适配性,具有广阔的应用和推广前景。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合附图对本发明作进一步说明。
参照图1,本实施例中针对HTTP Get Flood攻击的防护过程包括:
(a)抓取网络数据包;
(b)对网络数据包进行HTTP协议解码,得到请求访问服务器的请求IP;HTTP即Hyper Text Transfer Protocol超文本传输协议,是目前互联网上应用最为广泛的协议之一;
(c)检测请求IP是否含有X_FORWARDED_FOR、VIA、CLIENT_IP、XONNECTION和XROXY_CONNECTION等Proxy服务的特征字符;Proxy服务即代理服务,包含Proxy服务特征字符的请求多为代理服务器发送的恶意请求,其请求IP多为HTTP Get Flood攻击的攻击源IP。
(d)若步骤(c)中请求IP含有Proxy服务的特征字符,执行步骤(d1)~(d3);
    (d1)向步骤(d)中请求IP发送带有tag标记的响应请求,并要求步骤(d)中请求IP回馈;
    (d2)若步骤(d)中请求IP未回馈符合要求的回馈响应则判定步骤(d)中请求IP为HTTP Get Flood攻击的攻击源IP,阻断攻击源IP,返回步骤(a);
    (d3)若步骤(d)中请求IP回馈符合要求的回馈响应,返回步骤(a);
    (e)若步骤(c)中请求IP不含Proxy服务的特征字符,计算请求IP为HTTP Get Flood攻击攻击源IP的概率,执行步骤(e1)~(e3);
    (e1)若步骤(e)中概率小于阈值,返回步骤(a);
    (e2)若步骤(e)中概率大于等于阈值,向步骤(e)中请求IP发送带有tag标记的响应请求,并要求步骤(e)中请求IP回馈;
    (e3)若步骤(e2)中请求IP回馈符合要求的回馈响应,返回步骤(a);
    (e4)若步骤(e2)中请求IP未回馈符合要求的回馈响应则判定步骤(e2)中请求IP为HTTP Get Flood攻击的攻击源IP,阻断攻击源IP,返回步骤(a)。
其中,步骤(e)中概率根据服务器的历史统计计算,步骤(e1)~(e2)中阈值可通过服务器性能和服务器正常业务流量等服务器工作参数判定。
本实施例中,步骤(e)中概率的计算方法为:
P=历史正常访问次数/(历史攻击次数+历史正常访问次数)。
本实施例中,服务器为IBM品牌的X3850 M2型服务器,其正常业务流量为500Mbps,步骤(e1)~(e2)中阈值为0.01。
需要说明的是,抓取网络数据包、对网络数据包进行HTTP协议解码、检测请求IP是否含有Proxy服务的特征字符和阻断攻击源IP等技术为本领域(网络安全领域)的公知常识,即使本发明未进行详细说明,本领域技术人员也应当清楚以上步骤。
以上所述实施方式仅为本发明的优选实施例,而并非本发明可行实施的穷举。对于本领域一般技术人员而言,在不背离本发明原理和精神的前提下对其所作出的任何显而易见的改动,都应当被认为包含在本发明的权利要求保护范围之内。

Claims (6)

1.一种HTTP Get Flood攻击的防护方法,其特征在于包括以下步骤:
(a)抓取网络数据包;
(b)对所述网络数据包进行HTTP协议解码,得到请求访问服务器的请求IP;
(c)检测所述请求IP是否含有Proxy服务的特征字符;
(d)若步骤(c)中所述请求IP含有Proxy服务的特征字符,执行步骤(d1)~(d3);
(d1)向步骤(d)中所述请求IP发送响应请求,并要求步骤(d)中所述请求IP回馈;
(d2)若步骤(d)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(d)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a);
(d3)若步骤(d)中所述请求IP回馈符合要求的回馈响应,返回步骤(a);
(e)若步骤(c)中所述请求IP不含Proxy服务的特征字符,计算所述请求IP为HTTP Get Flood攻击的攻击源IP的概率,执行步骤(e1)~(e3);
(e1)若步骤(e)中所述概率小于阈值,返回步骤(a);
(e2)若步骤(e)中所述概率大于等于阈值,向步骤(e)中所述请求IP发送响应请求,并要求步骤(e)中所述请求IP回馈;
(e3)若步骤(e2)中所述请求IP回馈符合要求的回馈响应,返回步骤(a);
(e4)若步骤(e2)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(e2)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a)。
2.根据权利要求1所述的一种HTTP Get Flood攻击的防护方法,其特征在于步骤(c)中所述Proxy服务的特征字符包括X_FORWARDED_FOR、VIA、CLIENT_IP、XONNECTION和XROXY_CONNECTION。
3.根据权利要求2所述的一种HTTP Get Flood攻击的防护方法,其特征在于步骤(e)中所述概率根据服务器的历史统计计算。
4.根据权利要求2所述的一种HTTP Get Flood攻击的防护方法,其特征在于步骤(e1)~(e2)中所述阈值由服务器工作参数判定,所述服务器工作参数包括服务器性能和服务器正常业务流量。
5.根据权利要求3或4所述的一种HTTP Get Flood攻击的防护方法,其特征在于步骤(d1)中所述响应请求为带有tag标记的响应请求。
6.根据权利要求3或4所述的一种HTTP Get Flood攻击的防护方法,其特征在于步骤(e2)中所述响应请求为带有tag标记的响应请求。 
CN201410567193.9A 2014-10-23 2014-10-23 一种HTTP Get Flood攻击的防护方法 Pending CN104378357A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410567193.9A CN104378357A (zh) 2014-10-23 2014-10-23 一种HTTP Get Flood攻击的防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410567193.9A CN104378357A (zh) 2014-10-23 2014-10-23 一种HTTP Get Flood攻击的防护方法

Publications (1)

Publication Number Publication Date
CN104378357A true CN104378357A (zh) 2015-02-25

Family

ID=52557014

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410567193.9A Pending CN104378357A (zh) 2014-10-23 2014-10-23 一种HTTP Get Flood攻击的防护方法

Country Status (1)

Country Link
CN (1) CN104378357A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959313A (zh) * 2016-06-29 2016-09-21 杭州迪普科技有限公司 一种防范http代理攻击的方法及装置
CN106656651A (zh) * 2016-10-14 2017-05-10 恒安嘉新(北京)科技有限公司 一种检测数据透传的方法及设备
CN110858831A (zh) * 2018-08-22 2020-03-03 阿里巴巴集团控股有限公司 安全防护方法、装置以及安全防护设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080281983A1 (en) * 2007-05-09 2008-11-13 Shaun Cooley Client side protection against drive-by pharming via referrer checking
CN101572700A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 一种HTTP Flood分布式拒绝服务攻击防御方法
CN101753562A (zh) * 2009-12-28 2010-06-23 成都市华为赛门铁克科技有限公司 僵尸网络的检测方法、装置及网络安全防护设备
CN101834866A (zh) * 2010-05-05 2010-09-15 北京来安科技有限公司 一种cc攻击防护方法及其系统
CN102075365A (zh) * 2011-02-15 2011-05-25 中国工商银行股份有限公司 一种网络攻击源定位及防护的方法、装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080281983A1 (en) * 2007-05-09 2008-11-13 Shaun Cooley Client side protection against drive-by pharming via referrer checking
CN101572700A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 一种HTTP Flood分布式拒绝服务攻击防御方法
CN101753562A (zh) * 2009-12-28 2010-06-23 成都市华为赛门铁克科技有限公司 僵尸网络的检测方法、装置及网络安全防护设备
CN101834866A (zh) * 2010-05-05 2010-09-15 北京来安科技有限公司 一种cc攻击防护方法及其系统
CN102075365A (zh) * 2011-02-15 2011-05-25 中国工商银行股份有限公司 一种网络攻击源定位及防护的方法、装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959313A (zh) * 2016-06-29 2016-09-21 杭州迪普科技有限公司 一种防范http代理攻击的方法及装置
CN106656651A (zh) * 2016-10-14 2017-05-10 恒安嘉新(北京)科技有限公司 一种检测数据透传的方法及设备
CN110858831A (zh) * 2018-08-22 2020-03-03 阿里巴巴集团控股有限公司 安全防护方法、装置以及安全防护设备

Similar Documents

Publication Publication Date Title
Liu et al. Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things
US11122067B2 (en) Methods for detecting and mitigating malicious network behavior and devices thereof
CN102291390B (zh) 一种基于云计算平台的防御拒绝服务攻击的方法
Bhuyan et al. An empirical evaluation of information metrics for low-rate and high-rate DDoS attack detection
Dou et al. A confidence-based filtering method for DDoS attack defense in cloud environment
Xie et al. A large-scale hidden semi-Markov model for anomaly detection on user browsing behaviors
CN104580249B (zh) 一种基于日志的僵木蠕网络分析方法和系统
Hassan et al. Detection of distributed denial of service attacks using snort rules in cloud computing & remote control systems
CN110213208B (zh) 一种处理请求的方法和装置以及存储介质
CN103916379B (zh) 一种基于高频统计的cc攻击识别方法及系统
Ye et al. Detection of application layer distributed denial of service
KR101250899B1 (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
Seo et al. APFS: adaptive probabilistic filter scheduling against distributed denial-of-service attacks
CN104378358A (zh) 一种基于服务器日志的HTTP Get Flood攻击防护方法
Arafat et al. A practical approach and mitigation techniques on application layer DDoS attack in web server
Huang et al. An authentication scheme to defend against UDP DrDoS attacks in 5G networks
KR101528928B1 (ko) 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법
Ismail et al. New framework to detect and prevent denial of service attack in cloud computing environment
CN104378357A (zh) 一种HTTP Get Flood攻击的防护方法
KR101210622B1 (ko) Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템
KR101072981B1 (ko) 분산 서비스 거부 공격의 방어 시스템
CN104378359A (zh) 一种链接耗尽型cc攻击的防护方法
Wang et al. Detecting SYN flooding attacks based on traffic prediction
CN102143173A (zh) 防御分布式拒绝服务攻击的方法、系统以及网关设备
Oo et al. Enhancement of preventing application layer based on DDoS attacks by using hidden semi-Markov model

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20150225

RJ01 Rejection of invention patent application after publication