CN104883357A - 防范http post泛洪攻击的方法及防火墙 - Google Patents
防范http post泛洪攻击的方法及防火墙 Download PDFInfo
- Publication number
- CN104883357A CN104883357A CN201510208446.8A CN201510208446A CN104883357A CN 104883357 A CN104883357 A CN 104883357A CN 201510208446 A CN201510208446 A CN 201510208446A CN 104883357 A CN104883357 A CN 104883357A
- Authority
- CN
- China
- Prior art keywords
- client
- post
- code
- cookie
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Environmental & Geological Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防范HTTP POST泛洪攻击的方法,包括以下步骤:在客户端发送的POST请求为攻击请求时,向所述客户端反馈响应信息,所述响应信息包括一段JS代码,以供所述客户端执行所述JS代码并根据所述JS代码设置cookie首部,cookie的内容为JS代码计算后的验证信息;在再次接收到所述客户端的POST请求时,判断再次接收到的POST请求对应的cookie是否包括所述验证信息;在所述cookie未包括验证信息时,确定所述客户端未通过防火墙的验证,将所述客户端加入黑名单,阻止所述客户端访问服务器。本发明还公开了一种防火墙。本发明实现提高防火墙的安全监测性能、安全监测准确度,进而提高访问服务器的安全性。
Description
技术领域
本发明涉及安全检测技术领域,尤其涉及防范HTTP POST泛洪攻击的方法及防火墙。
背景技术
HTTP POST(超文本协议防御)洪泛攻击作为APP-DDOS(应用分布式攻击)攻击中的一种,通过向服务器提交合法的POST(防御)请求而达到访问服务器的目的,而在使用传统的网络层防火墙检测POST请求时,从内容上看,攻击请求和合法请求是一致的,使攻击请求难以从合法请求中识别出来,增加了防御的难度,而且容易导致误判。例如:攻击请求经过精心构造的提交内容可以选择那些消耗磁盘IO(输入输出)和需要进行数据库查询和存储的提交操作,而这些操作均是合法的行为,因此,最终导致服务器资源被大量的消耗了,故POST洪泛攻击也是一种危害较大的APP-DDOS攻击方法。因现有的防火墙无法识别出攻击请求和合法的请求,导致防火墙的安全检测性能偏低,安全检测准确度偏低,进而使得访问服务器的安全性偏低。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种防范HTTP POST泛洪攻击的方法及防火墙,旨在解决现有的防火墙无法识别出攻击请求和合法的请求,导致防火墙的安全检测性能偏低,安全检测准确度偏低,进而使得访问服务器的安全性偏低的问题。
为实现上述目的,本发明提供的一种防范HTTP POST泛洪攻击的方法,包括以下步骤:
在客户端发送的POST请求为攻击请求时,向所述客户端反馈响应信息,所述响应信息包括一段JS代码,以供所述客户端执行所述JS代码并根据所述 JS代码设置cookie首部,cookie的内容为JS代码计算后的验证信息;
在再次接收到所述客户端的POST请求时,判断再次接收到的POST请求对应的cookie是否包括所述验证信息;
在所述cookie未包括验证信息时,确定所述客户端未通过防火墙的验证,将所述客户端加入黑名单,阻止所述客户端访问服务器。
优选地,所述判断再次接收到的POST请求对应的cookie是否包括所述验证信息的步骤之后,还包括:
在所述cookie包括验证信息时,确定所述客户端通过防火墙的验证,将所述客户端加入白名单,允许所述客户端访问服务器。
优选地,所述向所述客户端反馈响应信息,所述响应信息包括一段JS代码的步骤之前,还包括:
判断客户端发送的POST请求是否为攻击请求。
优选地,所述判断客户端发送的POST请求是否为攻击请求的步骤包括:
判断客户端发送的POST请求的速率值是否大于预设速率阈值;
在客户端发送的POST请求的速率值大于预设速率阈值时,判定所述客户端发送的POST请求为攻击请求;
在客户端发送的POST请求的速率值不大于预设速率阈值时,判断所述客户端发送的POST请求为合法请求。
优选地,所述向所述客户端反馈响应信息,所述响应信息包括一段JS代码的步骤包括:
构建所述攻击请求的响应信息,所述响应信息为HTTP 503状态码,所述状态码的首部包含retry字段,且携带一段JS代码;
向所述客户端反馈响应信息。
此外,为实现上述目的,本发明还进一步提供一种防火墙,包括:
接发模块,用于在客户端发送的POST请求为攻击请求时,向所述客户端反馈响应信息,所述响应信息包括一段JS代码,以供所述客户端执行所述JS代码并根据所述JS代码设置cookie首部,cookie的内容为JS代码计算后的验证信息;
判断模块,用于在再次接收到所述客户端的POST请求时,判断再次接 收到的POST请求对应的cookie是否包括所述验证信息;
处理模块,用于在所述cookie未包括验证信息时,判定所述客户端未通过防火墙的验证,将所述客户端加入黑名单,阻止所述客户端访问服务器。
优选地,所述处理模块,还用于在所述cookie包括验证信息时,确定所述客户端通过防火墙的验证,将所述客户端加入白名单,允许所述客户端访问服务器。
优选地,所述判断模块,还用于判断客户端发送的POST请求是否为攻击请求。
优选地,所述判断模块包括判断单元和判定单元,
所述判断单元,用于判断客户端发送的POST请求的速率值是否大于预设速率阈值;
所述判定单元,用于在客户端发送的POST请求的速率值大于预设速率阈值时,判断所述客户端发送的POST请求为攻击请求;还用于在客户端发送的POST请求的速率值不大于预设速率阈值时,判断所述客户端发送的POST请求为合法请求。
优选地,所述接发模块包括构建单元和接发单元,
所述构建单元,用于构建所述攻击请求的响应信息,所述响应信息为HTTP 503状态码,所述状态码的首部包含retry字段,且携带一段JS代码;
所述接发单元,用于向所述客户端反馈响应信息。
本发明通过强制加入JS代码,在客户端无法执行JS代码时,无法在cookie中携带验证信息,有效避免无法识别攻击请求和合法请求,导致防火墙的安全检测性能偏低,安全检测准确度偏低,进而使得访问服务器的安全性偏低的问题。提高了防火墙的安全监测性能、安全监测准确度,进而提高了访问服务器的安全性。
附图说明
图1为本发明防范HTTP POST泛洪攻击的方法的较佳实施例的流程示意图;
图2为本发明判断客户端发送的POST请求为攻击请求一实施例的流程示意图;
图3为图1中步骤S10一实施例的细化流程示意图;
图4为本发明防火墙的较佳实施例的功能模块示意图;
图5为图4中接发模块的一实施例的细化功能模块示意图;
图6为图4中判断模块一实施例的细化功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:在客户端发送的POST请求为攻击请求时,向所述客户端反馈响应信息,所述响应信息包括一段JS代码,以供所述客户端执行所述JS(javascript脚本语言)代码并根据所述JS代码设置cookie(加密信息)首部,cookie的内容为JS代码计算后的验证信息;在再次接收到所述客户端的POST请求时,判断再次接收到的POST请求对应的cookie是否包括所述验证信息;在所述cookie未包括验证信息时,判定所述客户端未通过防火墙的验证,将所述客户端加入黑名单,阻止所述客户端访问服务器。通过强制加入JS代码,在客户端无法执行JS代码时,无法在cookie中携带验证信息,有效避免无法识别攻击请求和合法请求,导致防火墙的安全检测性能偏低,安全检测准确度偏低,进而使得访问服务器的安全性偏低的问题。提高了防火墙的安全监测性能、安全监测准确度,进而提高了访问服务器的安全性。
由于现有的防火墙在检测HTTP POST请求时,无法识别出攻击请求和合法的请求,导致防火墙的安全检测性能偏低,安全检测准确度偏低,进而使得访问服务器的安全性偏低。
基于上述问题,本发明提供一种防范HTTP POST泛洪攻击的方法。
参照图1,图1为本发明防范HTTP POST泛洪攻击的方法的第一实施例的流程示意图。
在一实施例中,所述防范HTTP POST泛洪攻击的方法包括:
步骤S10,在客户端发送的POST请求为攻击请求时,向所述客户端反馈响应信息,所述响应信息包括一段JS代码,以供所述客户端执行所述JS代码并根据所述JS代码设置cookie首部,cookie的内容为JS代码计算后的验证信息;
执行本发明防范HTTP POST泛洪攻击的方法的主体为防火墙,进一步地,为安装或加载与防火墙的防范HTTP POST泛洪攻击的应用程序。在本实施例中执行主体优选为防火墙。
客户端用户在需要访问服务器时,发出访问请求,例如,为POST请求。防火墙拦截客户端发送的POST请求,并对客户端发出的POST请求进行安全检测。防火墙在接收到客户端发送的POST请求后,判断接收到的客户端发送的POST请求是否为攻击请求,在客户端发送的POST请求为攻击请求时,向所述客户端反馈响应信息。
具体的,参考图2,所述判断客户端发送的POST请求为攻击请求的过程可以包括:
步骤S11,判断客户端发送的POST请求的速率值是否大于预设速率阈值;若是,则执行步骤S12,若否,则执行步骤S13。
步骤S12,在客户端发送的POST请求的速率值大于预设速率阈值时,判断所述客户端发送的POST请求为攻击请求;
步骤S13,在客户端发送的POST请求的速率值不大于预设速率阈值时,判断所述客户端发送的POST请求为合法请求。
所述防火墙获取客户端发送POST请求的速率值,并将所获取的速率值与预设速率阈值比对。所述预设速率阈值可以是100MB或70MB等,为根据经验值设定。
在所获取的速率值大于预设速率阈值时,所述防火墙判定为攻击请求;在所获取的速率值不大于预设速率阈值时,判定为合法请求。在本发明其他实施例中,也还可以采取其他方式判断是否为攻击请求,例如,所述POST请求是否包括合法请求标识信息,在包括合法请求标识时,判断为合法请求,在未包括合法请求标识时,判断为攻击请求。
所述防火墙在客户端发送的POST请求为攻击请求时,进入防御模式, 即开启防御模块,以对攻击请求进行防御,防止攻击请求占用服务器资源。向所述客户端反馈响应信息,所述响应信息包括一段JS代码。
具体的,参考图3,所述向客户端反馈响应信息的过程可以包括:
步骤S14,构建所述攻击请求的响应信息,所述响应信息为HTTP 503状态码,所述状态码的首部包含retry字段,且携带一段JS代码;
步骤S15,向所述客户端反馈响应信息。
在接收到的POST请求为攻击请求时,所述防火墙构建所述攻击请求的响应信息,所述响应信息构建为HTTP 503状态码,所述HTTP 503状态码的首部包含retry字段,同时实体携带一段JS代码,并关闭所述客户端与服务器的连接。将构建的响应信息发送至攻击请求对应的客户端。
所述客户端在接收到所述响应信息时,再次生成POST请求,所述POST请求根据接收到的响应信息构建。所述客户端获取所述响应信息中的JS代码,并执行所述JS代码,所述再次构建的POST请求对应的cookie的首部通过JS代码设置,且通过执行所述JS代码生成验证信息,所述客户端的应用在能执行所述JS代码时,生成验证信息,在所述客户端的应用不能执行所述JS代码时,不能生成所述验证信息,即无法在cookie中携带验证信息,若无法执行JS代码,则表示所述客户端的应用为攻击应用。例如,以所述应用以浏览器应用为例,若所述浏览器应用无法执行JS代码,则无法生成验证信息,若所述浏览器应用能执行JS代码,则能生成验证信息,并在cookie中携带验证信息。所述客户端在构建好再次发送的POST请求后,向所述服务器发送再次构建的POST请求。
步骤S20,在再次接收到所述客户端的POST请求时,判断再次接收到的POST请求对应的cookie是否包括所述验证信息;
在判断接收到的POST请求为攻击请求后,所述防火墙接收所述客户端再次发送的POST请求,在接收到所述客户端再次发送的POST请求时,获取所述再次接收到的POST请求对应的cookie,判断再次接收到的POST请求对应的cookie是否包括验证信息,即判断所述客户端的应用是否为攻击应用。
若包括验证信息,则执行步骤S40,若不包括验证信息,则执行步骤S30。
步骤S30,在所述cookie未包括验证信息时,确定所述客户端未通过防火墙的验证,将所述客户端加入黑名单,阻止所述客户端访问服务器;
步骤S40,在所述cookie包括验证信息时,确定所述客户端通过防火墙的验证,将所述客户端加入白名单,允许所述客户端访问服务器。
在所述cookie包括验证信息时,所述防火墙判断所述客户端的应用不为攻击应用,将所述客户端加入白名单,允许所述客户端访问服务器,并将所述再次接收到的POST请求转发服务器;若所述cookie不包括验证信息,判断所述客户端的应用为攻击应用,将所述客户端加入黑名单,禁止所述客户端访问服务器。本实施例通过客户端分析和执行防火墙基于攻击POST请求反馈的响应信息中的JS代码产生验证信息,在能执行JS代码时,在cookie中加入验证信息,在不能执行JS代码时,不在cookie中加入验证信息,提高安全检测的效率,且将产生验证信息的计算过程在客户端实现,防火墙侧只需要简单的判断是否在cookie中包括验证信息,使得降低了防火墙侧的计算过程,节省了防火墙侧的计算资源,提高防火墙的性能。
本实施例通过强制加入JS代码,在客户端无法执行JS代码时,无法在cookie中携带验证信息,有效避免无法识别攻击请求和合法请求,导致防火墙的安全检测性能偏低,安全检测准确度偏低,进而使得访问服务器的安全性偏低的问题。提高了防火墙的安全监测性能、安全监测准确度,进而提高了访问服务器的安全性。
对应的,本发明还进一步提供一种防火墙。
参照图4,图4为本发明防火墙的较佳实施例的功能模块示意图。
在一实施例中,所述防火墙包括:接发模块10、判断模块20及处理模块30。
所述接发模块10,用于在客户端发送的POST请求为攻击请求时,向所述客户端反馈响应信息,所述响应信息包括一段JS代码,以供所述客户端执行所述JS代码并根据所述JS代码设置cookie首部,cookie的内容为JS代码计算后的验证信息;
客户端用户在需要访问服务器时,发出访问请求,例如,为POST请求。防火墙拦截客户端发送的POST请求,并对客户端发出的POST请求进行安全检测。
所述判断模块20,用于在接收到客户端发送的POST请求后,判断接收 到的客户端发送的POST请求是否为攻击请求,在客户端发送的POST请求为攻击请求时,向所述客户端反馈响应信息。
具体的,参考图5,所述判断模块20包括:判断单元21和判定单元22,
所述判断单元21,用于判断客户端发送的POST请求的速率值是否大于预设速率阈值;
所述判定单元22,用于在客户端发送的POST请求的速率值大于预设速率阈值时,判断所述客户端发送的POST请求为攻击请求;还用于在客户端发送的POST请求的速率值不大于预设速率阈值时,判断所述客户端发送的POST请求为合法请求。
所述防火墙获取客户端发送POST请求的速率值,并将所获取的速率值与预设速率阈值比对。所述预设速率阈值可以是100MB或70MB等,为根据经验值设定。
在所获取的速率值大于预设速率阈值时,所述防火墙判定为攻击请求;在所获取的速率值不大于预设速率阈值时,判定为合法请求。在本发明其他实施例中,也还可以采取其他方式判断是否为攻击请求,例如,所述POST请求是否包括合法请求标识信息,在包括合法请求标识时,判断为合法请求,在未包括合法请求标识时,判断为攻击请求。
所述防火墙在客户端发送的POST请求为攻击请求时,进入防御模式,即开启防御模块,以对攻击请求进行防御,防止攻击请求占用服务器资源。向所述客户端反馈响应信息,所述响应信息包括一段JS代码。
具体的,参考图6,所述接发模块10包括构建单元11和接发单元12,
所述构建单元11,用于构建所述攻击请求的响应信息,所述响应信息为HTTP 503状态码,所述状态码的首部包含retry字段,且携带一段JS代码;
所述接发单元12,用于向所述客户端反馈响应信息。
在接收到的POST请求为攻击请求时,所述防火墙构建所述攻击请求的响应信息,所述响应信息构建为HTTP 503状态码,所述HTTP 503状态码的首部包含retry字段,同时实体携带一段JS代码,并关闭所述客户端与服务器的连接。将构建的响应信息发送至攻击请求对应的客户端。
所述客户端在接收到所述响应信息时,再次生成POST请求,所述POST请求根据接收到的响应信息构建。所述客户端获取所述响应信息中的JS代码, 并执行所述JS代码,所述再次构建的POST请求对应的cookie的首部通过JS代码设置,且通过执行所述JS代码生成验证信息,所述客户端的应用在能执行所述JS代码时,生成验证信息,在所述客户端的应用不能执行所述JS代码时,不能生成所述验证信息,即无法在cookie中携带验证信息,若无法执行JS代码,则表示所述客户端的应用为攻击应用。例如,以所述应用以浏览器应用为例,若所述浏览器应用无法执行JS代码,则无法生成验证信息,若所述浏览器应用能执行JS代码,则能生成验证信息,并在cookie中携带验证信息。所述客户端在构建好再次发送的POST请求后,向所述服务器发送再次构建的POST请求。
所述判断单元21,还用于在再次接收到所述客户端的POST请求时,判断再次接收到的POST请求对应的cookie是否包括所述验证信息;
在判断接收到的POST请求为攻击请求后,所述防火墙接收所述客户端再次发送的POST请求,在接收到所述客户端再次发送的POST请求时,获取所述再次接收到的POST请求对应的cookie,判断再次接收到的POST请求对应的cookie是否包括验证信息,即判断所述客户端的应用是否为攻击应用。
所述处理模块30,用于在所述cookie未包括验证信息时,确定所述客户端未通过防火墙的验证,将所述客户端加入黑名单,阻止所述客户端访问服务器;还用于在所述cookie包括验证信息时,确定所述客户端通过防火墙的验证,将所述客户端加入白名单,允许所述客户端访问服务器。
在所述cookie包括验证信息时,所述防火墙判断所述客户端的应用不为攻击应用,将所述客户端加入白名单,允许所述客户端访问服务器,并将所述再次接收到的POST请求转发服务器;若所述cookie不包括验证信息,判断所述客户端的应用为攻击应用,将所述客户端加入黑名单,禁止所述客户端访问服务器。本实施例通过客户端分析和执行防火墙基于攻击POST请求反馈的响应信息中的JS代码产生验证信息,在能执行JS代码时,在cookie中加入验证信息,在不能执行JS代码时,不在cookie中加入验证信息,提高安全检测的效率,且将产生验证信息的计算过程在客户端实现,防火墙侧只需要简单的判断是否在cookie中包括验证信息,使得降低了防火墙侧的计算过程,节省了防火墙侧的计算资源,提高防火墙的性能。
本实施例通过强制加入JS代码,在客户端无法执行JS代码时,无法在 cookie中携带验证信息,有效避免无法识别攻击请求和合法请求,导致防火墙的安全检测性能偏低,安全检测准确度偏低,进而使得访问服务器的安全性偏低的问题。提高了防火墙的安全监测性能、安全监测准确度,进而提高了访问服务器的安全性。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种防范HTTP POST泛洪攻击的方法,其特征在于,包括以下步骤:
在客户端发送的POST请求为攻击请求时,向所述客户端反馈响应信息,所述响应信息包括一段JS代码,以供所述客户端执行所述JS代码并根据所述JS代码设置cookie首部,cookie的内容为JS代码计算后的验证信息;
在再次接收到所述客户端的POST请求时,判断再次接收到的POST请求对应的cookie是否包括所述验证信息;
在所述cookie未包括验证信息时,确定所述客户端未通过防火墙的验证,将所述客户端加入黑名单,阻止所述客户端访问服务器。
2.如权利要求1所述防范HTTP POST泛洪攻击的方法,其特征在于,所述判断再次接收到的POST请求对应的cookie是否包括所述验证信息的步骤之后,还包括:
在所述cookie包括验证信息时,确定所述客户端通过防火墙的验证,将所述客户端加入白名单,允许所述客户端访问服务器。
3.如权利要求1或2所述防范HTTP POST泛洪攻击的方法,其特征在于,所述向所述客户端反馈响应信息,所述响应信息包括一段JS代码的步骤之前,还包括:
判断客户端发送的POST请求是否为攻击请求。
4.如权利要求3所述防范HTTP POST泛洪攻击的方法,其特征在于,所述判断客户端发送的POST请求是否为攻击请求的步骤包括:
判断客户端发送的POST请求的速率值是否大于预设速率阈值;
在客户端发送的POST请求的速率值大于预设速率阈值时,判定所述客户端发送的POST请求为攻击请求;
在客户端发送的POST请求的速率值不大于预设速率阈值时,判断所述客户端发送的POST请求为合法请求。
5.如权利要求1或2所述防范HTTP POST泛洪攻击的方法,其特征在于,所述向所述客户端反馈响应信息,所述响应信息包括一段JS代码的步骤包括:
构建所述攻击请求的响应信息,所述响应信息为HTTP 503状态码,所述状态码的首部包含retry字段,且携带一段JS代码;
向所述客户端反馈响应信息。
6.一种防火墙,其特征在于,包括:
接发模块,用于在客户端发送的POST请求为攻击请求时,向所述客户端反馈响应信息,所述响应信息包括一段JS代码,以供所述客户端执行所述JS代码并根据所述JS代码设置cookie首部,cookie的内容为JS代码计算后的验证信息;
判断模块,用于在再次接收到所述客户端的POST请求时,判断再次接收到的POST请求对应的cookie是否包括所述验证信息;
处理模块,用于在所述cookie未包括验证信息时,判定所述客户端未通过防火墙的验证,将所述客户端加入黑名单,阻止所述客户端访问服务器。
7.如权利要求6所述的防火墙,其特征在于,所述处理模块,还用于在所述cookie包括验证信息时,确定所述客户端通过防火墙的验证,将所述客户端加入白名单,允许所述客户端访问服务器。
8.如权利要求6或7所述的防火墙,其特征在于,所述判断模块,还用于判断客户端发送的POST请求是否为攻击请求。
9.如权利要求8所述的防火墙,其特征在于,所述判断模块包括判断单元和判定单元,
所述判断单元,用于判断客户端发送的POST请求的速率值是否大于预设速率阈值;
所述判定单元,用于在客户端发送的POST请求的速率值大于预设速率阈值时,判断所述客户端发送的POST请求为攻击请求;还用于在客户端发送的POST请求的速率值不大于预设速率阈值时,判断所述客户端发送的POST请求为合法请求。
10.如权利要求6或7所述的防火墙,其特征在于,所述接发模块包括构建单元和接发单元,
所述构建单元,用于构建所述攻击请求的响应信息,所述响应信息为HTTP 503状态码,所述状态码的首部包含retry字段,且携带一段JS代码;
所述接发单元,用于向所述客户端反馈响应信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510208446.8A CN104883357A (zh) | 2015-04-28 | 2015-04-28 | 防范http post泛洪攻击的方法及防火墙 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510208446.8A CN104883357A (zh) | 2015-04-28 | 2015-04-28 | 防范http post泛洪攻击的方法及防火墙 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104883357A true CN104883357A (zh) | 2015-09-02 |
Family
ID=53950691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510208446.8A Pending CN104883357A (zh) | 2015-04-28 | 2015-04-28 | 防范http post泛洪攻击的方法及防火墙 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104883357A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111818107A (zh) * | 2020-09-14 | 2020-10-23 | 平安国际智慧城市科技股份有限公司 | 网络请求的响应方法、装置、设备及可读存储介质 |
| CN112015483A (zh) * | 2020-08-07 | 2020-12-01 | 北京浪潮数据技术有限公司 | Post请求参数自动化处理方法、装置及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7389354B1 (en) * | 2000-12-11 | 2008-06-17 | Cisco Technology, Inc. | Preventing HTTP server attacks |
| CN101789947A (zh) * | 2010-02-21 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| CN103634284A (zh) * | 2012-08-24 | 2014-03-12 | 阿里巴巴集团控股有限公司 | 一种网络flood攻击的侦测方法及装置 |
| CN103888490A (zh) * | 2012-12-20 | 2014-06-25 | 上海天泰网络技术有限公司 | 一种全自动的web客户端人机识别的方法 |
| CN104333529A (zh) * | 2013-07-22 | 2015-02-04 | 中国电信股份有限公司 | 一种云计算环境下http dos攻击的检测方法及系统 |
-
2015
- 2015-04-28 CN CN201510208446.8A patent/CN104883357A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7389354B1 (en) * | 2000-12-11 | 2008-06-17 | Cisco Technology, Inc. | Preventing HTTP server attacks |
| CN101789947A (zh) * | 2010-02-21 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| CN103634284A (zh) * | 2012-08-24 | 2014-03-12 | 阿里巴巴集团控股有限公司 | 一种网络flood攻击的侦测方法及装置 |
| CN103888490A (zh) * | 2012-12-20 | 2014-06-25 | 上海天泰网络技术有限公司 | 一种全自动的web客户端人机识别的方法 |
| CN104333529A (zh) * | 2013-07-22 | 2015-02-04 | 中国电信股份有限公司 | 一种云计算环境下http dos攻击的检测方法及系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112015483A (zh) * | 2020-08-07 | 2020-12-01 | 北京浪潮数据技术有限公司 | Post请求参数自动化处理方法、装置及可读存储介质 |
| CN112015483B (zh) * | 2020-08-07 | 2021-12-03 | 北京浪潮数据技术有限公司 | Post请求参数自动化处理方法、装置及可读存储介质 |
| CN111818107A (zh) * | 2020-09-14 | 2020-10-23 | 平安国际智慧城市科技股份有限公司 | 网络请求的响应方法、装置、设备及可读存储介质 |
| CN111818107B (zh) * | 2020-09-14 | 2021-04-27 | 深圳赛安特技术服务有限公司 | 网络请求的响应方法、装置、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107612895B (zh) | 一种互联网防攻击方法及认证服务器 | |
| Yi et al. | An intelligent communication warning vulnerability detection algorithm based on IoT technology | |
| CN110830330B (zh) | 一种防火墙测试方法、装置及系统 | |
| CN112926048B (zh) | 一种异常信息检测方法和装置 | |
| CN108280346B (zh) | 一种应用防护监控方法、装置以及系统 | |
| EP3270319B1 (en) | Method and apparatus for generating dynamic security module | |
| CN110879889A (zh) | Windows平台的恶意软件的检测方法及系统 | |
| CN112671727B (zh) | 一种信息泄露检测方法及装置、设备、存储介质 | |
| CN112395597A (zh) | 网站应用漏洞攻击的检测方法及装置、存储介质 | |
| CN110113351A (zh) | Cc攻击的防护方法及装置、存储介质、计算机设备 | |
| CN110912945B (zh) | 网络攻击入口点的检测方法、装置、电子设备及存储介质 | |
| CN113438225B (zh) | 一种车载终端漏洞检测方法、系统、设备及存储介质 | |
| CN104883357A (zh) | 防范http post泛洪攻击的方法及防火墙 | |
| CN113472789B (zh) | 一种攻击检测方法、攻击检测系统、存储介质和电子设备 | |
| KR101657180B1 (ko) | 프로세스 접근 제어 시스템 및 방법 | |
| CN109495436B (zh) | 一种可信云平台度量系统及方法 | |
| CN115348086A (zh) | 一种攻击防护方法及装置、存储介质及电子设备 | |
| CN112989355B (zh) | 一种漏洞威胁感知方法、装置、存储介质和设备 | |
| CN115174192A (zh) | 应用安全防护方法及装置、电子设备和存储介质 | |
| US10599845B2 (en) | Malicious code deactivating apparatus and method of operating the same | |
| CN110807181A (zh) | 企业内部数据库登录验证方法、装置及系统 | |
| CN115001832B (zh) | 防止密码攻击的方法、装置及电子设备 | |
| RU2381550C2 (ru) | Способ мониторинга безопасности web-сервера | |
| CN111246479B (zh) | 抵御假冒运营商攻击的方法、装置、终端设备及存储介质 | |
| CN111639033B (zh) | 软件安全威胁分析方法与系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150902 |