CN105635053A - 一种Web服务器DDOS攻击的防范方法 - Google Patents
一种Web服务器DDOS攻击的防范方法 Download PDFInfo
- Publication number
- CN105635053A CN105635053A CN201410597119.1A CN201410597119A CN105635053A CN 105635053 A CN105635053 A CN 105635053A CN 201410597119 A CN201410597119 A CN 201410597119A CN 105635053 A CN105635053 A CN 105635053A
- Authority
- CN
- China
- Prior art keywords
- user
- web server
- ddos
- access
- ddos attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种Web服务器DDOS攻击的防范方法,包括如下步骤:用户的Web服务器访问数据,所述DDOS建立DDOS防火墙,DDOS对用户数据根据设定的规则进行判断;如正常,则放行数据包,用户正常访问Web服务器;如怀疑,则强制重定向用户的访问到固定的问题询问页面,等待用户回答并开始计时;如得到正确应答,则放行数据包,用户正常访问Web服务器;如没有得到应答或者应答错误次数大于3次,则抛弃用户的数据包,阻止用户对Web服务器访问。本发明建立DDOS防火墙,有效防范Web服务器遭受DDOS攻击,提升Web服务器的安全性。
Description
技术领域
本发明涉及一种Web服务器DDOS攻击的防范方法。
背景技术
当今社会由于网络的发展,信息传播方式也千变万化,信息传播速度有了长足的进步,针对Web服务器的DDOS攻击有多种,有半连接资源耗尽攻击,有带宽流量攻击等等。分布式拒绝服务(DDOS:DistributedDenialofService)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDOS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDOS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。当DDOS攻击的目的为耗光Web服务器的带宽资源,攻击的方法大概如下:提高单个攻击机器的访问流量;使用多台“肉机”同时进行攻击。
发明内容
本发明为了解决现有技术的不足,提供一种Web服务器DDOS攻击的防范方法,旨在提供一种提升Web服务器遭受DDOS攻击时安全性的方法。
为解决上述技术问题,本发明提供的一种Web服务器DDOS攻击的防范方法,采用如下技术方案:
一种Web服务器DDOS攻击的防范方法,其特征在于,包括如下步骤:
S1:用户的Web服务器访问数据,所述DDOS建立DDOS防火墙,DDOS对用户数据根据设定的规则进行判断;
S2:如果正常,则放行数据包,用户正常访问Web服务器;如果怀疑,则强制重定向用户的访问到固定的问题询问页面,等待用户的回答,并开始计时;
S3:如果得到正确应答,则放行数据包,用户正常访问Web服务器;如果没有得要应答或者应答错误次数大于3次,则抛弃用户的数据包,阻止用户对Web服务器的访问;
S4:正常访问Web服务器时,对用户访问进行流量统计,并进行流量整形。
具体地,所述DDOS防火墙记录每个来访用户的源地址和源端口、已经访问的Web详细地址。
具体地,判读用户发起两次打开网页请求之间的时间间隔,如果小于1-2秒则开始计数;如果在1分钟之内计数达到某个阀值的时候,怀疑是DDOS攻击。
具体地,如果怀疑是DDOS攻击的数据包,DDOS防火墙就强制把用户的访问转接到一个固定的查询页面,需要用户输入问题的答案,并等待用户的回应。
具体地,如果在规定时间内没有收到用户的回应或者回应的错误次数达到5次以上,则丢弃此用户的所有数据包;如果回应正确则可以正常访问。
具体地,如果是正常的用户访问则对每个IP地址进行流量整形;根据Web服务器的总带宽和当前的用户数量动态计算出每个用户的所能占用的带宽的最大值,如果达到这个最大值,就需要对用户的流量进行带宽控制,从而可以减缓Web服务器的压力。
本发明提供的一种Web服务器DDOS攻击的防范方法,建立DDOS防火墙,有效防范Web服务器遭受DDOS攻击,提升Web服务器的安全性。
附图说明
图1为本发明实施例所述的一种Web服务器DDOS攻击的防范方法的步骤示意图。
具体实施方式
下面结合附图对本发明实施例提供给的Web服务器DDOS攻击的防范方法进行详细描述。
如图1所示,本发明实施例提供的一种Web服务器DDOS攻击的防范方法,其特征在于,包括如下步骤:
S1:用户的Web服务器访问数据,所述DDOS建立DDOS防火墙,DDOS对用户数据根据设定的规则进行判断;
S2:如果正常,则放行数据包,用户正常访问Web服务器;如果怀疑,则强制重定向用户的访问到固定的问题询问页面,等待用户的回答,并开始计时;
S3:如果得到正确应答,则放行数据包,用户正常访问Web服务器;如果没有得要应答或者应答错误次数大于3次,则抛弃用户的数据包,阻止用户对Web服务器的访问;
S4:正常访问Web服务器时,对用户访问进行流量统计,并进行流量整形。
具体地,所述DDOS防火墙记录每个来访用户的源地址和源端口、已经访问的Web详细地址。
具体地,判读用户发起两次打开网页请求之间的时间间隔,如果小于1-2秒则开始计数;如果在1分钟之内计数达到某个阀值的时候,怀疑是DDOS攻击。
具体地,如果怀疑是DDOS攻击的数据包,DDOS防火墙就强制把用户的访问转接到一个固定的查询页面,需要用户输入问题的答案,并等待用户的回应。
具体地,如果在规定时间内没有收到用户的回应或者回应的错误次数达到5次以上,则丢弃此用户的所有数据包;如果回应正确则可以正常访问。
具体地,如果是正常的用户访问则对每个IP地址进行流量整形;根据Web服务器的总带宽和当前的用户数量动态计算出每个用户的所能占用的带宽的最大值,如果达到这个最大值,就需要对用户的流量进行带宽控制,从而可以减缓Web服务器的压力。
本发明提供的一种Web服务器DDOS攻击的防范方法,建立DDOS防火墙,有效防范Web服务器遭受DDOS攻击,提升Web服务器的安全性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (6)
1.一种Web服务器DDOS攻击的防范方法,其特征在于,包括如下步骤:
S1:用户的Web服务器访问数据,所述DDOS建立DDOS防火墙,DDOS对用户数据根据设定的规则进行判断;
S2:如果正常,则放行数据包,用户正常访问Web服务器;如果怀疑,则强制重定向用户的访问到固定的问题询问页面,等待用户的回答,并开始计时;
S3:如果得到正确应答,则放行数据包,用户正常访问Web服务器;如果没有得要应答或者应答错误次数大于3次,则抛弃用户的数据包,阻止用户对Web服务器的访问;
S4:正常访问Web服务器时,对用户访问进行流量统计,并进行流量整形。
2.根据权利要求1所述的Web服务器DDOS攻击的防范方法,其特征在于,所述DDOS防火墙记录每个来访用户的源地址和源端口、已经访问的Web详细地址。
3.根据权利要求1所述的Web服务器DDOS攻击的防范方法,其特征在于,判读用户发起两次打开网页请求之间的时间间隔,如果小于1-2秒则开始计数;如果在1分钟之内计数达到某个阀值的时候,怀疑是DDOS攻击。
4.根据权利要求1所述的Web服务器DDOS攻击的防范方法,其特征在于,如果怀疑是DDOS攻击的数据包,DDOS防火墙就强制把用户的访问转接到一个固定的查询页面,需要用户输入问题的答案,并等待用户的回应。
5.根据权利要求1所述的Web服务器DDOS攻击的防范方法,其特征在于,如果在规定时间内没有收到用户的回应或者回应的错误次数达到5次以上,则丢弃此用户的所有数据包;如果回应正确则可以正常访问。
6.根据权利要求1所述的Web服务器DDOS攻击的防范方法,其特征在于,如果是正常的用户访问则对每个IP地址进行流量整形;根据Web服务器的总带宽和当前的用户数量动态计算出每个用户的所能占用的带宽的最大值,如果达到这个最大值,就需要对用户的流量进行带宽控制,从而可以减缓Web服务器的压力。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410597119.1A CN105635053A (zh) | 2014-10-31 | 2014-10-31 | 一种Web服务器DDOS攻击的防范方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410597119.1A CN105635053A (zh) | 2014-10-31 | 2014-10-31 | 一种Web服务器DDOS攻击的防范方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105635053A true CN105635053A (zh) | 2016-06-01 |
Family
ID=56049559
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410597119.1A Pending CN105635053A (zh) | 2014-10-31 | 2014-10-31 | 一种Web服务器DDOS攻击的防范方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105635053A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102638474A (zh) * | 2012-05-08 | 2012-08-15 | 山东大学 | 一种应用层DDoS分布式拒绝服务攻击防御方法 |
CN103916387A (zh) * | 2014-03-18 | 2014-07-09 | 汉柏科技有限公司 | 一种防护ddos攻击的方法及系统 |
CN104079563A (zh) * | 2014-06-10 | 2014-10-01 | 汉柏科技有限公司 | 一种抗ddos攻击的控制方法和装置 |
-
2014
- 2014-10-31 CN CN201410597119.1A patent/CN105635053A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102638474A (zh) * | 2012-05-08 | 2012-08-15 | 山东大学 | 一种应用层DDoS分布式拒绝服务攻击防御方法 |
CN103916387A (zh) * | 2014-03-18 | 2014-07-09 | 汉柏科技有限公司 | 一种防护ddos攻击的方法及系统 |
CN104079563A (zh) * | 2014-06-10 | 2014-10-01 | 汉柏科技有限公司 | 一种抗ddos攻击的控制方法和装置 |
Non-Patent Citations (1)
Title |
---|
汪北阳: "蜜罐技术在防御DDoS中的应用", 《计算机与现代化》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
CN106506547B (zh) * | 2016-12-23 | 2020-07-10 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11050786B2 (en) | Coordinated detection and differentiation of denial of service attacks | |
CN101495993B (zh) | 用于分布式多重处理安全网关的系统和方法 | |
US20190364067A1 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
CN104333529B (zh) | 一种云计算环境下http dos攻击的检测方法及系统 | |
CN103916490B (zh) | 一种域名系统dns防篡改方法及装置 | |
CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
CN109413069B (zh) | 基于区块链的虚拟网站防火墙的应用方法及装置 | |
CN105812318B (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
CN102739683A (zh) | 一种网络攻击过滤方法及装置 | |
EP3395102B1 (en) | Network management | |
EP2922263B1 (en) | Processing method for network address translation technology, nat device and bng device | |
CN104202333A (zh) | 一种分布式防火墙的实现方法 | |
CN110266678A (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
CN102882894A (zh) | 一种识别攻击的方法及装置 | |
CN108881233A (zh) | 防攻击处理方法、装置、设备及存储介质 | |
Huang et al. | An authentication scheme to defend against UDP DrDoS attacks in 5G networks | |
CN110191104A (zh) | 一种安全防护的方法及装置 | |
CN106961414B (zh) | 一种基于蜜罐的数据处理方法、装置及系统 | |
CN103685317A (zh) | 用于域名系统的防护方法和装置 | |
CN101136917B (zh) | 一种传输控制协议拦截模块及其软切换方法 | |
CN102075535B (zh) | 一种应用层分布式拒绝服务攻击过滤方法及系统 | |
CN106470193A (zh) | 一种DNS递归服务器抗DoS、DDoS攻击的方法及装置 | |
WO2012139466A1 (zh) | 一种资源的管理方法和设备 | |
WO2015018200A1 (zh) | 防火墙设备中检测引擎的升级方法及装置 | |
CN105635053A (zh) | 一种Web服务器DDOS攻击的防范方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160601 |
|
WD01 | Invention patent application deemed withdrawn after publication |