CN107786489B - 访问请求验证方法及装置 - Google Patents
访问请求验证方法及装置 Download PDFInfo
- Publication number
- CN107786489B CN107786489B CN201610716459.0A CN201610716459A CN107786489B CN 107786489 B CN107786489 B CN 107786489B CN 201610716459 A CN201610716459 A CN 201610716459A CN 107786489 B CN107786489 B CN 107786489B
- Authority
- CN
- China
- Prior art keywords
- access request
- cookie value
- terminal
- fingerprint information
- cookie
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明公开了一种访问请求验证方法及装置,属于计算机技术领域。所述方法包括:接收对网站服务器进行访问的访问请求,获取发送该访问请求的终端的指纹信息;将该指纹信息与存储的cookie值所对应的指纹信息进行对比;当指纹信息与存储的cookie值所对应的指纹信息不同时,则丢弃访问请求。解决了同一网关下的非法终端在利用合法的IP地址进行攻击,代理服务器在判定访问请求的源IP地址与cookie值对应的IP地址匹配时,误将攻击的报文转发至受害主机的技术问题,提高了对攻击行为的识别和防御的准确度。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种访问请求验证方法及装置。
背景技术
在互联网技术领域,挑战黑洞(英文名:Challenge challenge collapsar,简称:CC)攻击,是指攻击者借助代理主机服务器生成指向受害主机的合法访问请求,实现分布式拒绝服务(英文名:Distributed distributed Denial denial ofservice,简称:DDOS)和伪装。
相关技术中采用cookie验证的方式对CC攻击进行防御,终端在首次访问网站时,代理服务器在判定该访问合法时,根据终端的互联网协议(英文:IntemetProtocol,简称:IP)地址生成cookie值,将cookie值发送给该终端。该终端利用该IP地址在下次访问网站时会在网站的访问请求中携带上该cookie值,当代理服务器接收到该访问请求后,将该访问请求的源IP地址与cookie值对应的IP匹配,在匹配成功时,将该访问请求转发给被访问网站所在的网站服务器。
在实际应用中,与该终端处于同一个网关下的非法终端可能会盗用到该cookie值,并使用该cookie值进行攻击,由于同一个网关的IP地址相同,代理服务器会将该非法终端发送的访问请求判定为合法的访问请求,并将该访问请求转发给网站服务器,从而导致网站服务器被攻击。
发明内容
本发明实施例提供了一种访问请求验证方法及装置。所述技术方案如下:
第一方面,提供了一种访问请求验证方法,所述方法包括:接收对网站服务器进行访问的访问请求;在所述访问请求中携带有cookie值时,获取发送所述访问请求的终端的指纹信息,所述终端的指纹信息用于唯一对应所述终端;将所述指纹信息与存储的所述cookie值所对应的指纹信息进行对比;当所述指纹信息与存储的所述cookie值所对应的指纹信息不同时,则丢弃所述访问请求。
第二方面,提供了一种访问请求验证装置,所述装置包括:接收模块,用于接收对网站服务器进行访问的访问请求;获取模块,用于在所述接收模块接收的所述访问请求中携带有cookie值时,获取发送所述访问请求的终端的指纹信息,所述终端的指纹信息用于唯一对应所述终端;对比模块,用于将所述获取模块获取的所述指纹信息与存储的所述cookie值所对应的指纹信息进行对比;处理模块,用于当所述对比模块对比出所述指纹信息与存储的所述cookie值所对应的指纹信息不同时,则丢弃所述访问请求。
本发明实施例提供的技术方案带来的有益效果是:
通过在判定发送访问请求的用户终端的指纹信息与访问请求中cookie值所对应的指纹信息不一致时,丢弃该访问请求;由于指纹信息用于唯一对应终端,在指纹信息匹配不成功时,表明该终端尚未被代理服务器设立过cookie值,由此可知该终端发送的访问请求中的cookie值是盗用的,解决了同一网关下的非法终端在利用合法的IP地址进行攻击,代理服务器在判定访问请求的源IP地址与cookie值对应的IP地址匹配时,误将攻击的报文转发至受害主机的技术问题,提高了对攻击行为的识别和防御的准确度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例中提供的代理服务器的结构示意图;
图2A是本发明一个实施例中提供的访问请求验证方法的方法流程图;
图2B是本发明另一个实施例中提供的访问请求验证方法的方法流程图;
图2C是本发明再一个实施例中提供的访问请求验证方法的方法流程图;
图3是本发明再一个实施例中提供的访问请求验证方法的方法流程图;
图4是本发明一个实施例中提供的访问请求验证装置的框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为了实现访问请求的验证,本申请提供了一种代理服务器,该代理服务器提供了一种访问请求验证方法,该访问请求验证方法可以在终端发出访问请求时,自动拦截访问请求并进行该访问请求的cookie验证。
以下结合图1对代理服务器的结构进行说明。图1是本发明一个实施例中提供的代理服务器的结构示意图。该代理服务器100可以是终端与被访问的网站服务器之间的一个终端,比如路由器、中继终端等。
代理服务器100包括中央处理单元(英文:central processing unit,CPU)101、包括随机存取存储器(英文:random-access memory,RAM)102和只读存储器(英文:read-onlymemory,ROM)103的系统存储器104,以及连接系统存储器104和中央处理单元101的系统总线105。代理服务器100还包括用于存储操作系统108、应用程序109和其他程序模块110的大容量存储设备107。
大容量存储设备107通过连接到系统总线105的大容量存储控制器(未示出)连接到中央处理单元101。大容量存储设备107及其相关联的计算机可读介质为代理服务器100提供非易失性存储。也就是说,大容量存储设备107可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括静态随机存取存储器(英文:static random accessmemory,SRAM),电可擦除可编程只读存储器(英文:electrically erasableprogrammable read-only memory,EEPROM),可擦除可编程只读存储器(英文:erasable programmable read only memory,EPROM),可编程只读存储器(英文:programmable read only memory,PROM)、RAM、ROM、闪存或其他固态存储其技术,CD-ROM、数字通用光盘(英文:digital versatile disc,DVD)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知计算机存储介质不局限于上述几种。上述的系统存储器104和大容量存储设备107可以统称为存储器。
根据本发明的各种实施例,代理服务器100还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即代理服务器100可以通过连接在系统总线105上的网络接口单元111连接到网络112,或者说,也可以使用网络接口单元111来连接到其他类型的网络或远程计算机系统(未示出)。
上述系统存储器104还包括一个或者一个以上的程序,这些程序经配置以由一个或者一个以上处理器执行。
代理服务器在对访问请求进行验证时,可以根据终端发出的访问请求中的cookie值以及该终端的指纹信息进行验证,以确定丢弃该访问请求,还是正常转发该访问请求,访问请求验证方法的具体流程可以参见如图2A、图2B、图2C中进行的解释说明。
图2A是本发明一个实施例中提供的访问请求验证方法的方法流程图,该访问请求验证方法应用于图1所示的代理服务器中,该访问请求验证方法包括如下步骤:
步骤201,接收对网站服务器进行访问的访问请求。
在终端发出访问请求后,由于代理服务器是位于终端以及访问请求所访问的代理服务器之间的终端,因此代理服务器可以接收到该访问请求。
这里的访问请求可以是一个报文,比如常见的超文本传输协议(英文:HyperTextTransfer Protocol,简称:HTTP)报文,本实施例中不对访问请求所采用的编码标准进行限定。
步骤202,在访问请求中携带有cookie值时,获取发送访问请求的终端的指纹信息,终端的指纹信息用于唯一对应该终端。
当代理服务器在判定接收到的访问请求中携带有cookie值时,代理服务器将提取该cookie值,并从该cookie值中提取发出该访问请求的来源终端的指纹信息。
这里所讲的指纹信息用于唯一对应终端,一般的,终端不同,终端的指纹信息也不同。
可选的,指纹信息可以是终端信息,这里所讲的终端信息可以包括终端的标识、终端的媒体访问控制(英文:Media Access Control,简称:MAC)地址等。终端信息还可以包括访问请求的源IP地址。
可选的,指纹信息也可以是终端信息处理后的信息。比如,将上述的终端信息依稀排序,将排序后的字符串进行MD5的计算,得到该终端信息对应的指纹信息。
一般的,对于普通的浏览器,当获取到cookie值之后,在对网站服务器进行访问时,均会将cookie值带入在访问请求中。
在一种可能的实现方式中,终端会将终端的指纹信息添加至访问请求中,代理服务器在获取到访问请求之后,则可以获取发送访问请求的终端的指纹信息。
步骤203,将该指纹信息与存储的cookie值所对应的指纹信息进行对比。
代理服务器中预先存储有历史生成的cookie值以及cookie值对应的指纹信息。这里所讲的存储的cookie值所对应的指纹信息均是被代理服务器判定为合法的终端的指纹信息。
代理服务器可以从历史记录的cookie值以及指纹信息的对应关系中,查找与该访问请求中cookie值对应的指纹信息,在查找到该访问请求的cookie值对应的指纹信息之后,代理服务器可以将发送该访问请求的终端的指纹信息与查找到的指纹信息进行对比。
可选的,代理服务器还可以直接查找存储的指纹信息。将发送该访问请求的终端的指纹信息依次与存储的各个指纹信息进行对比。
步骤204,当该指纹信息与存储的cookie值所对应的指纹信息不同时,则丢弃访问请求。
当该指纹信息与存储的cookie值所对应的指纹信息不同时,表明该终端尚未被代理服务器设立过cookie值,然而该终端发送的访问请求中携带有cookie值,此时可以认定该终端盗用了该cookie,因此存在攻击风险,此时则丢弃该终端发送的该访问请求。
综上所述,本发明实施例提供的访问请求验证方法,通过在判定发送访问请求的用户终端的指纹信息与访问请求中cookie值所对应的指纹信息不一致时,丢弃该访问请求;由于指纹信息用于唯一对应终端,在指纹信息匹配不成功时,表明该终端尚未被代理服务器设立过cookie值,由此可知该终端发送的访问请求中的cookie值是盗用的,解决了同一网关下的非法终端在利用合法的IP地址进行攻击,代理服务器在判定访问请求的源IP地址与cookie值对应的IP地址匹配时,误将攻击的报文转发至受害主机的技术问题,提高了对攻击行为的识别和防御的准确度。
图2B是本发明另一个实施例中提供的访问请求验证方法的方法流程图,该访问请求验证方法应用于图1所示的代理服务器中,该访问请求验证方法包括如下步骤:
步骤211,接收访问请求。
同上述步骤201,代理服务器接收用户终端发送的访问请求。
步骤212,判断访问请求中是否携带有cookie值。
在代理服务器接收到访问请求时,首先需要判断该访问请求中是否携带cookie值,如果携带有cookie值,则执行上述步骤202至步骤204,具体可以参见步骤202-步骤204的描述,这里不再赘述。
步骤213,当访问请求中未携带有cookie值时,判断访问请求是否为合法请求。
在一种可能的实现方式中,代理服务器可以在本地存储有判定访问请求是否为合法请求的策略,根据该策略判定该访问请求是否为合法请求。
比如,发送该访问请求的源IP位于白名单中,代理服务器则可以认定该访问请求为合法请求。
还比如,发送该访问请求的终端在单位时间内发送的访问请求的报文的数量低于预定阈值,代理服务器则可以认定为访问请求为合法请求。
还比如,发送该访问请求所对应的报文的大小符合合法范围,代理服务器则可以认定该方位请求为合法请求。
在实际实现时,还可能通过其他的方式判定访问请求是否为合法请求,本实施例中不对合法请求的判定方式进行限定。
步骤214,当访问请求为合法请求时,生成cookie值,发送给终端。
为了避免其他非法终端可以盗用当前终端的cookie值,代理服务器在为该合法的终端生成cookie值时,可以利用该终端的指纹信息生成cookie值,并发送给用户终端。
当指纹信息包含终端的标识、MAC地址或IP地址等终端信息时,可以将终端信息串联,将串联的字符串进行MD5的计算,得到该终端的指纹信息。
利用该指纹信息按照预定算法生成cookie值。
为了能够让用户得知该cookie值,此时代理服务器可以将该cookie值添加至访问请求的域名下,并将添加有cookie值的访问请求进行重定向,以重定向至发送该访问请求的终端。
代理服务器在将访问请求进行重定向至终端时,可以进行302跳转,以跳转至该终端。
当终端接收到该cookie值之后,在后续访问网站服务器时,或者再后续通过浏览器或其他具备网络访问功能的应用程序在发送访问请求时,均会在访问请求中携带上该cookie值。
当该访问请求中不存在cookie值且不为合法请求时,则丢弃该访问请求。
步骤215,当访问请求中携带有cookie值时,判断终端的指纹信息是否与cookie值的指纹信息相同。
当该访问请求中携带有cookie值时,获取代理服务器中存储的该cookie值所对应的指纹信息。由上述步骤214可知,当终端合法访问时,代理服务器会根据该终端的指纹信息为该终端生成cookie值。
可选的,代理服务器可以存储每组cookie值以及指纹信息。
当代理服务器在获取cookie值的指纹信息时,可以通过逆向方式对cookie值进行处理,得到该cookie值的指纹信息,也可以查找代理服务器存储的与该cookie值对应的指纹信息。这里所讲的逆向方式是利用指纹信息生成cookie值的方式的逆向。比如通过预定方式利用指纹信息生成cookie值,对应的,通过该预定方式的逆向方式对cookie值进行逆向处理,得到该指纹信息。
当代理服务器获取到该cookie值的指纹信息之后,则可以判断终端的指纹信息是否与访问请求中该cookie值的指纹信息相同。
步骤216a,当终端的指纹信息与cookie值的指纹信息相同时,则转发该访问请求。
当终端的指纹信息与cookie值的指纹信息相同时,表明该访问请求为合法的终端发送来的请求,此时则可以将该访问请求转发至所请求的网站服务器。
步骤217,当终端的指纹信息与cookie值的指纹信息不同时,则丢弃该访问请求。
当终端的指纹信息与cookie值的指纹信息不同时,表明该访问请求中的cookie值可能被非法终端盗用,此时发送该访问请求的终端则为非法终端,为了避免该非法终端的访问请求对被访问的网站服务器的攻击,代理服务器则会丢弃该访问请求。
综上所述,本发明实施例提供的访问请求验证方法,通过在判定发送访问请求的用户终端的指纹信息与访问请求中cookie值所对应的指纹信息不一致时,丢弃该访问请求;由于指纹信息用于唯一对应终端,在指纹信息匹配不成功时,表明该终端尚未被代理服务器设立过cookie值,由此可知该终端发送的访问请求中的cookie值是盗用的,解决了同一网关下的非法终端在利用合法的IP地址进行攻击,代理服务器在判定访问请求的源IP地址与cookie值对应的IP地址匹配时,误将攻击的报文转发至受害主机的技术问题,提高了对攻击行为的识别和防御的准确度。
在一种可能的实现方式中,为了避免非法终端进行长期的攻击,代理服务器在生成cookie值时,还可以为cookie值设置生效期,终端在该cookie值的生效期内可以携带该cookie值进行合法访问,当cookie值的生效期结束,终端如果再继续利用该cookie值进行访问,会被代理服务器丢弃对应的访问请求。此时,在步骤215之后,代理服务器还会进一步判定cookie值的生效期是否超期。此时可以将步骤216a替换为图2C中的步骤。
步骤216b1,当终端的指纹信息与cookie值的指纹信息相同时,判定访问请求是否超过cookie值的生效期。
一般来讲,代理服务器在根据终端的指纹信息生成cookie值时,还可以利用该指纹信息以及生成时刻生成cookie值,其中生成时刻为当前生成该cookie值的时刻。也即代理服务器在生成cookie值时还添加生成该cookie值的时刻。这样代理服务器根据cookie值所对应的生成时刻可以得知该cookie值已经被生成的时长。
因此,当代理服务器在判定访问请求是否超过cookie值的生效期时,可以获取该cookie值对应的生成时刻,然后计算接收到该访问请求的时刻减去该生成时刻后得到的差值,判定该差值是否超过预定时效阈值。
这里的预定时效阈值是代理服务器根据实际的攻击情况设定的。比如1分钟、2分钟等,本实施例不对该预定时效阈值的取值继续限定。
当该差值超过预定时效阈值,则判定该访问请求超过了cookie值的生效期,当该差值未超过预定时效阈值,则判定该访问请求未超过cookie值的生效期。
步骤216b2,当访问请求超过cookie值的生效期,丢弃该访问请求。
步骤216b3,对终端发送的超过cookie值的生效期的访问请求的数量进行统计;
步骤216b4,当该终端发送的超过该cookie值的生效期的访问请求在单位时间的数量未超过预定阈值时,根据该终端的指纹信息和当前时刻生成cookie值。
将该cookie值发送至终端,该cookie值用于触发该终端替换原有的cookie值。
当该终端发送的超过该cookie值的生效期的访问请求在单位时间的数量未超过预定阈值时,表明该终端属于正常的访问,此时为了保证后续该终端发送的访问请求可以被正常的转发给被访问的网站服务器,代理服务器根据该终端的指纹信息和当前时刻生成cookie值,将该cookie值发送至终端,该cookie值用于触发该终端替换原有的cookie值。
这里再将最新生成的cookie值发送给终端时,仍旧将该cookie值添加至最后接收到的该终端发送的访问请求的域名下,对该访问请求进行302跳转,重定向至该终端,以便于获取到该最新生成的cookie值。
步骤216b5,当访问请求未超过cookie值的生效期,转发该访问请求。
综上所述,本发明实施例提供的访问请求验证方法,通过判定该访问请求是否在该cookie值的生效期内被接收到,若已经超过了该cookie值的生效期,则丢弃该访问请求,从而可以避免非法使用者使用超期的cookie值进行攻击。
另外,在判定该访问请求已经超过了该cookie值的生效期之后,继续判定发送该访问请求中终端是否在短时间内发送大量的访问请求,如果该终端发送大量的访问请求,表明该终端为非法终端,此时则丢弃该终端发送来的所有访问请求。
而在判定该访问请求已经超过了该cookie值的生效期之后,该终端并没有发生大量的访问请求,则表明该终端可能是正常访问,此时为了保证给终端的正常访问,则为该终端生成新的cookie值,以保证后续该终端利用该新的cookie值发送访问请求时,代理服务器可以将访问请求正常转发至被访问的网站服务器。通过设置该cookie值的有效时长,实现合法终端的cookie值的定期更换,加强了cookie验证的安全性。
下面将结合发送访问请求的用户终端、代理服务器以及网络服务器,对访问请求验证方法进行举例说明,具体请参考图3。
图3是本发明再一个实施例中提供的访问请求验证方法的方法流程图,该访问请求验证方法应用于图1所示的代理服务器中,该访问请求验证方法包括如下步骤:
步骤301,判断用户终端发送的访问请求是否携带有cookie值。
步骤302,当用户终端发送的访问请求中不带有cookie值时,识别该访问请求是否为合法请求。
步骤303,当该访问请求为合法请求时,根据终端的指纹信息和当前时刻生成cookie值。
这里所讲的当前时刻是代理服务器生成cookie的生成时刻。
步骤304,将生成的cookie值存储在代理服务器中。
可选的,代理服务器还可以存储cookie值、指纹信息以及生成时刻的对应关系。
步骤305,将带有cookie值的访问请求重定向至终端。
这里所说的重定向即前述的302跳转,指代理服务器生成该cookie值后,存储该cookie值,并将该cookie值发送给终端,终端将该cookie值插入到访问请求的域名中,进行重定向访问,重新执行步骤301。
步骤306,当终端发送的访问请求中带有cookie值时,将该终端的指纹信息与该cookie值的指纹信息进行匹配。
步骤307,当匹配成功时,代理服务器将该访问请求发送给访问请求所请求的网络服务器。
步骤308,当不匹配时,代理服务器丢弃该访问请求。
需要补充说明的是,步骤302中,当识别该访问请求不为合法请求时,直接执行步骤308。
综上所述,本发明实施例提供的访问请求验证方法,通过在判定发送访问请求的用户终端的指纹信息与访问请求中cookie值所对应的指纹信息不一致时,丢弃该访问请求;由于指纹信息用于唯一对应终端,在指纹信息匹配不成功时,表明该终端尚未被代理服务器设立过cookie值,由此可知该终端发送的访问请求中的cookie值是盗用的,解决了同一网关下的非法终端在利用合法的IP地址进行攻击,代理服务器在判定访问请求的源IP地址与cookie值对应的IP地址匹配时,误将攻击的报文转发至受害主机的技术问题,提高了对攻击行为的识别和防御的准确度。
图4是本发明一个实施例中提供的访问请求验证装置的框图,在图4中,该访问请求验证装置可以通过软件、硬件或软硬件结合的方式实现成为代理服务器或代理服务器的一部分,该访问请求验证装置可以包括:接收模块401、获取模块402、对比模块403和处理模块404。
接收模块401,可以用于接收对网站服务器进行访问的访问请求;
获取模块402,可以用于在该接收模块401接收的该访问请求中携带有cookie值时,获取发送该访问请求的终端的指纹信息,该终端的指纹信息用于唯一对应该终端;
对比模块403,可以用于将该获取模块402获取的该指纹信息与存储的该cookie值所对应的指纹信息进行对比;
处理模块404,可以用于当该对比模块403对比出该指纹信息与存储的该cookie值所对应的指纹信息不同时,则丢弃该访问请求。
在一种可选的实现方式中,该访问请求验证装置还可以包括:生成模块和发送模块。
生成模块,可以用于在该接收模块401接收该对网站进行访问的访问请求之后,在该访问请求中不携带有cookie值且该访问请求合法时,根据发送该访问请求的终端的指纹信息生成cookie值;
发送模块,可以用于将该生成模块生成的cookie值发送给发送该访问请求的终端,该生成的cookie值用于触发该终端在下次发送访问请求时添加该生成的cookie值。
在另一中可选的实现方式中,该发送模块可以包括:插入单元和重定向单元。
插入单位,可以用于将该生成的cookie值插入至该访问请求所访问的域名下;
重定向单元,可以用于将该访问请求重定向至发送该访问请求的用户终端,使得该用户终端根据该域名获取该生成的cookie值。
在再一种可选的实现方式中,该重定单元可以用于对该访问请求进行302重定向,以重定向至该用户终端。
在再一种可选的实现方式中,该生成模块,可以用于利用发送的该访问请求的终端的指纹信息以及生成时刻生成cookie值,该生成时刻是生成该cookie值的时刻。
在再一种可选的实现方式中,该处理模块404,还可以用于当该指纹信息与该cookie值对应的指纹信息相同时,将该访问请求转发至所访问的服务器;
或者/和,
该处理模块404,还可以用于当该指纹信息与该cookie值对应的指纹信息相同时,判定该访问请求是否超过该cookie值的生效期,当该访问请求超过该cookie值的生效期时,丢弃该访问请求,当该访问请求未超过该cookie值的生效期时,将该访问请求转发至所访问的服务器。
在再一种可选的实现方式中,该访问请求验证装置还可以包括:统计模块。
统计模块,可以用于当该处理模块丢弃该访问请求之后,对该终端发送的超过该cookie值的生效期的访问请求的数量进行统计;
该生成模块,还可以用于当该统计模块统计的该终端发送的超过该cookie值的生效期的访问请求在单位时间的数量未超过预定阈值时,根据该终端的指纹信息和当前时刻生成cookie值;
该发送模块,还可以用于将该生成模块生成的该cookie值发送至该终端,该cookie值用于触发该终端替换原有的cookie值。
在再一种可选的实现方式中,该处理模块404可以包括:获取单元、计算单元和判定单元。
获取单元,可以用于获取所述cookie值对应的生成时刻,所述生成时刻是生成所述cookie值时的时刻;
计算单元,可以用于计算将接收到所述访问请求的时刻减去所述获取单元获取的所述生成时刻后得到的差值;
判定单元,可以用于判定所述差值是否超过预定时效阈值。
综上所述,本发明实施例提供的访问请求验证装置,通过在判定发送访问请求的用户终端的指纹信息与访问请求中cookie值所对应的指纹信息不一致时,丢弃该访问请求;由于指纹信息用于唯一对应终端,在指纹信息匹配不成功时,表明该终端尚未被代理服务器设立过cookie值,由此可知该终端发送的访问请求中的cookie值是盗用的,解决了同一网关下的非法终端在利用合法的IP地址进行攻击,代理服务器在判定访问请求的源IP地址与cookie值对应的IP地址匹配时,误将攻击的报文转发至受害主机的技术问题,提高了对攻击行为的识别和防御的准确度。
通过判定该访问请求是否在该cookie值的生效期内被接收到,若已经超过了该cookie值的生效期,则丢弃该访问请求,从而可以避免非法使用者使用超期的cookie值进行攻击。
另外,在判定该访问请求已经超过了该cookie值的生效期之后,继续判定发送该访问请求中终端是否在短时间内发送大量的访问请求,如果该终端发送大量的访问请求,表明该终端为非法终端,此时则丢弃该终端发送来的所有访问请求。
而在判定该访问请求已经超过了该cookie值的生效期之后,该终端并没有发生大量的访问请求,则表明该终端可能是正常访问,此时为了保证给终端的正常访问,则为该终端生成新的cookie值,以保证后续该终端利用该新的cookie值发送访问请求时,代理服务器可以将访问请求正常转发至被访问的网站服务器。通过设置该cookie值的有效时长,实现合法终端的cookie值的定期更换,加强了cookie验证的安全性。
需要说明的是:上述实施例中提供的访问请求验证装置在验证访问请求时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将代理服务器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的访问请求验证装置与访问请求验证方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (18)
1.一种访问请求验证方法,其特征在于,所述方法包括:
接收对网站服务器进行访问的访问请求;
在所述访问请求中携带有cookie值时,从所述cookie值中,获取发送所述访问请求的终端的指纹信息,所述终端的指纹信息用于唯一对应所述终端,所述指纹信息包括终端的标识、终端的媒体访问控制MAC地址中的至少一项,所述cookie值为通过cookie值生成算法对所述终端的指纹信息进行运算得到的;
根据所述cookie值生成算法的逆运算对所述cookie值进行运算得到所述cookie值所对应的指纹信息;
将所述终端的指纹信息与所述cookie值所对应的指纹信息进行对比;
当所述终端的指纹信息与所述cookie值所对应的指纹信息不同时,则丢弃所述访问请求。
2.根据权利要求1所述的方法,其特征在于,在所述接收对网站服务器进行访问的访问请求之后,所述方法还包括:
在所述访问请求中不携带有cookie值且所述访问请求合法时,根据发送所述访问请求的终端的指纹信息生成cookie值,将所述生成的cookie值发送给发送所述访问请求的终端,所述生成的cookie值用于触发所述终端在下次发送访问请求时添加所述生成的cookie值。
3.根据权利要求2所述的方法,其特征在于,所述将所述生成的cookie值发送给发送所述访问请求的终端,包括:
将所述生成的cookie值插入至所述访问请求所访问的域名下;
将所述访问请求重定向至发送所述访问请求的终端,使得所述终端根据所述域名获取所述生成的cookie值。
4.根据权利要求3所述的方法,其特征在于,所述将所述访问请求重定向至发送所述访问请求的终端,包括:
对所述访问请求进行302重定向,以重定向至所述终端。
5.根据权利要求2所述的方法,其特征在于,所述根据发送所述访问请求的终端的指纹信息生成cookie值,包括:
利用发送所述访问请求的终端的指纹信息以及生成时刻生成cookie值,所述生成时刻是生成所述cookie值的时刻。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
当所述终端的指纹信息与所述cookie值对应的指纹信息相同时,将所述访问请求转发至所访问的服务器;
或者,
当所述终端的指纹信息与所述cookie值对应的指纹信息相同时,判定所述访问请求是否超过所述cookie值的生效期,当所述访问请求超过所述cookie值的生效期时,丢弃所述访问请求,当所述访问请求未超过所述cookie值的生效期时,将所述访问请求转发至所访问的服务器。
7.根据权利要求6所述的方法,其特征在于,在所述丢弃所述访问请求之后,所述方法还包括:
对所述终端发送的超过所述cookie值的生效期的访问请求的数量进行统计;
当所述终端发送的超过所述cookie值的生效期的访问请求在单位时间的数量未超过预定阈值时,根据所述终端的指纹信息和当前时刻生成cookie值,将所述cookie值发送至所述终端,所述cookie值用于触发所述终端替换原有的cookie值。
8.根据权利要求6所述的方法,其特征在于,所述判定所述访问请求是否超过所述cookie值的生效期,包括:
获取所述cookie值对应的生成时刻,所述生成时刻是生成所述cookie值时的时刻;
计算将接收到所述访问请求的时刻减去所述生成时刻后得到的差值;
判定所述差值是否超过预定时效阈值。
9.一种访问请求验证装置,其特征在于,所述装置包括:
接收模块,用于接收对网站服务器进行访问的访问请求;
获取模块,用于在所述接收模块接收的所述访问请求中携带有cookie值时,从所述cookie值中,获取发送所述访问请求的终端的指纹信息,所述终端的指纹信息用于唯一对应所述终端,所述指纹信息包括终端的标识、终端的媒体访问控制MAC地址中的至少一项,所述cookie值为通过cookie值生成算法对所述终端的指纹信息进行运算得到的;
对比模块,用于根据所述cookie值生成算法的逆运算对所述cookie值进行运算得到所述cookie值所对应的指纹信息;将所述获取模块获取的所述终端的指纹信息与所述cookie值所对应的指纹信息进行对比;
处理模块,用于当所述对比模块对比出所述指纹信息与存储的所述cookie值所对应的指纹信息不同时,则丢弃所述访问请求。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
生成模块,用于在所述接收模块接收所述对网站进行访问的访问请求之后,在所述访问请求中不携带有cookie值且所述访问请求合法时,根据发送所述访问请求的终端的指纹信息生成cookie值;
发送模块,用于将所述生成模块生成的cookie值发送给发送所述访问请求的终端,所述生成的cookie值用于触发所述终端在下次发送访问请求时添加所述生成的cookie值。
11.根据权利要求10所述的装置,其特征在于,所述发送模块包括:
插入单位,用于将所述生成的cookie值插入至所述访问请求所访问的域名下;
重定向单元,用于将所述访问请求重定向至发送所述访问请求的终端,使得所述终端根据所述域名获取所述生成的cookie值。
12.根据权利要求11所述的装置,其特征在于,
所述重定向单元,用于对所述访问请求进行302重定向,以重定向至所述终端。
13.根据权利要求10所述的装置,其特征在于,
所述生成模块,用于利用发送的所述访问请求的终端的指纹信息以及生成时刻生成cookie值,所述生成时刻是生成所述cookie值的时刻。
14.根据权利要求10至13中任一项所述的装置,其特征在于,
所述处理模块,还用于当所述终端的指纹信息与所述cookie值对应的指纹信息相同时,将所述访问请求转发至所访问的服务器;
或者/和,
所述处理模块,还用于当所述终端的指纹信息与所述cookie值对应的指纹信息相同时,判定所述访问请求是否超过所述cookie值的生效期,当所述访问请求超过所述cookie值的生效期时,丢弃所述访问请求,当所述访问请求未超过所述cookie值的生效期时,将所述访问请求转发至所访问的服务器。
15.根据权利要求14所述的装置,其特征在于,所述装置还包括:
统计模块,用于当所述处理模块丢弃所述访问请求之后,对所述终端发送的超过所述cookie值的生效期的访问请求的数量进行统计;
所述生成模块,还用于当所述统计模块统计的所述终端发送的超过所述cookie值的生效期的访问请求在单位时间的数量未超过预定阈值时,根据所述终端的指纹信息和当前时刻生成cookie值;
所述发送模块,还用于将所述生成模块生成的所述cookie值发送至所述终端,所述cookie值用于触发所述终端替换原有的cookie值。
16.根据权利要求14所述的装置,其特征在于,所述处理模块,包括:
获取单元,用于获取所述cookie值对应的生成时刻,所述生成时刻是生成所述cookie值时的时刻;
计算单元,用于计算将接收到所述访问请求的时刻减去所述获取单元获取的所述生成时刻后得到的差值;
判定单元,用于判定所述差值是否超过预定时效阈值。
17.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储至少一个程序,所述至少一个程序由所述处理器加载并执行,以实现如权利要求1至8任一项所述的访问请求验证方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储至少一个程序,所述至少一个程序有处理器加载并执行,以实现如权利要求1至8任一项所述的访问请求验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610716459.0A CN107786489B (zh) | 2016-08-24 | 2016-08-24 | 访问请求验证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610716459.0A CN107786489B (zh) | 2016-08-24 | 2016-08-24 | 访问请求验证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107786489A CN107786489A (zh) | 2018-03-09 |
| CN107786489B true CN107786489B (zh) | 2021-03-26 |
Family
ID=61393554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610716459.0A Active CN107786489B (zh) | 2016-08-24 | 2016-08-24 | 访问请求验证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107786489B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989322B (zh) * | 2018-07-28 | 2022-02-25 | 南昌努比亚技术有限公司 | 数据传输方法、移动终端及计算机可读存储介质 |
| CN109922160B (zh) * | 2019-03-28 | 2021-07-06 | 全球能源互联网研究院有限公司 | 一种基于电力物联网的终端安全接入方法、装置及系统 |
| US11652818B2 (en) | 2019-07-18 | 2023-05-16 | Advanced New Technologies Co., Ltd. | Method and apparatus for accessing service system |
| CN110445769B (zh) * | 2019-07-18 | 2021-03-26 | 创新先进技术有限公司 | 业务系统的访问方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101335626A (zh) * | 2008-08-06 | 2008-12-31 | 中国网通集团宽带业务应用国家工程实验室有限公司 | 多级认证方法和多级认证系统 |
| CN102571547A (zh) * | 2010-12-29 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 一种http流量的控制方法及装置 |
| CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
| CN105490813A (zh) * | 2015-11-26 | 2016-04-13 | 广州华多网络科技有限公司 | 一种用户安全访问web的方法及装置 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030065943A1 (en) * | 2001-09-28 | 2003-04-03 | Christoph Geis | Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network |
| US7694335B1 (en) * | 2004-03-09 | 2010-04-06 | Cisco Technology, Inc. | Server preventing attacks by generating a challenge having a computational request and a secure cookie for processing by a client |
| CN101436958B (zh) * | 2007-11-16 | 2011-01-26 | 太极计算机股份有限公司 | 抵御拒绝服务攻击的方法 |
| CN101599957B (zh) * | 2009-06-04 | 2012-05-30 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
| CN101789947B (zh) * | 2010-02-21 | 2012-10-03 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| CN101834866B (zh) * | 2010-05-05 | 2013-06-26 | 北京来安科技有限公司 | 一种cc攻击防护方法及其系统 |
| CN102143226B (zh) * | 2011-02-12 | 2015-04-08 | 华为技术有限公司 | 一种超时控制的方法、装置及系统 |
| CN102158493B (zh) * | 2011-04-15 | 2015-12-09 | 北京奇虎科技有限公司 | 一种Cookie解析方法、装置及一种客户端 |
| CN103139138B (zh) * | 2011-11-22 | 2016-02-03 | 飞塔公司 | 一种基于客户端检测的应用层拒绝服务防护方法及系统 |
| CN104270404B (zh) * | 2014-08-29 | 2018-09-04 | 小米科技有限责任公司 | 一种基于终端标识的登录方法及装置 |
| CN104410650A (zh) * | 2014-12-24 | 2015-03-11 | 四川金网通电子科技有限公司 | 基于Session和Cookie验证用户的方法 |
-
2016
- 2016-08-24 CN CN201610716459.0A patent/CN107786489B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101335626A (zh) * | 2008-08-06 | 2008-12-31 | 中国网通集团宽带业务应用国家工程实验室有限公司 | 多级认证方法和多级认证系统 |
| CN102571547A (zh) * | 2010-12-29 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 一种http流量的控制方法及装置 |
| CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
| CN105490813A (zh) * | 2015-11-26 | 2016-04-13 | 广州华多网络科技有限公司 | 一种用户安全访问web的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107786489A (zh) | 2018-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105939326B (zh) | 处理报文的方法及装置 | |
| US9807092B1 (en) | Systems and methods for classification of internet devices as hostile or benign | |
| US8839397B2 (en) | End point context and trust level determination | |
| CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| CN107786489B (zh) | 访问请求验证方法及装置 | |
| US9112828B2 (en) | Method for defending against session hijacking attacks and firewall | |
| US10469532B2 (en) | Preventing DNS cache poisoning | |
| US11347879B2 (en) | Determining the relative risk for using an originating IP address as an identifying factor | |
| US20100175132A1 (en) | Attack-resistant verification of auto-generated anti-malware signatures | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| CN107508822B (zh) | 访问控制方法及装置 | |
| Arukonda et al. | The innocent perpetrators: reflectors and reflection attacks | |
| CN107872445B (zh) | 接入认证方法、设备和认证系统 | |
| Satam et al. | Anomaly Behavior Analysis of DNS Protocol. | |
| CN111327615A (zh) | 一种cc攻击防护方法及其系统 | |
| CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
| CN116723019A (zh) | 破解行为检测方法、装置、电子设备及存储介质 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| CN112910839B (zh) | 一种dns攻击的防御方法和装置 | |
| US11184371B1 (en) | Distributed denial of service attack mitigation | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN108833410B (zh) | 一种针对HTTP Flood攻击的防护方法及系统 | |
| CN112583789A (zh) | 被非法登录的登录接口确定方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |