CN107888546B - 网络攻击防御方法、装置以及系统 - Google Patents
网络攻击防御方法、装置以及系统 Download PDFInfo
- Publication number
- CN107888546B CN107888546B CN201610870444.XA CN201610870444A CN107888546B CN 107888546 B CN107888546 B CN 107888546B CN 201610870444 A CN201610870444 A CN 201610870444A CN 107888546 B CN107888546 B CN 107888546B
- Authority
- CN
- China
- Prior art keywords
- verification
- server
- client
- access request
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种网络攻击防御方法、装置和系统,本申请的方案中,旁路检查设备截获向服务系统中的服务器发送的访问请求,并将发送该访问请求的客户端重定向到验证服务器,以通过验证服务器对该客户端进行验证码验证;当确定出验证服务器对客户端验证通过时,才将该客户端发送的访问请求转发给服务系统中的服务器。本申请的方法可以提高服务系统防御DDoS等恶意攻击行为的灵活性和便捷性。
Description
技术领域
本申请涉及网络技术领域,特别涉及一种网络攻击防御方法、装置以及系统。
背景技术
随着网络技术的不断进步,网络领域中的网络攻击也越来越多。目前,众多网络攻击中分布式拒绝服务攻击(Distributed Denial of Service,DDoS)已经成为较为严重的攻击手段。较为常见的DDoS攻击方式是恶意的针对需要攻击的目标(如,服务器)频繁发起访问请求,以占用过多的服务资源,从而使得合法用户无法得到服务的响应。
为了防御DDOS,需要预先在服务器中配置验证码验证机制,以使得服务器可以启动验证码验证功能。在服务器启动验证码验证功能之后,如果服务器接收到客户端发送的访问请求,服务器会向该客户端返回一个验证码输入界面,并在确认客户端向该验证码输入界面输入正确的验证码之后,服务器才会响应该客户端的访问请求。然而,云平台或者分布式服务器等服务系统中一般都部署有大量的服务器,如果服务系统中的多台甚至全部服务器均需要防御DDoS时,则需要分别在多台服务器上分别部署验证码验证机制,导致防御DDoS复杂度较高;而且,一旦需要更改某台服务器中的验证码验证逻辑时,则需要中断服务器所提供的服务,然后才可以在服务器中进行验证逻辑的修改,灵活性较差。
发明内容
本申请提供了一种网络攻击防御方法、装置以及系统,以提高服务系统防御DDoS等恶意攻击行为的灵活性和便捷性。
为了解决上述问题,一方面,本申请提供了一种网络攻击防御方法,包括:
截获向服务系统中的服务器发送的访问请求,其中,该服务系统包括至少一台所述服务器;
将发送所述访问请求的客户端重定向到验证服务器,以通过所述验证服务器对所述客户端进行验证码验证;
获取所述验证服务器对所述客户端进行验证码验证的验证结果;
当所述验证结果表明所述客户端验证通过时,将所述客户端发送的访问请求转发给服务器。
另一方面,本申请提供了一种网络攻击防御装置,包括:
截获单元,用于截获向服务系统中的服务器发送的访问请求,其中,该服务系统包括至少一台所述服务器;
重定向单元,用于将发送所述访问请求的客户端重定向到验证服务器,以通过所述验证服务器对所述客户端进行验证码验证;
验证获取单元,用于获取所述验证服务器对所述客户端进行验证码验证的验证结果;
请求转发单元,用于当所述验证结果表明所述客户端验证通过时,将所述客户端发送的访问请求转发给服务器。
另一方面,本申请提供了一种网络攻击防御系统,包括:
旁路检查设备和至少一台验证码服务器;
其中,所述旁路检查设备,用于截获向服务系统中的服务器发送的访问请求,其中,该服务系统包括至少一台所述服务器;将发送所述访问请求的客户端重定向到验证服务器;获取所述验证服务器对所述客户端进行验证码验证的验证结果;当所述验证结果表明所述客户端验证通过时,将所述客户端发送的访问请求转发给所述服务器;
所述验证码服务器,用于对所述客户端进行验证码验证,并将验证结果返回给所述旁路检查设备。
由以上可知,在访问请求到达服务系统中的服务器之前,网络攻击防御系统中的旁路检查设备会将发送访问请求的客户端重定向到网络攻击防御系统中的验证服务器进行验证码验证,只有验证服务器对客户端验证通过后,旁路检查设备才会将客户端的访问请求转发给服务系统的服务器,从而在无需单独对服务系统中的各台服务器进行修改或配置的前提下,便可以减少非真实用户通过客户端恶意向该服务系统中的服务器发起的频率访问,减少了DDoS攻击等恶意攻击服务系统的行为,有利于降低防御DDoS攻击的复杂度;而且,在旁路检查设备中可以设置或修改针对服务系统中某一台或多台服务器的验证码验证逻辑,从而无需中断服务系统中服务器的服务,可以实现灵活修改或设置验证码验证逻辑,提高了服务系统防御DDoS等攻击的灵活性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请一种网络攻击防御系统一个实施例的组成结构示意图;
图2示出了本申请一种网络攻击防御系统一个应用场景的示意图;
图3示出了本申请一种网络攻击防御方法一个实施例的流程交互示意图;
图4示出了本申请一种网络攻击防御方法又一个实施例的流程交互示意图;
图5示出了本申请一种网络攻击防御系统又一个实施例的流程示意图;
图6示出了本申请一种网络攻击防御系统又一个应用场景的示意图;
图7示出了本申请一种网络攻击防御方法又一个实施例的流程交互示意图;
图8示出了本申请一种网络攻击防御装置一个实施例的组成结构示意图;
图9示出了本申请一种服务器的一种可能的硬件结构示意图。
具体实施方式
本申请实施例的方案可以适用于对任意服务系统中的服务器进行攻击防御,以减少DDoS攻击等恶意访问服务系统中服务器的攻击行为。其中,该服务系统可以包括一台或多台服务器。如,服务系统可以为包含有多台服务器的云平台,这样,本申请实施例的方案可以对云平台中一台或多台服务器进行网络攻击防御。又如,该服务系统可以为提供某些服务业务的服务器集群,该服务器集群中可以包括多台服务器,这样,本申请实施例的方案可以对该服务器集群中一台或多台服务器进行网络攻击防御。
在本申请实施例中,所提到的客户端可以为访问服务系统的客户端,如,该客户端可以为浏览器所在的客户端。
本发明实施例描述的业务场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
在本申请实施例中,网络攻击防御系统可以包括旁路检查设备以及一台或多台验证服务器,其中,该旁路检查设备可以通过网络与验证服务器相连。
在为服务系统部署该网络攻击防御系统后,通过网络攻击防御系统中的旁路检查设备可以截获向服务系统中的服务器发送的访问请求,并将发送该访问请求的客户端重定向到网络攻击防御系统中的验证服务器,以通过验证服务器对该客户端进行验证码验证;如果旁路检查设备确定该验证服务器对该客户端验证通过,则旁路检查设备便可以将该客户端发送的访问请求转发给服务系统中相应的服务器。可见,在访问请求到达服务系统中的服务器之前,网络攻击防御系统中的旁路检查设备会将发送访问请求的客户端重定向到网络攻击防御系统中的验证服务器进行验证码验证,只有验证服务器对客户端验证通过后,旁路检查设备才会将客户端的访问请求转发给服务系统的服务器,从而可以减少非真实用户通过客户端恶意向该服务系统中的服务器发起的频率访问,减少了DDoS攻击等恶意攻击服务系统的行为。
可见,通过为该服务系统部署网络攻击防御系统,便可以实现对该服务系统中的服务器进行DDOS攻击等网络攻击的防御,从而在无需单独对服务系统中的各台服务器进行修改或配置的前提下,便可以实现对服务系统进行DDoS攻击的防御,有利于降低防御DDoS攻击的复杂度;而且,在旁路检查设备中可以设置或修改针对服务系统中某一台或多台服务器的验证码验证逻辑,如,设置是否针对某台服务器或者某台服务器的某些页面启动验证码验证,以对访问该台服务器或该台服务器的某些页面的客户端进行验证码验证;又如,设置采用字符、图片等验证码验证方式,从而无需中断服务系统中服务器的服务,可以实现灵活修改或设置验证码验证逻辑,提高了服务系统防御DDoS等攻击的灵活性。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1,其示出了本申请一种网络攻击防御系统一个实施例的组成结构示意图。
由图1可知,网络攻击防御系统可以包括:旁路检查设备101;以及与该旁路检查设备通过网络相连的至少一个验证服务器102。
其中,验证服务器中可以预置有一种或多种验证码。其中,验证码是全自动区分计算机和人类的图灵测试(CAPTCHA,Completely Automated Public Turing test to tellComputers and Humans Apart)的简称或者缩写,它是一种区分用户是计算机还是人的公共全自动程序。通过在验证服务器中预置不同验证码的验证规则,可以有效防止黑客通过特定程序暴力破解服务器的某一个注册用户的密码并不断登录该服务器的行为。
验证码的验证规则可以有多种:
在一种实现方式中,在验证服务器中设置的验证码为图片验证码。具体的,可以验证客户端选择的图片是否为验证服务器预设的图片。如,验证服务器可以为需要验证的客户端返回多个图片,并指示客户端输入指定类型或包含指定内容的图片,如果客户端选取出的图片为验证服务器所指示的指定类型或包含指定内容的图片,则对客户端验证通过,认为客户端的用户是真实用户。
在另一种实现方式中,在验证服务器中设置的验证码可以为字符串验证码。在该种情况下,验证服务器可以向需要验证的客户端发送提示待输入字符串的验证页面,如果客户端输入的字符串与该验证服务器提示客户端输入的字符串一致,则该客户端验证通过。
在另一种实现方式中,在验证服务器中设置的验证码可以为:问题验证码。在该种情况中,验证服务器可以向需要验证的客户端发送包含有待输入问题的验证页面,客户端的用户可以根据验证页面中提示的问题,通过输入法或者语音等方式输入问题对应的答案;如果客户端输入的问题答案与该验证服务器提问的问题相匹配,则验证服务器确定该客户端验证通过。
当然,验证码的验证规则还可以有其他可能的实现方式,在此不再赘述。
当网络攻击防御系统中包括多台验证服务器时,不同验证服务器中预置的验证码的验证规则可以相同,也可以不同。可选的,可以将网络攻击防御系统中的多台验证服务器分成多组,每组包括一台或多台验证服务器,每组内的验证服务器的验证码的验证规则相同,而不同组内的验证服务器的验证规则不同。
其中,该网络攻击防御系统可以部署于服务系统与客户端之间的网络中,在服务系统部署有该网络攻击防御系统之后,可以通过网络攻击防御系统对向该服务系统发起的DDoS攻击等恶意频率访问的攻击行为进行防御,从而无需对服务系统中的服务器进行任意修改或配置,可以在不影响服务系统中服务器正常工作的情况下,直接对网络攻击防御系统进行防御策略的配置以及修改,提高了防御DDoS等网络攻击的便捷性和灵活性。
如,参见图2,其示出了本申请的网络防御系统的一个应用场景示意图,由图2可以看出,服务系统21可以包括至少一台服务器211,如图2中仅示出了服务系统中包含有两台服务器211的情况。
该服务系统连接有网络攻击防御系统22,该网络攻击防御系统22包括旁路检查设备221和至少一台验证服务器222。其中,该旁路检查设备221与该服务系统通过网络相连。
该应用场景中还可以包括有多台客户端23,如,客户端23可以为浏览器客户端。
在客户端23向服务系统的服务器发送访问请求之后,旁路检查设备221可以截获向该服务系统中的服务器发送的访问请求,并在网络攻击防御系统中对访问请求的客户端进行验证码验证之后,才会将该客户端发送的访问请求转发到该服务器。
结合图1和图2,对本申请实施例的网络攻击防御方法进行介绍。参见图3,其示出了本申请一种网络攻击防御方法一个实施例的流程交互示意图,本实施例的方法可以包括:
301,客户端向服务系统中的服务器发送访问请求。
其中,该访问请求可以用于请求访问服务系统的服务器,如,访问请求可以用于请求访问该服务系统中的服务器的某个页面。
其中,该访问请求可以携带有该源IP地址、域名等信息。其中,源IP地址表征发送该访问请求的客户端的IP地址。域名可以包含有该访问请求所请求访问的目的服务器的主机名、该访问请求所请求访问的目的服务器中的目标页面的页面地址等信息中的一种或多种。
302,旁路检查设备截获向服务系统中的服务器发送的访问请求。
在本申请实施例中,任意客户端向该服务系统发送的访问请求均会先经过该旁路检查设备,以便在旁路检查设备确定该客户端为可靠的客户端时,才会将客户端发起的访问请求转发给服务系统。
其中,旁路检查设备截获向服务系统发起的访问请求的方式可以有多种。如,客户端向服务系统中任意服务器发送的访问请求均会先到达该服务系统对应的路由器内,则旁路检查设备可以截获该路由器内接收到访问请求,或者是,路由器将该访问请求直接转发给旁路检查设备。当然,还可以有其他方式实现旁路检查设备截获向服务系统发起的访问请求,在此不加以限制。
303,旁路检查设备将发送该访问请求的客户端重定向到验证服务器。
为了防御DDoS攻击,以减少由于模拟人工而频繁向服务系统发起的访问请求,该旁路检查设备会将该客户端重定向到网络攻击防御系统的验证服务器,以使得验证服务器通过验证码验证方式对客户端进行验证。
其中,重定向的实现方式可以有多种。为了便于理解,以一种方式为例进行简单介绍,如,旁路检查设备可以向该客户端发送重定向指示,该重定向指示可以携带有验证服务器的地址,客户端接收到该重定向指示之后,可以依据该重定向指示中携带的验证服务器的地址,向该验证服务器发起请求,以访问该验证服务器。当然,其他实现将客户端重定向到验证服务器的方式也同样适用于本申请实施例,在此不再赘述。
可以理解的是,当该网络攻击防御系统中包含一台验证服务器时,旁路检查设备可以直接将该客户端重定向到该台验证服务器。
当该网络攻击防御系统中包括多台验证服务器时,旁路检查设备可以随机将客户端重定向到任意一台验证服务器。可选的,旁路检查设备在对客户端进行重定向之前,还可以从多台验证服务器中,确定出待对该客户端进行验证的验证服务器;然后在将客户端重定向到确定出的验证服务器。其中,待对该客户端进行验证的验证服务器为旁路检测设备当前选取出的用于对该客户端进行验证的验证服务器。
其中,旁路检查设备选取待对该客户端进行验证的验证服务器的方式可以有多种:
在一种可能的实现方式中,旁路检查设备可以基于该多台验证服务器当前的负载,从该多台验证服务器中确定出待对该客户端进行验证的验证服务器。如,旁路检查设备可以将当前负载最小或者负载处于预设范围内的验证服务器确定为待对该客户端进行验证的验证服务器。
在另一种可能的实现方式中,旁路检查设备中可以预置服务系统中不同服务器与验证服务器的关联关系。如,服务系统中不同服务器对验证码的验证方式的需求可能会有所不同,而不同的验证服务器可以内置有的验证码验证方式可以不同,这样,可以根据需要建立服务系统中服务器与验证服务器的关联关系,以使得不同的服务器可以对应着不同的验证码验证方式。这样,旁路检查设备可以确定截获到的该访问请求所请求访问的目的服务器,并根据该关联关系,确定与该目的服务器关联的验证服务器,以将该客户端重定向到与该目的服务器关联的验证服务器。
当然,除了以上两种选取验证服务器的实现方式之外,还可以有其他实现方式,在此不加以限制。
304,客户端访问该验证服务器。
305,验证服务器向该客户端返回验证页面。
如,客户端可以依据旁路检查设备发送的验证服务器的地址,向该验证服务器发送请求,以请求访问该验证服务器。验证服务器在接收到该客户端的请求之后,可以为该客户端返回验证页面,以便在客户端呈现该验证页面。
306,客户端获取该验证页面中输入的验证码,并将该验证码发送给验证服务器。
验证服务器中预置的验证码的验证规则不同时,该验证页面可能会有所不同。相应的,用户在验证页面中输入的验证码以及输入验证码的方式可以有所不同,具体可以参见前面关于验证码的验证规则的相关介绍。
307,验证服务器验证该客户端发送的验证码是否为正确的验证码,并将验证结果发送给旁路检查设备。
其中,该验证页面可以包含有提示客户端输入的验证码的提示信息。如,以该验证页面中可以包含有该验证服务器生成的验证码以及验证码输入框为例,该验证码输入框用于用户输入验证码。客户端展现出该验证页面之后,如果该客户端不是模拟人工发起的访问请求,那么该客户端的用户便可以依据该验证页面中显示的验证码,向该验证码输入框中输入与该验证页面显示出的验证码相同的验证码。验证服务器验证出该客户端输入的验证码与该验证服务器为该客户端生成的验证码相同,则验证通过;否则,则确定该客户端未通过验证,该客户端发送的访问请求可能为虚假源或者其他模拟人工发起的访问请求。
又如,以验证页面中可以包含有多个可选择的验证码或验证图片,且该验证页面中显示有提示语为例,该提示语用于提示用户从该多个验证码或验证图片中选取出目标验证码或目标验证图片。这样,客户端展现出该验证页面之后,如果该客户端发起的访问请求为真实用户通过客户端发起的访问请求,那么该客户端的用户会根据提示语,从该验证页面中选取出目标验证码或目标验证图片。相应的,客户端会将用户选取的目标验证码或目标验证图片的信息发送给验证服务器,如果验证服务器验证该客户端发送的验证码或验证图片是该验证服务器指示客户端选取的目标验证码或目标验证图片,则确认该客户端验证通过。
可以理解的是,如果客户端输入的验证码与验证服务器提示客户端输入的验证码不一致;或者是,客户端超过预设时长未返回验证码,则验证服务器可以确定客户端未通过验证。
需要说明的是,该步骤304至步骤307为旁路检查设备将客户端重定向到验证服务器之后,客户端与验证服务器进行验证码交互以及验证的一种实现方式,对于其他实现验证服务器对客户端进行验证码验证的方式也同样适用于本实施例。
308,当旁路检查设备确定该验证结果表明该客户端验证通过时,将该客户端发送的访问请求转发给服务系统中的服务器。
在旁路检查设备确定该客户端验证通过后,如果截获到该客户端向服务系统中的服务器发送的访问请求,便可以直接将该客户端向该服务系统中的服务器发送的访问请求转发给服务系统的服务器。
具体的,在验证服务器对该客户端验证通过后,该验证服务器可以将该客户端重定向到该旁路检查设备,旁路检查设备可以将该客户端在当前时刻之前最近一次向服务系统发送的访问请求转发给服务器。或者是,验证服务器在对客户端验证通过后,验证服务器确定该客户端所请求访问的服务器的地址,并依据该服务器的地址将客户端重定向到该服务系统中的该服务器,这样,当客户端向服务器发送了访问请求之后,旁路检查设备截获到该客户端发送的访问请求,同时旁路检查设备确认该客户端已经通过验证服务器的验证,则旁路检查设备可以将该客户端当前发送的访问请求转发给服务系统中的服务器。
其中,验证服务器向该旁路检查设备发送的验证结果可以包含有用于表征该客户端是否验证通过的标识信息,以使得旁路检查设备根据该验证结果确定该客户端是否通过验证服务器的验证。
可选的,验证服务器可以仅仅在对该客户端验证通过之后,才向该旁路检查设备返回一个验证结果,该验证结果用于表明该客户端验证通过。
为了区分出验证通过的客户端,该验证结果中可以包含有客户端的标识信息。如,该验证结果中可以包括有该客户端对应的源IP地址,以区分出该验证通过的客户端。
可选的,旁路检查设备在确定验证服务器对该客户端的验证通过后,旁路检查设备可以存储验证通过的该客户端的信息,以便后续可以直接将该客户端向该服务系统发送的访问请求直接转发给服务系统的服务器,而无需再对该客户端进行验证。当然,旁路检查设备在确定验证服务器对该客户端进行验证通过,并将该客户端的信息存储为验证通过的客户端的信息之后,还可以设定该客户端的信息的有效时长,一旦超过该有效时长,则需要重新对该客户端进行验证码验证。
可以理解的是,在本申请实施例中,在服务系统部署有网络防御攻击系统的情况下,旁路检查设备可以对服务系统中的所有服务器进行网络攻击行为的防御,这样,旁路检查设备对向该服务系统中任意服务器发起的访问请求的客户端进行重定向,以对客户端进行验证码验证。
在实际应用中,也可以有针对性的对服务系统中的全部或部分服务器进行网络攻击防御;或者是,针对某些源IP地址发起的访问请求进行网络攻击防御。具体的,可以在网络攻击防御系统的旁路检查设备配置验证逻辑,以配置需要进行验证的访问请求所需满足的条件。相应的,在旁路检查设备截获到访问请求之后,可以根据访问请求所携带的信息,确定是否需要对发送访问请求的客户端进行验证码验证;只有当确定出需要对该客户端进行验证码验证时,则执行将发送所述访问请求的客户端重定向到验证服务器的操作。
如,可以在旁路检查设备中维护一个防御列表,该防御列表中可以包含需要启动防御的服务器的信息,或者需要防御的客户端的信息。如果访问请求所携带的信息中属于该防御列表中所包含的信息,则将该访问请求的客户端重定向到验证服务器。
其中,旁路检查设备中配置的防御列表可以从不同维度进行设置,如可以有以下几种配置防御列表的情况:
在一种可能的情况下,旁路检查设备对服务系统中的所有服务器进行网络攻击行为的防御,可以将服务系统中所有服务器的信息均添加到该旁路检查设备所维护的防御列表中。其中,添加到该防御列表中的服务器的信息可以包括服务器的地址、服务器的主机名、服务器中待防御的页面地址等等信息中的一种或几种。
在另一种可能的情况下,可以在旁路检查设备中配置需要进行网络攻击防御的部分服务器的信息(如,服务器的主机名、地址等),旁路检查设备可以将需要进行网络攻击防御的服务器的信息添加到防御列表中。在该种情况下,如果旁路检查设备截获的访问请求所请求访问的服务器属于该防御列表中需要防御的服务器时,则需要将该发起该访问请求的客户端重定向到验证服务器,以对该客户端进行验证码验证。
其中,防御列表中服务器的信息可以是预先配置的,也可以是由服务系统中的服务器根据自身的运行状态,实时指示该旁路检查设备进行配置的。如,某台服务器检测到当前时刻之前指定时长内,该服务器接收到的访问请求的数量突然增大(例如,访问请求的数量超过预设阈值),则服务器可以向旁路检查设备发送指示信息,以指示旁路检查设备对该服务器进行网络攻击防御,则旁路检查设备会将该服务器的信息添加到该防御列表中。当然,该指示信息中可以携带有该服务器的地址、主机名,需要防御的页面地址等信息中的一种或多种。
在另一种可能的情况下,可以设定需要进行网络攻击防御的源信息,如,源IP地址,用户代理(UA,User Agent)的信息,如,旁路检查设备根据历史访问记录或者人工录入信息等,向该防御列表中添加可疑的源IP地址,如果访问请求携带的源IP地址属于该防御列表中包含的源IP地址,则将该访问请求对应的客户端重定向到验证服务器。
在实际应用中,防御列表中可以同时记录有以上几种可能的情况中的多种信息。如,防御列表中可以设定需要进行网络攻击防御的源IP地址和主机名,这样,只有该访问请求所携带的源IP地址以及主机名均属于防御列表中记录的信息,才需要将发起该访问请求的客户端重定向到验证服务器。
当然,旁路检查设备中配置防御列表的方式以及防御列表中包含的信息还可以有其他情况,在此不加以限制。
为了便于理解,以防御列表中包含有需要防御的源IP地址和服务器的主机名为例进行介绍,参见图4,其示出了本申请一种网络攻击防御系统又一个实施例的流程示意图,本实施例的方法可以包括:
401,客户端向服务系统发送访问请求,该访问请求携带有源IP地址以及域名。
其中,该域名可以用于表征客户端需要访问的服务器以及具体的页面。基于该域名可以确定出客户端需要访问的服务器的地址、主机名以及该客户端需要访问的页面的页面地址等。
402,旁路检查设备截获该访问请求。
其中,旁路检查设备截获访问请求的具体实现方式可以参见前面实施例的相关介绍,在此不再赘述。
403,旁路检查设备获取该访问请求所携带的源IP地址以及域名,并确定该域名中包含的主机名。
404,旁路检查设备检测防御列表中是否记录有该源IP地址和主机名。
其中,如果访问请求所携带的源IP地址以及域名中的主机名不属于该防御列表中记录的信息,则无需对该访问请求进行防御,可以直接将该访问请求转发给该访问请求所请求访问的服务器。
如果该访问请求携带的源IP地址和主机名为防御列表中记录的信息,则需要对发起该访问请求的客户端进行防御,从而执行步骤405,以判断该客户端是否已经通过验证码验证。
可选的,在实际应用中,防御列表中还可以记录源IP地址与主机名的对应关系,这样,在截获到访问请求,并从访问请求携带的信息中确定出源IP地址和主机名之后,如果该源IP地址和主机名属于防御列表中记录的具有对应关系的源IP地址和主机名,则需要对该客户端进行重定向,以便验证服务器对该客户端进行验证;如果从该访问请求中分析出的主机名不属于防御列表中与该源IP地址对应的主机名时,可以不对该客户端进行重定向。
405,如果该防御列表中未记录有该源IP地址和主机名,则旁路检查设备将该访问请求转发给该访问请求所请求访问的服务器。
其中,该访问请求所请求访问的服务器也就是从访问请求携带的域名中解析出的主机名所指向的服务器。
406,如果该防御列表中记录有该源IP地址和主机名,则旁路检查设备检测存储的验证通过表中是否记录有该源IP地址。
其中,该验证通过表中记录有在当前时刻之前,验证服务器验证通过的客户端所对应的源IP地址。如果验证通过表中存储有某个源IP地址,则说明该源IP地址对应的客户端已经通过验证服务器的验证码验证;如果某个客户端未通过该验证服务器的验证,则不会将该客户端的源IP地址添加到该验证通过表中。
需要说明的是,本实施例为了便于描述,以旁路检查设备将验证服务器验证通过的客户端所对应的源IP地址记录到验证码通过表为例进行介绍,在实际应用中,也可以直接将验证通过的客户端的源IP地址记录到旁路检查设备的指定存储区域,而无需以表的形式进行维护通过验证的客户端的源IP地址。
407,如果验证通过表中记录有该源IP地址,则旁路检查设备将该访问请求转发给服务系统中该主机名所指向的服务器。
如果该验证通过表中记录有该访问请求所携带的源IP地址,则说明该客户端已经通过验证服务器的验证码验证,从而认为该客户端为可靠的客户端,便可以将该客户端发送的访问请求直接转发给该访问请求所请求访问的服务器。
其中,该步骤406和步骤407为可选步骤,以便后续可以直接将携带有该验证通过表中的源IP地址的访问请求转发给服务器,避免重复验证。
408,如果验证通过表中未记录有该源IP地址,则旁路检查设备从多个验证服务器中,确定出与该主机名具有关联关系的验证服务器。
其中,确定出的该验证服务器为需要对客户端进行验证码验证的验证服务器。
在本实施例,以网络防御系统具有多个验证服务器为例进行介绍。同时,以依据旁路检查设备中预置的不同服务器的主机名与验证服务器的关联关系,确定出与该访问请求中的域名所包含的主机名对应的验证服务器为例进行介绍。但可以理解的是,基于该多台验证服务器的负载情况下,选取需要对客户端进行验证的验证服务器也同样适用于本实施例,在此不再赘述。
409,旁路检查设备向该源IP地址对应的客户端发送重定向指示,该重定向指示携带有旁路检查设备确定出的验证服务器的地址。
410,客户端依据该验证服务器的地址,向该验证服务器的地址所指向的验证服务器发送验证请求。
其中,该验证请求携带有该客户端对应的源IP地址。为了后续该验证服务器可以将该客户端重定向到该客户端所请求访问的服务器,该验证请求中还可以携带有该客户端请求访问的服务器的主机名或地址等信息。
为了便于与客户端向服务系统发送的访问请求进行区分,在本实施例中,将客户端向该验证服务器发送的请求称为验证请求。
411,验证服务器响应于该验证请求,依据该源IP地址向客户端返回验证页面。
412,客户端基于该验证页面的输入操作,获取待验证的验证码信息。
其中,验证页面的输入操作可以为验证码的输入操作,则客户端获取待验证的验证码信息可以为获取用户输入的验证码信息,该输入可以理解为向验证码输入框中输入验证码或者是在验证页面中选择验证字符或验证图片等。
当然,该验证页面的输入操作也可以为指定的鼠标操作动作,如,验证页面提示用户按照指定的方式进行滑动操作,则该输入操作可以为用户按照验证页面提示的验证操作,进行鼠标操作。在该种情况下,生成待验证的验证码信息可以为鼠标的滑动轨迹信息。具体可以参见前面实施例的相关介绍,在此不再赘述。
413,客户端将待验证的验证码信息发送给验证服务器。
414,验证服务器验证客户端返回的验证码信息是否为正确的验证码信息。
如,验证服务器可以验证客户端返回的验证码信息是否为该验证服务器指示客户端输入或选择的验证码,如果是,则客户端验证通过;否则,客户端未通过验证。
又如,验证服务器验证该验证码信息所表征该操作轨迹与验证服务器所指示的操作轨迹相符合,如果是,则确认客户端验证通过;否则,该客户端未通过验证。
当然,还可以有其他验证方式,在此不加以限定。
415,验证服务器确认客户端发送的验证码信息为正确的验证码信息时,向旁路检查设备返回该客户端对应的源IP地址。
416,验证服务器将该客户端重定向到该主机名所指向的服务器。
具体的,验证服务器可以依据该客户端发送的验证请求,确定出该客户端所请求访问的服务器,并向客户端发送指示客户端访问该服务器的重定向指示。如,从验证请求中获取该客户端所请求访问的服务器的主机名,并发送携带有该服务器的主机名的重定向指示,以使得客户端基于该服务器的主机名,访问该服务器。
其中,该步骤415和步骤416的顺序不限于图4所示,在实际应用中,也可以是同时执行该步骤415和步骤416。
417,旁路检查设备将该客户端对应的源IP地址记录到验证通过表中。
418,客户端重新向该主机名所指向的服务器发送访问请求,以使得旁路检查设备将该访问请求转发给该服务器。
具体的,客户端重新向该服务器发送了该访问请求之后,会触发执行步骤402,以使得旁路检查设备截获该访问请求,由于旁路检查设备根据验证通过表可以确定该客户端已经通过验证服务器的验证,因此,该旁路检查设备可以直接将该访问请求转发给相应的服务器,而无需再将该客户端重定向到验证服务器。
可以理解的是,在本申请实施例中,为了提高安全性,在旁路检查设备将通过验证的客户端的源IP地址添加到验证通过表的同时,可以设置该源IP地址在该验证通过表中的有效时长,当超过该有效时长,则将该源IP地址从该验证通过表中删除。
本实施例是以防御列表通过源IP地址和主机名来标识需要防御的访问请求为例进行说明,因此,在获取到访问请求所携带的域名之后,需要根据从该域名中提取出服务器的主机名。可以理解的是,当防御列表中通过其他信息来标识出需要进行防御的访问请求的情况,也同样适用于本实施例,且实现过程与本实施例的实现过程相似。如,当防御列表可以记录有页面地址,这样,旁路检查设备截获到该访问请求之后,可以从访问请求携带的域名中分析出该访问请求所请求访问的页面的页面地址,然后检测该页面地址是否属于防御列表中记录的页面地址,如果该页面地址属于该防御列表中记录的页面地址且验证通过表中未记录有该客户端的源IP地址,则需要将发起该访问请求的客户端重定向到验证服务器,以对该客户端进行验证码验证。
可以理解的是,在本申请实施例的网络攻击防御系统中还可以设置负载管理器,该负载管理器可以获取网络攻击防御系统中各台验证服务器的负载。这样,当旁路检查设备需要根据验证服务器的负载,从多台验证服务器中选取对客户端进行验证的验证服务器时,旁路检查设备可以从该负载均衡器中查询当前时刻各台验证服务器的负载。
参见图5,其示出了本申请一种网络攻击防御系统又一个实施例的组成结构示意图。由图5可知,在本申请实施例中,该网络攻击防御系统除了包括旁路检查设备501,以及与该旁路检查设备通过网络相连的至少一个验证服务器502之外,还包括:负载管理器503。
其中,该负载管理器503通过网络与该旁路检查设备501以及验证服务器502通过网络相连。
结合图5,参见图6,其示出了本申请的一种网络攻击防御系统又一种应用场景下的示意图。由图6可见,服务系统61可以包括至少一台服务器611。该服务系统连接有网络攻击防御系统62,具体的该网络攻击防御系统部署在客户端63与服务系统61之间。该网络攻击防御系统62包括旁路检查设备621、至少一台验证服务器622以及负载管理器623。
结合图5和图6,参见图7,其示出了本申请一种网络攻击防御方法又一个实施例的流程交互示意图,本实施例以网络防御系统具有多台验证服务器为例,且仍以防御列表中包含有需要防御的源IP地址和服务器的主机名为例进行介绍。本实施例的方法可以包括:
701,客户端向服务系统发送访问请求,该访问请求携带有源IP地址以及域名。
其中,该服务系统可以包括有多台服务器。如,该服务系统可以为云系统,该云系统中部署有多台服务器。
702,旁路检查设备截获该访问请求。
703,旁路检查设备获取该访问请求所携带的源IP地址以及域名,并确定该域名中包含的主机名。
704,旁路检查设备检测防御列表中是否记录有该源IP地址和主机名。
705,如果该防御列表中未记录有该源IP地址和主机名,则旁路检查设备将该访问请求转发给该访问请求所请求访问的服务器。
可以理解的是,在本实施例中未设置防御列表的情况下,可以将服务系统中所有服务器均认为是需要进行防御的服务器,这样,对于向该服务系统发送的任意访问请求,均需要将发起该访问请求的客户端均定向到验证服务器。而设置防御列表以有针对性的进行防御,仅仅是一种优选的实施方式。
706,如果该防御列表中记录有该源IP地址和主机名,则旁路检查设备检测验证通过表中是否记录有该源IP地址。
其中,该验证通过表中记录有当前时刻之前,验证服务器验证通过的客户端所对应的源IP地址。
707,如果验证通过表中记录有该源IP地址,则旁路有检查设备将该访问请求转发给服务系统中该主机名所指向的服务器。
如果该验证通过表中记录有该访问请求所携带的源IP地址,则说明该客户端已经通过验证服务器的验证码验证,从而认为该客户端为可靠的客户端,便可以将该客户端发送的访问请求直接转发给该访问请求所请求访问的服务器。
其中,该步骤706和步骤707为可选步骤。
708,如果验证通过表中未记录有该源IP地址,旁路检查设备从负载管理器中分别查询当前时刻每台验证服务器的负载。
709,旁路检查设备根据验证服务器当前时刻的负载,从多台验证服务器中选取待对该客户端进行验证的验证服务器。
如,可以根据负载均衡原则,选取为客户端进行验证的验证服务器。例如,可以选取当前时刻负载值最小的服务器作为对该客户端进行验证的验证服务器。
可以理解的是,该步骤708和步骤709仅仅是从多台验证服务器中,选取为该客户端进行验证的验证服务器的一种实现方式,在实际应用中,旁路检查设备也可以预置与不同服务器对应的至少一台验证服务器,如,不同服务器的主机名与至少一台验证服务器的关联关系。这样,在旁路检查设备确定出该访问请求所携带的域名中所包含的主机名之后,如果从多个验证服务器中,确定出与主机名具有关联关系的验证服务器有多台时,可以再获取与该主机名关联的多台验证服务器当前的负载,然后再从该与该主机名关联的多台验证服务器中选取出待对该客户端进行验证的验证服务器。
710,旁路检查设备向该源IP地址对应的客户端发送重定向指示,该重定向指示携带有旁路检查设备确定出的验证服务器的地址。
711,客户端依据该验证服务器的地址,向该验证服务器的地址所指向的验证服务器发送验证请求。
其中,该验证请求可以携带有该客户端对应的源IP地址,还可以有携带有该客户端所希望访问的服务器的地址或主机名等信息。
为了便于与客户端向服务系统发送的访问请求进行区分,在本实施例中,将客户端向该验证服务器发送的请求称为验证请求。
712,验证服务器响应于该验证请求,依据客户端的源IP地址向客户端返回验证页面。
713,客户端基于该验证页面的输入操作,获取待验证的验证码信息。
其中,验证页面的输入操作以及生成待验证的验证码信息的过程可以参见前面实施例的相关介绍,在此不再赘述。
714,客户端将待验证的验证码信息发送给验证服务器。
715,验证服务器验证客户端返回的验证码信息是否为正确的验证码信息。
其中,该步骤710至步骤715仅仅为旁路检查设备将客户端重定向到验证服务器进行验证码验证的一种实现方式,对于其他将客户端重定向到验证服务器,以实现对客户端进行验证码验证的方式也同样适用于本实施例。
716,验证服务器确认客户端发送的验证码信息为正确的验证码信息时,向旁路检查设备返回该客户端对应的源IP地址。
717,验证服务器将该客户端重定向到该主机名所指向的服务器。
该步骤717的具体实现过程可以参见前面实施例的相关介绍,在此不再赘述。
718,旁路检查设备将该客户端对应的源IP地址记录到验证通过表中。
其中,该步骤718可以为可选步骤。
719,客户端重新向该主机名所指向的服务器发送访问请求,以使得旁路检查设备将该访问请求转发给该服务器。
在客户端重新发送该访问请求之后,由于旁路检查设备根据验证通过表可以确定该客户端已经通过验证服务器的验证,因此,该旁路检查设备可以直接将该访问请求转发给相应的服务器,而无需在将该客户端重定向到验证服务器。
参见图8,其示出了本申请一种网络攻击防御装置一个实施例的流程示意图,本实施例的装置可以应用于旁路检查设备,该旁路检查设备为服务系统中的服务器之外的设备。
本实施例的装置可以包括:
截获单元801,用于截获向服务系统中的服务器发送的访问请求,其中,该服务系统包括至少一台所述服务器;
重定向单元802,用于将发送所述访问请求的客户端重定向到验证服务器,以通过所述验证服务器对所述客户端进行验证码验证;
验证获取单元803,用于获取所述验证服务器对所述客户端进行验证码验证的验证结果;
请求转发单元804,用于当所述验证结果表明所述客户端验证通过时,将所述客户端发送的访问请求转发给服务器。
可选的,该装置还可以包括:
判断单元,用于在所述重定向单元将发送所述访问请求的客户端重定向到验证服务器之前,根据所述访问请求所携带的信息,判断是否需要对发送所述访问请求的客户端进行验证码验证;当确定出需要对所述客户端进行验证码验证时,则执行所述重定向单元的操作。
可选的,在一种实现方式中,该判断单元可以包括:
第一检测单元,用于检测所述访问请求所携带的源IP地址是否属于预置的防御列表中的IP地址;当所述源IP地址属于预置的防御列表中的IP地址时,则确定发送所述访问请求的客户端为需要进行验证码验证的客户端。
可选的,在另一种实现方式中,该判断单元可以包括:
域名获取单元,用于获取所述访问请求所携带的域名;
第二检测单元,用于检测所述域名中包含的服务器的主机名是否属于预置的防御列表中的主机名;当所述域名中包含的服务器的主机名属于预置的防御列表中的主机名时,则确定发送所述访问请求的客户端为需要进行验证码验证的客户端。
可选的,该装置还可以包括:
定向目标确定单元,用于在所述重定向单元将发送所述访问请求的客户端重定向到验证服务器之前,从多台验证服务器中,确定出待对所述客户端进行验证的验证服务器;
所述重定向单元,具体为,用于将发送所述访问请求的客户端重定向到确定出的所述验证服务器。
可选的,在一种实现方式中,定向目标确定单元,具体为:根据所述多台验证服务器当前的负载,从所述多台验证服务器中,确定出待对所述客户端进行验证的验证服务器。
进一步的,所述装置还可以包括:
负载查询单元,用于从负载管理器中查询所述多台验证服务器当前的负载。
可选的,在另一种实现方式中,定向目标确定单元,具体用于根据预置的服务器与验证服务器的关联关系,从所述多台验证服务器中确定出与所述访问请求所请求访问的服务器具有关联关系的验证服务器。
可选的,所述装置还可以包括:
记录查询单元,用于在所述重定向单元将发送所述访问请求的客户端重定向到验证服务器之前,检测验证通过表中是否记录有所述访问请求所携带的源IP地址,所述验证通过表中记录有当前时刻之前通过验证服务器验证的客户端的IP地址;当所述验证通过表中未记录有所述访问请求所携带的源IP地址时,则执行重定向单元的操作;
所述验证获取单元获取到的所述验证结果中携带有所述客户端的源IP地址;
所述装置还包括:
结果记录单元,用于当所述验证结果表明所述客户端验证通过时,将所述客户端的源IP地址存储到验证通过表中。
本发明实施例还提供了一种服务器,该服务器可以包括上述所述的一种网络攻击防御装置。
图9示出了服务器的硬件结构框图,参照图9,服务器900可以包括:处理器901,通信接口902,存储器903和通信总线904;
其中处理器901、通信接口902、存储器903通过通信总线904完成相互间的通信;
可选的,通信接口902可以为通信模块的接口,如GSM模块的接口;
处理器901,用于执行程序;
存储器903,用于存放程序;
程序可以包括程序代码,所述程序代码包括计算机操作指令。
处理器901可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器903可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
其中,程序可具体用于:
截获向服务系统中的服务器发送的访问请求,其中,该服务系统包括至少一台所述服务器;
将发送所述访问请求的客户端重定向到验证服务器,以通过所述验证服务器对所述客户端进行验证码验证;
获取所述验证服务器对所述客户端进行验证码验证的验证结果;
当所述验证结果表明所述客户端验证通过时,将所述客户端发送的访问请求转发给服务器。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (15)
1.一种网络攻击防御方法,其特征在于,应用于旁路检查设备,所述方法包括:
截获向服务系统中的服务器发送的访问请求,其中,该服务系统包括至少一台所述服务器;
若所述访问请求所请求访问的服务器属于预置的防御列表中需要防御的服务器,则根据预置的服务器与验证服务器的关联关系,从多台验证服务器中,确定出与所述访问请求所请求访问的服务器具有关联关系的验证服务器;所述防御列表中的服务器的信息是,由所述服务系统中的服务器在检测到当前时刻之前指定时长内所述服务器接收到的访问请求的数量超过预设阈值的情况下,指示所述旁路检查设备将所述服务器的信息添加到所述防御列表中的;
将发送所述访问请求的客户端重定向到确定出的所述验证服务器,以通过所述验证服务器向所述客户端发送验证页面,来对所述客户端进行验证码验证;
获取所述验证服务器对所述客户端进行验证码验证的验证结果;
当所述验证结果表明所述客户端验证通过时,将所述客户端发送的访问请求转发给服务器。
2.根据权利要求1所述的网络攻击防御方法,其特征在于,在所述将发送所述访问请求的客户端重定向到确定出的所述验证服务器之前,还包括:
根据所述访问请求所携带的信息,判断是否需要对发送所述访问请求的客户端进行验证码验证;
当判断出需要对所述客户端进行验证码验证时,则执行所述将发送所述访问请求的客户端重定向到验证服务器的操作。
3.根据权利要求2所述的网络攻击防御方法,其特征在于,所述根据所述访问请求所携带的信息,判断是否需要对所述访问请求的客户端进行验证码验证,包括:
检测所述访问请求所携带的源IP地址是否属于预置的防御列表中的IP地址;
当所述源IP地址属于预置的防御列表中的IP地址时,则确定发送所述访问请求的客户端为需要进行验证码验证的客户端。
4.根据权利要求2所述的网络攻击防御方法,其特征在于,所述根据所述访问请求所携带的信息,判断是否需要对所述访问请求的客户端进行验证码验证,包括:
获取所述访问请求所携带的域名;
检测所述域名中包含的服务器的主机名是否属于预置的防御列表中的主机名;
当所述域名中包含的服务器的主机名属于预置的防御列表中的主机名时,则确定发送所述访问请求的客户端为需要进行验证码验证的客户端。
5.根据权利要求1所述的网络攻击防御方法,其特征在于,所述从多台验证服务器中,确定出用于对所述客户端进行验证的验证服务器,包括:
根据所述多台验证服务器当前的负载,从所述多台验证服务器中,确定出用于对所述客户端进行验证的验证服务器。
6.根据权利要求5所述的网络攻击防御方法,其特征在于,在所述根据所述多台验证服务器当前的负载,从所述多台验证服务器中,确定出用于对所述客户端进行验证的验证服务器之前,还包括:
从负载管理器中查询所述多台验证服务器当前的负载。
7.根据权利要求1所述的网络攻击防御方法,其特征在于,在将发送所述访问请求的客户端重定向到验证服务器之前,还包括:
检测验证通过表中是否记录有所述访问请求所携带的源IP地址,所述验证通过表中记录有当前时刻之前通过验证服务器验证的客户端的IP地址;
当所述验证通过表中未记录有所述访问请求所携带的源IP地址时,则执行所述将发送所述访问请求的客户端重定向到验证服务器的操作;
所述验证结果中携带有所述客户端的源IP地址;
所述方法还包括:
当所述验证结果表明所述客户端验证通过时,将所述客户端的源IP地址存储到所述验证通过表中。
8.一种网络攻击防御装置,其特征在于,应用于旁路检查设备,所述装置包括:
截获单元,用于截获向服务系统中的服务器发送的访问请求,其中,该服务系统包括至少一台所述服务器;
定向目标确定单元,用于若所述访问请求所请求访问的服务器属于预置的防御列表中需要防御的服务器,则根据预置的服务器与验证服务器的关联关系,从多台验证服务器中,确定出与所述访问请求所请求访问的服务器具有关联关系的验证服务器;所述防御列表中的服务器的信息是,由所述服务系统中的服务器在检测到当前时刻之前指定时长内所述服务器接收到的访问请求的数量超过预设阈值的情况下,指示所述旁路检查设备将所述服务器的信息添加到所述防御列表中的;
重定向单元,用于将发送所述访问请求的客户端重定向到确定出的所述验证服务器,以通过所述验证服务器向所述客户端发送验证页面,来对所述客户端进行验证码验证;
验证获取单元,用于获取所述验证服务器对所述客户端进行验证码验证的验证结果;
请求转发单元,用于当所述验证结果表明所述客户端验证通过时,将所述客户端发送的访问请求转发给服务器。
9.根据权利要求8所述的网络攻击防御装置,其特征在于,还包括:
判断单元,用于在所述重定向单元将发送所述访问请求的客户端重定向到验证服务器之前,根据所述访问请求所携带的信息,判断是否需要对发送所述访问请求的客户端进行验证码验证;当确定出需要对所述客户端进行验证码验证时,则触发执行所述重定向单元的操作。
10.根据权利要求9所述的网络攻击防御装置,其特征在于,所述判断单元,包括:
第一检测单元,用于检测所述访问请求所携带的源IP地址是否属于预置的防御列表中的IP地址;当所述源IP地址属于预置的防御列表中的IP地址时,则确定发送所述访问请求的客户端为需要进行验证码验证的客户端。
11.根据权利要求9所述的网络攻击防御装置,其特征在于,所述判断单元,包括:
域名获取单元,用于获取所述访问请求所携带的域名;
第二检测单元,用于检测所述域名中包含的服务器的主机名是否属于预置的防御列表中的主机名;当所述域名中包含的服务器的主机名属于预置的防御列表中的主机名时,则确定发送所述访问请求的客户端为需要进行验证码验证的客户端。
12.根据权利要求9所述的网络攻击防御装置,其特征在于,还包括:
记录查询单元,用于在所述重定向单元将发送所述访问请求的客户端重定向到验证服务器之前,检测验证通过表中是否记录有所述访问请求所携带的源IP地址,所述验证通过表中记录有当前时刻之前通过验证服务器验证的客户端的IP地址;当所述验证通过表中未记录有所述访问请求所携带的源IP地址时,则执行所述重定向单元的操作;
所述验证获取单元获取到的所述验证结果中携带有所述客户端的源IP地址;
所述装置还包括:
结果记录单元,用于当所述验证结果表明所述客户端验证通过时,将所述客户端的源IP地址存储到所述验证通过表中。
13.一种网络攻击防御系统,其特征在于,包括:
旁路检查设备和至少一台验证码服务器;
其中,所述旁路检查设备,用于截获向服务系统中的服务器发送的访问请求,其中,该服务系统包括至少一台所述服务器;若所述访问请求所请求访问的服务器属于预置的防御列表中需要防御的服务器,则根据预置的服务器与验证服务器的关联关系,从多台验证服务器中,确定出与所述访问请求所请求访问的服务器具有关联关系的验证服务器;将发送所述访问请求的客户端重定向到确定出的所述验证服务器;获取所述验证服务器对所述客户端进行验证码验证的验证结果;当所述验证结果表明所述客户端验证通过时,将所述客户端发送的访问请求转发给所述服务器;所述防御列表中的服务器的信息是,由所述服务系统中的服务器在检测到当前时刻之前指定时长内所述服务器接收到的访问请求的数量超过预设阈值的情况下,指示所述旁路检查设备将所述服务器的信息添加到所述防御列表中的;
所述验证码服务器,用于向所述客户端发送验证页面,来对所述客户端进行验证码验证,并将验证结果返回给所述旁路检查设备。
14.一种服务器,其特征在于,包括处理器与存储器;
所述存储器,用于存放程序;
所述处理器,用于执行所述程序,以实现如权利要求1~7任一项所述的网络攻击防御方法的步骤。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有程序,所述程序在被计算机设备执行时实现如权利要求1~7任一项所述的网络攻击防御方法的步骤。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610870444.XA CN107888546B (zh) | 2016-09-29 | 2016-09-29 | 网络攻击防御方法、装置以及系统 |
| PCT/CN2017/103934 WO2018059480A1 (zh) | 2016-09-29 | 2017-09-28 | 网络攻击防御方法、装置以及系统 |
| US16/023,294 US10785254B2 (en) | 2016-09-29 | 2018-06-29 | Network attack defense method, apparatus, and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610870444.XA CN107888546B (zh) | 2016-09-29 | 2016-09-29 | 网络攻击防御方法、装置以及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107888546A CN107888546A (zh) | 2018-04-06 |
| CN107888546B true CN107888546B (zh) | 2021-10-01 |
Family
ID=61763272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610870444.XA Active CN107888546B (zh) | 2016-09-29 | 2016-09-29 | 网络攻击防御方法、装置以及系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10785254B2 (zh) |
| CN (1) | CN107888546B (zh) |
| WO (1) | WO2018059480A1 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10599483B1 (en) * | 2017-03-01 | 2020-03-24 | Amazon Technologies, Inc. | Decentralized task execution bypassing an execution service |
| CN109067772A (zh) * | 2018-09-10 | 2018-12-21 | 四川中电启明星信息技术有限公司 | 一种用于安全防护的组件和安全防护方法 |
| CN109617932B (zh) * | 2019-02-21 | 2021-07-06 | 北京百度网讯科技有限公司 | 用于处理数据的方法和装置 |
| SG10201905038SA (en) | 2019-06-03 | 2021-01-28 | Accenture Global Solutions Ltd | Platform for detecting bypass of an authentication system |
| US11196731B2 (en) * | 2019-06-28 | 2021-12-07 | T-Mobile Usa, Inc. | Network-authentication control |
| CN110401654A (zh) * | 2019-07-23 | 2019-11-01 | 广州市百果园信息技术有限公司 | 一种业务访问的方法、装置、系统、设备和存储介质 |
| CN112395020B (zh) * | 2019-08-15 | 2023-01-06 | 奇安信安全技术(珠海)有限公司 | 内网的安全防护方法、客户端、目标服务器及存储介质 |
| CN110365712A (zh) * | 2019-08-22 | 2019-10-22 | 中国工商银行股份有限公司 | 一种分布式拒绝服务攻击的防御方法及系统 |
| CN110545541B (zh) * | 2019-09-20 | 2023-06-23 | 百度在线网络技术(北京)有限公司 | 防御攻击行为的方法、装置、设备、终端和介质 |
| CN111447282B (zh) * | 2020-03-31 | 2022-06-07 | 北京百度网讯科技有限公司 | 用于确定传输路径的方法和装置 |
| CN111666584B (zh) * | 2020-04-16 | 2022-07-26 | 福建省万物智联科技有限公司 | 一种私有云盘的部署方法及系统 |
| CN111726334A (zh) * | 2020-05-08 | 2020-09-29 | 深圳知路科技有限公司 | 防止网络攻击的方法、客户端、服务器及系统 |
| CN114172677A (zh) * | 2020-09-11 | 2022-03-11 | 北京金山云网络技术有限公司 | 针对秒拨ip的识别方法及装置、系统 |
| CN114765554A (zh) * | 2021-01-12 | 2022-07-19 | 华为技术有限公司 | 一种确定信任终端的方法及相关装置 |
| CN113067814B (zh) * | 2021-03-17 | 2023-02-28 | 成都飞鱼星科技股份有限公司 | 一种服务器与物联网终端的连接管控方法及装置 |
| CN113158169A (zh) * | 2021-03-30 | 2021-07-23 | 北京大米科技有限公司 | 一种基于Hadoop集群的验证方法、装置、存储介质及电子设备 |
| CN113079170B (zh) * | 2021-04-13 | 2023-04-07 | 厦门美域中央信息科技有限公司 | 一种基于多级交互验证机制的sdn动态目标防御方法 |
| CN112968913B (zh) * | 2021-04-15 | 2022-04-15 | 浪潮思科网络科技有限公司 | 一种基于可编程交换机的ddos防御方法、装置、设备及介质 |
| CN113194104B (zh) * | 2021-06-30 | 2021-09-10 | 南京敏宇数行信息技术有限公司 | 一种安全远程访问系统、方法、计算机设备及存储介质 |
| CN113419860A (zh) * | 2021-06-30 | 2021-09-21 | 深圳市链融科技股份有限公司 | 一种高并发验证处理方法、装置、计算机设备及存储介质 |
| CN113794739B (zh) * | 2021-11-16 | 2022-04-12 | 北京邮电大学 | 针对中间人攻击的双层主动防御的方法及装置 |
| CN114401114B (zh) * | 2021-12-17 | 2023-08-11 | 上海绚显科技有限公司 | 数据传输方法、装置、电子设备及存储介质 |
| CN114257451B (zh) * | 2021-12-22 | 2023-10-27 | 广州品唯软件有限公司 | 验证界面更换方法、装置、存储介质及计算机设备 |
| CN114745162B (zh) * | 2022-03-23 | 2023-11-03 | 烽台科技(北京)有限公司 | 一种访问控制方法、装置、终端设备及存储介质 |
| CN114584327B (zh) * | 2022-05-09 | 2022-08-12 | 山东捷瑞数字科技股份有限公司 | 一种客户端生成的图形验证码的验证方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控系统和方法 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5798711A (en) * | 1992-05-22 | 1998-08-25 | Directed Electronics, Inc. | High throughput embedded code hopping system with bypass mode |
| US7120692B2 (en) * | 1999-12-02 | 2006-10-10 | Senvid, Inc. | Access and control system for network-enabled devices |
| US7149892B2 (en) * | 2001-07-06 | 2006-12-12 | Juniper Networks, Inc. | Secure sockets layer proxy architecture |
| EP1719285A4 (en) * | 2004-01-26 | 2010-12-01 | Cisco Tech Inc | HIGH-LEVEL PROTOCOL AUTHENTICATION |
| US7631347B2 (en) * | 2005-04-04 | 2009-12-08 | Cisco Technology, Inc. | System and method for multi-session establishment involving disjoint authentication and authorization servers |
| US20070136809A1 (en) * | 2005-12-08 | 2007-06-14 | Kim Hwan K | Apparatus and method for blocking attack against Web application |
| US8910251B2 (en) * | 2009-03-06 | 2014-12-09 | Facebook, Inc. | Using social information for authenticating a user session |
| CN101902456B (zh) * | 2010-02-09 | 2013-04-03 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御系统 |
| CN102413105A (zh) * | 2010-09-25 | 2012-04-11 | 杭州华三通信技术有限公司 | 防范cc攻击的方法和装置 |
| CN102185859A (zh) * | 2011-05-09 | 2011-09-14 | 北京艾普优计算机系统有限公司 | 计算机系统和数据交互方法 |
| US8745266B2 (en) * | 2011-06-30 | 2014-06-03 | Citrix Systems, Inc. | Transparent layer 2 redirection of request to single sign in service based on applying policy to content of request |
| US9118713B2 (en) * | 2011-09-26 | 2015-08-25 | The Board Of Trustees Of The University Of Illinois | System and a method for automatically detecting security vulnerabilities in client-server applications |
| US9053216B1 (en) * | 2013-08-09 | 2015-06-09 | Datto, Inc. | CPU register assisted virtual machine screenshot capture timing apparatuses, methods and systems |
| IL235233A0 (en) * | 2013-12-03 | 2015-01-29 | Verisign Inc | Active authentication on the client side to handle ddos attacks |
| CN105656843B (zh) * | 2014-11-11 | 2020-07-24 | 腾讯数码(天津)有限公司 | 基于验证的应用层防护方法、装置及网络设备 |
| CN106162511B (zh) * | 2015-04-08 | 2020-01-24 | 电信科学技术研究院 | 一种d2d中继节点的确定、使用方法及装置 |
| US9787678B2 (en) * | 2015-07-30 | 2017-10-10 | Verizon Patent And Licensing Inc. | Multifactor authentication for mail server access |
| CN105426415A (zh) * | 2015-10-30 | 2016-03-23 | Tcl集团股份有限公司 | 网站访问请求的管理方法、装置及系统 |
-
2016
- 2016-09-29 CN CN201610870444.XA patent/CN107888546B/zh active Active
-
2017
- 2017-09-28 WO PCT/CN2017/103934 patent/WO2018059480A1/zh active Application Filing
-
2018
- 2018-06-29 US US16/023,294 patent/US10785254B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10785254B2 (en) | 2020-09-22 |
| US20180324209A1 (en) | 2018-11-08 |
| WO2018059480A1 (zh) | 2018-04-05 |
| CN107888546A (zh) | 2018-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107888546B (zh) | 网络攻击防御方法、装置以及系统 | |
| US11019383B2 (en) | Internet anti-attack method and authentication server | |
| US9462007B2 (en) | Human user verification of high-risk network access | |
| CN105939326B (zh) | 处理报文的方法及装置 | |
| JP5250594B2 (ja) | ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法 | |
| CN106685932B (zh) | 一种基于云服务的文件访问系统和方法 | |
| Banu et al. | A comprehensive study of phishing attacks | |
| US11212281B2 (en) | Attacker detection via fingerprinting cookie mechanism | |
| JP2008532133A (ja) | Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法 | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
| Calzavara et al. | Testing for integrity flaws in web sessions | |
| CN113434836A (zh) | 一种身份认证方法、装置、设备及介质 | |
| Djanali et al. | SQL injection detection and prevention system with raspberry Pi honeypot cluster for trapping attacker | |
| Nirmal et al. | Maximizing online security by providing a 3 factor authentication system to counter-attack'Phishing' | |
| CN108282443B (zh) | 一种爬虫行为识别方法和装置 | |
| CN114070632B (zh) | 一种自动化渗透测试方法、装置及电子设备 | |
| CN116471121A (zh) | 安全防御方法、网关代理设备及存储介质 | |
| CN108268774A (zh) | 攻击请求的判定方法和装置 | |
| Sobola et al. | Experimental study of modsecurity web application firewalls | |
| CN107294994B (zh) | 一种基于云平台的csrf防护方法和系统 | |
| KR20110017173A (ko) | 화이트 리스트를 모니터링하는 네트워크 필터와 더미 웹 서버를 이용한 분산서비스거부 공격 차단 방법 | |
| JP2003309607A (ja) | アンチプロファイリング装置およびアンチプロファイリングプログラム | |
| Choi et al. | Cookies and Sessions: A Study of what they are, how they can be Stolen and a Discussion on Security | |
| Thaper et al. | A survey on economic denial of sustainability attack mitigation techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |