CN108055241A - 一种cc攻击的防御方法及系统 - Google Patents

Abstract

本发明公开了一种CC攻击的防御方法及系统，方法包括：S101、拦截客户端发送至服务器的第一网址请求，分析得到网址请求中包括的第一网页地址；S102、在拦截第一网址请求之后，生成一个随机数，并将随机数缓存在数据库中；S103、根据第一网页地址和随机数生成包括第二网页地址的转向指令；S104、将转向指令发送至客户端，以使客户端根据转向指令包括的第二网页地址向服务器重新发起第二网址请求；S105、当检测到客户端并未向服务器发送第二网址请求时，则确定第一网址请求为恶意请求，阻断第一网址请求，并将客户端的IP地址放入黑名单。本发明的有益效果是：本技术方案实现在抗击恶意攻击的同时，不会误伤正常的访问，对正常的访问影响低。

Description

一种CC攻击的防御方法及系统

技术领域

本发明涉及，特别涉及一种CC攻击的防御方法及系统。

背景技术

近些年WEB的快速发展，越来越多的应用被搬迁到网上，很多重要应用都在积极的实现着全程电子化，但随之而来的攻击也越来越多，其中危害比较大的一种攻击就是拒绝服务攻击，号称黑客的终极武器，此类攻击容易发起，代价低、危害大的特点。尤其是针对网站的攻击不容易防范，虽然防火墙中都带有抗CC攻击的模块，大都效果不好，为此在抗攻击的实践中，根据攻击工具与真正浏览软件的实现差异，开发出了“反向式主动探测抗CC攻击算法”模块，嵌入到防火墙系统中，针对网站有效防御CC效果明显。

现有的防火墙类(包括专业抗拒绝攻击系统)产品，检测到过多的请求或并发，一是通过限制单位时间内请求的数量，减轻服务器压力，防止服务器过载程序崩溃与资源被耗尽。二是通过分析请求包中的禁止网站代理访问字段，把这类的请求直接给拒绝掉。三是防火墙中有CACHE功能，代替网站进行回复，减轻服务器压力。四是管理员干预解除域名访问或更改IP地址等。四是管理员手工干预，进行应急处理。但是，同时存在以下缺陷和不足：

限制单位时间请求法：此法确实能有效减轻服务器的压力，防止服务器过载或应用程序崩溃，但便用此法最大的问题是，正常的访问同时被屏蔽了。并且通过攻击的请求远高于正常的访问，如果按比例丢弃一定的请求，严重影响正常用户的使用。所谓的抗CC模块，一般采取此方案，实际效果有限。

代理服务器过滤法：此法确实能屏蔽掉部分攻击，黑客通过使用代理服务器发起请求，达到放大攻击的效果。但是正常的用户也不少使用代理服务器上网的，以达到节约IP地址资源与带宽，采用此方案此类用户被视为攻击用户，不能进行正常的访问。此方案另一个问题是，黑客直接使用肉鸡通过CC工具进行分布式攻击，此方案因为无相关特征无完失效。

管理员手工应急处理：管理员发现攻击后，解除绑定的域名，使攻击失去攻击目标，只能通过IP地址进行访问，这种方案对面向公共的网站来说，几乎无效果，不可能及时通知不确定的用户使用IP地址进行访问。

网站对单一IP或会话限制刷新次数，此方案需要更改网站代码，并同样存在误伤正常用户访问情况。

发明内容

本发明提供了一种CC攻击的防御方法及系统，解决了现有技术的技术问题。

本发明解决上述技术问题的技术方案如下：

一种CC攻击的防御方法，包括：

S1、拦截客户端发送至服务器的第一网址请求，分析得到所述网址请求中包括的第一网页地址；

S2、在拦截所述第一网址请求之后，生成一个随机数，并将所述随机数缓存在数据库中；

S3、根据所述第一网页地址和所述随机数生成包括第二网页地址的转向指令；

S4、将所述转向指令发送至所述客户端，以使所述客户端根据所述转向指令包括的所述第二网页地址向所述服务器重新发起第二网址请求；

S5、当检测到所述客户端并未向所述服务器发送所述第二网址请求时，则确定所述第一网址请求为恶意请求，阻断所述第一网址请求，并将所述客户端的IP地址放入黑名单。

本发明的有益效果是：本技术方案的核心是拦截客户端(浏览器或攻击工具)的请求，让其先访问网站不存在的空网址，获得对其进行探测验证的机会，基于攻击工具与与浏览器的开发目的及投入的不同，不可能实现浏览器强大的功能，探测验证就是针对这种功能上的差异进行识别，区别开是浏览器访问还是攻击工具发起的攻击，从而实现在抗击恶意攻击的同时，不会误伤正常的访问，对正常的访问影响低。精确识别出客户端是攻击或正常访问，无需每次请求都进行防护，直接配合黑白名单，从而提高效率。

在上述技术方案的基础上，本发明还可以做如下改进。

优选地，步骤S3包括：

给所述第一网页地址添加内容为所述随机数的后缀，得到所述第二网页地址；

根据所述第二网页地址生成转向指令。

优选地，还包括：

S6、当检测到所述客户端向所述服务器发送所述第二网址请求时，则确定所述第一网址请求为正常请求，根据所述随机数对所述第二网址请求包括的所述第二网页地址进行验证；

S7、验证成功后，将所述第二网页地址修改为所述第一网页地址，以使所述客户端向所述服务器重新发起请求，并将所述客户端的IP地址放入白名单。

优选地，步骤S6中，根据所述随机数对所述第二网址请求包括的所述第二网页地址进行验证，具体包括：

判断所述第二网页地址的后缀的内容是否为所述随机数，如是，则验证成功，执行步骤S7，否则验证失败，丢弃所述第二网址请求。

一种CC攻击的防御系统，包括：

拦截模块，用于拦截客户端发送至服务器的第一网址请求，分析得到所述网址请求中包括的第一网页地址；

第一生成模块，用于在拦截所述第一网址请求之后，生成一个随机数，并将所述随机数缓存在数据库中；

第二生成模块，用于根据所述第一网页地址和所述随机数生成包括第二网页地址的转向指令；

发送模块，用于将所述转向指令发送至所述客户端，以使所述客户端根据所述转向指令包括的所述第二网页地址向所述服务器重新发起第二网址请求；

阻断模块，用于当检测到所述客户端并未向所述服务器发送所述第二网址请求时，则确定所述第一网址请求为恶意请求，阻断所述第一网址请求，并将所述客户端的IP地址放入黑名单。

优选地，所述第二生成模块具体用于：

给所述第一网页地址添加内容为所述随机数的后缀，得到所述第二网页地址；根据所述第二网页地址生成转向指令。

优选地，还包括：

验证模块，用于当检测到所述客户端向所述服务器发送所述第二网址请求时，则确定所述第一网址请求为正常请求，根据所述随机数对所述第二网址请求包括的所述第二网页地址进行验证；

发起模块，用于验证成功后，将所述第二网页地址修改为所述第一网页地址，以使所述客户端向所述服务器重新发起请求，并将所述客户端的IP地址放入白名单。

优选地，所述验证模块具体用于：

判断所述第二网页地址的后缀的内容是否为所述随机数，如是，则验证成功，调用所述发起模块，否则验证失败，丢弃所述第二网址请求。

附图说明

图1为本发明实施例提供的一种CC攻击的防御方法的流程示意图；

图2为本发明另一实施例提供的一种CC攻击的防御方法的流程示意图；

图3为本发明另一实施例提供的一种CC攻击的防御方法的流程示意图；

图4为本发明另一实施例提供的一种CC攻击的防御系统的部署示意图；

图5为本发明另一实施例提供的一种CC攻击的防御系统的安装示意图；

图6为本发明另一实施例提供的一种CC攻击的防御系统的结构示意图；

图7为本发明另一实施例提供的一种CC攻击的防御系统的结构示意图.

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

如图1所示，一种CC攻击的防御方法，包括：

S101、拦截客户端发送至服务器的第一网址请求，分析得到网址请求中包括的第一网页地址；

S102、在拦截第一网址请求之后，生成一个随机数，并将随机数缓存在数据库中；

S103、根据第一网页地址和随机数生成包括第二网页地址的转向指令；

S104、将转向指令发送至客户端，以使客户端根据转向指令包括的第二网页地址向服务器重新发起第二网址请求；

S105、当检测到客户端并未向服务器发送第二网址请求时，则确定第一网址请求为恶意请求，阻断第一网址请求，并将客户端的IP地址放入黑名单。

首先，拦截客户端(浏览器或攻击工具)的请求，让其先访问网站不存在的空网址，获得对其进行探测验证的机会，基于攻击工具与与浏览器的开发目的及投入的不同，不可能实现浏览器强大的功能，探测验证就是针对这种功能上的差异进行识别，区别开是浏览器访问还是攻击工具发起的攻击，从而实现在抗击恶意攻击的同时，不会误伤正常的访问，对正常的访问影响低。精确识别出客户端是攻击或正常访问，无需每次请求都进行防护，直接配合黑白名单，从而提高效率。

具体地，步骤S103包括：

给第一网页地址添加内容为随机数的后缀，得到第二网页地址；

根据第二网页地址生成转向指令。

如图2所示，一种CC攻击的防御方法，包括：

S201、拦截客户端发送至服务器的第一网址请求，分析得到网址请求中包括的第一网页地址；

S202、在拦截第一网址请求之后，生成一个随机数，并将随机数缓存在数据库中；

S203、根据第一网页地址和随机数生成包括第二网页地址的转向指令；

S204、将转向指令发送至客户端，以使客户端根据转向指令包括的第二网页地址向服务器重新发起第二网址请求；

S205、当检测到客户端向服务器发送第二网址请求时，则确定第一网址请求为正常请求，根据随机数对第二网址请求包括的第二网页地址进行验证；

S206、验证成功后，将第二网页地址修改为第一网页地址，以使客户端向服务器重新发起请求，并将客户端的IP地址放入白名单。

具体地，步骤S203包括：

给第一网页地址添加内容为随机数的后缀，得到第二网页地址；

根据第二网页地址生成转向指令。

具体地，步骤S205中，根据随机数对第二网址请求包括的第二网页地址进行验证，具体包括：

判断第二网页地址的后缀的内容是否为随机数，如是，则验证成功，执行步骤S206，否则验证失败，丢弃第二网址请求。

I、拦截客户端发来的HTTP请求包，如：分析出http://www.xxx.com/abc＝3；

II、使用get_random_bytes函数产生随机数，例：37212；

III、产生一个转向指令“HTTP/1.1 302GF\r\nContent-Type:text/html\r\nLocation:http://wwww.xxx.com/abc＝3&GF＝37212\r\n\r\n”。

IV、浏览器接收到转向指令后，重新向http://www.xxx.com/abc＝3&GF＝37212这个不存在的网址发起请求，如果是攻击工具，并不关心返回的是什么数据，直接丢掉，达到了抗CC攻击的目的；

V、浏览器转向指令发出后，被设备拦截，对随机数37212进行对比，如果符合，把http://www.xxx.com/abc＝3&GF＝37212修正为http://www.xxx.com/abc＝3，发向真实的服务器，完成正常的请求服务；

VI、判断客户端为可信的IP地址后，可以加入到白名单，一段时间内允许其对服务器直接访问。

步骤III中不限于使用转向指令，可以使用javascript等脚本进行更为复杂高级的验证与探测，配合正则表达式支持验证、cookie支持验证、dom对象支持验证等手段，提高鉴别效果。

图3为本发明部署示意图。

①网站：被保护的网站。

②抗CC设备：透明模式，无需改变网络结构。该抗CC设备包括上述CC攻击防御系统。

③交换机：网络设备。

④黑客攻击：互联网上黑客控制的攻击机器，包括代理服务器、发起CC攻击的肉鸡等。

⑤正常用户：获取网站服务的正常用户，完成业务办理、网站浏览等。

图4为本发明抗CC攻击的安装流程图。

①安装抗CC模块：把编写的抗CC模块使用insmod命令安装到Linux内核，抗CC模块自动把处理函数挂载到netif_receive_skb预留的钩子上。

②对客户端请求处理：具体对接收到数包进行处理，见图7。

③卸载抗CC模块：使用结束后卸载抗CC模块，使用remod命令在linux内核卸载，抗CC模块自动把处理函数从netif_receive_skb预留的钩子上注销。

图5为采用上述CC攻击的防御方法进行抗CC攻击的处理流程图。

①拦截数据：对客户端(黑客、用户)发向服务器的数据进行拦截。

②GET包：对拦截到的数据包进行判断，是否为GET请求包。如果不是，直接转发给服务器，不做处理。如果是GET请求包，进行进一步判断处理。

③标记：查看GET包是否有GF＝标记，如果不存在为客户端新发来的GET包，需要对客户端回复进行探测；如果存在为浏览器正确解释(定向转向，或解释脚本)访问返回来的请求，判断为可信的正常访问。

④回复探测：把没有GF＝标记的GET添加上标记，添加转向指令让客户端解释执行，代替网站服务器向客户端发送探测。

⑤修正请求：把有GF＝标记的GET包，去掉相关的标记，把请求直接转发给网站服务器，提供服务器。

⑥转向服务器处理：去掉相关的标记，重新计算TCP、IP校验和，及数据长度。

⑦加入白名单：把经过验证的IP加入到白名单中，在一段时间内不再进行探测验证，提高处理速度，减轻抗CC设备的压力。

如图6所示，一种CC攻击的防御系统，包括：

拦截模块301，用于拦截客户端发送至服务器的第一网址请求，分析得到网址请求中包括的第一网页地址；

第一生成模块302，用于在拦截第一网址请求之后，生成一个随机数，并将随机数缓存在数据库中；

第二生成模块303，用于根据第一网页地址和随机数生成包括第二网页地址的转向指令；

发送模块304，用于将转向指令发送至客户端，以使客户端根据转向指令包括的第二网页地址向服务器重新发起第二网址请求；

阻断模块305，用于当检测到客户端并未向服务器发送第二网址请求时，则确定第一网址请求为恶意请求，阻断第一网址请求，并将客户端的IP地址放入黑名单。

具体地，第二生成模块303具体用于：

给第一网页地址添加内容为随机数的后缀，得到第二网页地址；根据第二网页地址生成转向指令。

如图7所示，还包括：

验证模块306，用于当检测到客户端向服务器发送第二网址请求时，则确定第一网址请求为正常请求，根据随机数对第二网址请求包括的第二网页地址进行验证；

发起模块307，用于验证成功后，将第二网页地址修改为第一网页地址，以使客户端向服务器重新发起请求，并将客户端的IP地址放入白名单。

具体地，验证模块306具体用于：

判断第二网页地址的后缀的内容是否为随机数，如是，则验证成功，调用发起模块307，否则验证失败，丢弃第二网址请求。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种CC攻击的防御方法，其特征在于，包括：

S1、拦截客户端发送至服务器的第一网址请求，分析得到所述网址请求中包括的第一网页地址；

S2、在拦截所述第一网址请求之后，生成一个随机数，并将所述随机数缓存在数据库中；

S3、根据所述第一网页地址和所述随机数生成包括第二网页地址的转向指令；

S4、将所述转向指令发送至所述客户端，以使所述客户端根据所述转向指令包括的所述第二网页地址向所述服务器重新发起第二网址请求；

S5、当检测到所述客户端并未向所述服务器发送所述第二网址请求时，则确定所述第一网址请求为恶意请求，阻断所述第一网址请求，并将所述客户端的IP地址放入黑名单。

2.根据权利要求1所述的一种CC攻击的防御方法，其特征在于，步骤S3包括：

给所述第一网页地址添加内容为所述随机数的后缀，得到所述第二网页地址；

根据所述第二网页地址生成转向指令。

3.根据权利要求2所述的一种CC攻击的防御方法，其特征在于，步骤S4之后，还包括：

S6、当检测到所述客户端向所述服务器发送所述第二网址请求时，则确定所述第一网址请求为正常请求，根据所述随机数对所述第二网址请求包括的所述第二网页地址进行验证；

S7、验证成功后，将所述第二网页地址修改为所述第一网页地址，以使所述客户端向所述服务器重新发起请求，并将所述客户端的IP地址放入白名单。

4.根据权利要求3所述的一种CC攻击的防御方法，其特征在于，步骤S6中，根据所述随机数对所述第二网址请求包括的所述第二网页地址进行验证，具体包括：

判断所述第二网页地址的后缀的内容是否为所述随机数，如是，则验证成功，执行步骤S7，否则验证失败，丢弃所述第二网址请求。

5.一种CC攻击的防御系统，其特征在于，包括：

拦截模块，用于拦截客户端发送至服务器的第一网址请求，分析得到所述网址请求中包括的第一网页地址；

第一生成模块，用于在拦截所述第一网址请求之后，生成一个随机数，并将所述随机数缓存在数据库中；

第二生成模块，用于根据所述第一网页地址和所述随机数生成包括第二网页地址的转向指令；

发送模块，用于将所述转向指令发送至所述客户端，以使所述客户端根据所述转向指令包括的所述第二网页地址向所述服务器重新发起第二网址请求；

阻断模块，用于当检测到所述客户端并未向所述服务器发送所述第二网址请求时，则确定所述第一网址请求为恶意请求，阻断所述第一网址请求，并将所述客户端的IP地址放入黑名单。

6.根据权利要求5所述的一种CC攻击的防御系统，其特征在于，所述第二生成模块具体用于：

给所述第一网页地址添加内容为所述随机数的后缀，得到所述第二网页地址；根据所述第二网页地址生成转向指令。

7.根据权利要求6所述的一种CC攻击的防御系统，其特征在于，还包括：

验证模块，用于当检测到所述客户端向所述服务器发送所述第二网址请求时，则确定所述第一网址请求为正常请求，根据所述随机数对所述第二网址请求包括的所述第二网页地址进行验证；

发起模块，用于验证成功后，将所述第二网页地址修改为所述第一网页地址，以使所述客户端向所述服务器重新发起请求，并将所述客户端的IP地址放入白名单。

8.根据权利要求7所述的一种CC攻击的防御系统，其特征在于，所述验证模块具体用于：

判断所述第二网页地址的后缀的内容是否为所述随机数，如是，则验证成功，调用所述发起模块，否则验证失败，丢弃所述第二网址请求。