CN108200076B - Host头域伪造攻击的防护方法和装置 - Google Patents

Host头域伪造攻击的防护方法和装置 Download PDF

Info

Publication number
CN108200076B
CN108200076B CN201810043611.2A CN201810043611A CN108200076B CN 108200076 B CN108200076 B CN 108200076B CN 201810043611 A CN201810043611 A CN 201810043611A CN 108200076 B CN108200076 B CN 108200076B
Authority
CN
China
Prior art keywords
http request
header field
host header
request message
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810043611.2A
Other languages
English (en)
Other versions
CN108200076A (zh
Inventor
吴庆
王树太
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPtech Information Technology Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201810043611.2A priority Critical patent/CN108200076B/zh
Publication of CN108200076A publication Critical patent/CN108200076A/zh
Application granted granted Critical
Publication of CN108200076B publication Critical patent/CN108200076B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种Host头域伪造攻击的防护方法和装置,应用于Web服务器。所述方法包括:当接收到HTTP请求报文时,从所述HTTP请求报文头部中读取Host头域;判断本地保存的可信Host头域列表中是否存在所述Host头域;其中,所述可信Host头域列表中的Host头域为基于预设的学习机制学习到的;如果所述可信Host头域列表中不存在所述Host头域,丢弃所述HTTP请求报文。采用本申请提供的技术方法,可以实现自动配置可信Host头域列表,从而避免了用户通过手动配置可信Host头域列表时的繁琐操作。

Description

Host头域伪造攻击的防护方法和装置
技术领域
本申请涉及网络通信技术领域,特别涉及一种Host头域伪造攻击的防护方法和装置。
背景技术
随着互联网的快速发展,越来越多的业务使用Web网站作为网络信息的载体传播信息。请参见图1,图1为终端访问Web网站的示意图。在现有技术中,当终端想要访问Web网站时,可以通过向Web服务器发送HTTP请求报文。Web服务器可以根据该HTTP请求报文头部中的Host头域确定终端所要访问的Web网站,并将该HTTP请求报文转发至对应的Web网站。
然而,HTTP请求报文中的Host头域是人为可修改的。攻击者通常通过伪造Host头域向Web网站发起攻击,从而对Web网站的安全造成了威胁。
发明内容
有鉴于此,本申请提供一种Host头域伪造攻击的防护方法和装置,应用于Web服务器,用于实现自动配置可信Host头域列表。
具体地,本申请是通过如下技术方案实现的:
一种Host头域伪造攻击的防护方法,应用于web服务器,所述方法包括:
当接收到HTTP请求报文时,从所述HTTP请求报文头部中读取Host头域;
判断本地保存的可信Host头域列表中是否存在所述Host头域;其中,所述可信Host头域列表中的Host头域为基于预设的学习机制学习到的;
如果所述可信Host头域列表中不存在所述Host头域,丢弃所述HTTP请求报文。
优选地,所述学习机制为:
在预设的学习时间周期内,当接收到的HTTP请求报文头部中的目标Host头域不存在于所述可信Host头域列表中时,对所述目标Host头域被不同源IP访问的访问次数进行统计,并转发所述HTTP请求报文;
如果所述访问次数达到预设的阈值,将所述目标Host头域添加至所述可信Host头域列表。
优选地,该方法还包括:
如果所述可信Host头域列表中存在所述Host头域,转发所述HTTP请求报文。
优选地,在从所述HTTP请求报文头部中读取Host头域之前,该方法还包括:
从所述HTTP请求报文中读取源IP,并判断本地保存的IP黑名单中是否存在所述源IP;其中,所述IP黑名单中的IP为基于预设的安全检测规则检测到的非法IP;
如果所述IP黑名单中存在所述源IP,丢弃所述HTTP请求报文。
优选地,该方法还包括:
当所述IP黑名单中不存在所述源IP时,基于预设的安全检测规则对所述HTTP请求报文进行安全检测;
如果所述HTTP请求报文未通过安全检测,将所述源IP添加至所述IP黑名单,并将所述HTTP请求报文丢弃;
如果所述HTTP请求报文通过安全检测,进一步判断所述HTTP请求报文头部中的Host头域是否在所述可信Host头域列表中。
一种Host头域伪造攻击的防护装置,应用于web服务器,所述装置包括:
Host头域读取单元,用于当接收到HTTP请求报文时,从所述HTTP请求报文头部中读取Host头域;
Host头域判断单元,用于判断本地保存的可信Host头域列表中是否存在所述Host头域;其中,所述可信Host头域列表中的Host头域为基于预设的学习机制学习到的;
丢弃单元,用于如果所述可信Host头域列表中不存在所述Host头域,丢弃所述HTTP请求报文。
优选地,该装置中,所述Host头域判断单元具体用于:
如果所述HTTP请求报文通过安全检测,进一步判断所述HTTP请求报文头部中的Host头域是否在所述可信Host头域列表中。
优选地,所述丢弃单元,还用于如果所述IP黑名单中存在所述源IP,丢弃所述HTTP请求报文;以及,还用于在所述HTTP请求报文未通过安全检测后将所述HTTP请求报文丢弃。
优选地,该装置还包括:
源IP读取单元,用于在从所述HTTP请求报文头部中读取Host头域之前,从所述HTTP请求报文中读取源IP。
源IP判断单元,用于判断本地保存的IP黑名单中是否存在所述源IP;其中,所述IP黑名单中的IP为基于预设的安全检测规则检测到的非法IP。
转发单元,用于如果所述可信Host头域列表中存在所述Host头域,转发所述HTTP请求报文;以及,还用于在所述学习时间周期内,转发所述HTTP请求报文。
统计单元,用于在预设的学习时间周期内,当接收到的HTTP请求报文头部中的目标Host头域不存在于所述可信Host头域列表中时,对所述目标Host头域被不同源IP访问的访问次数进行统计。
Host头域添加单元,用于如果所述访问次数达到预设的阈值,将所述目标Host头域添加至所述可信Host头域列表。
检测单元,用于当所述IP黑名单中不存在所述源IP时,基于预设的安全检测规则对所述HTTP请求报文进行安全检测。
源IP添加单元,用于如果所述HTTP请求报文未通过安全检测,将所述源IP添加至所述IP黑名单。
本申请提供的技术方法带来的有益效果:
在本申请中,Web服务器预先配置了用于学习可信Host头域的学习机制。通过所述学习机制自动学习到可信的Host头域,并生成对应的可信Host头域列表。当Web服务器从接收到的HTTP请求报文头部中读取到Host头域时,通过判断所述可信Host头域列表中是否存在该host头域,并在确定所述可信Host头域列表中不存在该Host头域时,将接收到的所述HTTP请求报文丢弃,从而实现对伪造Host头域攻击的防御。其中,由于可信Host头域列表中的Host头域时基于预设的学习机制自动学习到的,因此,避免了用户通过手动配置可信Host头域列表时的繁琐操作。
附图说明
图1为终端访问Web网站的示意图;
图2为本申请实施例提出的一种Host头域伪造攻击的防护方法流程图;
图3为本申请一种Host头域伪造攻击的防护装置所在Web服务器的一种硬件结构图;
图4为本申请实施例示出的一种Host头域伪造攻击的防护装置。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
随着互联网的快速发展,越来越多的业务使用Web网站作为网络信息的载体传播信息。如图1所示,在现有技术中,终端访问Web网站时通常通过向Web服务器发送HTTP请求报文。Web服务器可以根据该HTTP请求报文头部中的Host头域确定终端所要访问的Web网站,并将该HTTP请求报文转发至对应的Web网站。
然而,HTTP请求报文中的Host头域是人为可修改的。攻击者通常通过伪造Host头域向Web网站发起攻击,从而对Web网站的安全造成了威胁。
为了对攻击者通过伪造Host头域的攻击实现防御,现有技术提出了一种通过手动配置可信Host头域列表的方法。
Web服务器管理员可以在本地手动配置可信Host头域列表,当Web服务器接收到HTTP请求报文时,可以判断所述HTTP请求报文头部的Host头域是否在所述可信Host头域列表中。如果存在,则将所述HTTP请求报文转发至对应的Web网站,否则,丢弃所述HTTP请求报文。
然而,在Web服务器所管理的Web网站数量较多情况下,手动配置可信Host头域列表的工作量比较大,而且,在Web网站的域名变化比较频繁的情况下,需要经常对可信Host头域列表进行手动修改,实施起来比较繁琐。
为此,本申请提出了一种Host头域伪造攻击的防护方法,请参见图2,图2为本申请实施例提出的一种Host头域伪造攻击的防护方法流程图,应用于Web服务器,具体执行以下步骤:
步骤201:当接收到HTTP请求报文时,从所述HTTP请求报文头部中读取Host头域;
在实际网络中,攻击者的方式多种多样。为了维护Web网站的安全,本实施例除了针对Host头域伪造攻击进行防御之外,还对其他常见的攻击方式进行防护。
在本实施例中,当Web服务器接收到HTTP请求报文后,Web服务器可以从所述HTTP请求报文中读取源IP,并判断本地保存的IP黑名单中是否存在该源IP。其中,所述IP黑名单中的IP地址为未通过预设的安全检测规则检测的HTTP请求报文中的源IP地址。
一方面,如果本地保存的IP黑名单中存在该源IP,说明该源IP所对应的HTTP请求报文为携带攻击的报文,Web服务器可以直接将所述HTTP请求报文丢弃。
另一方面,如果本地保存的IP黑名单中不存在该源IP,Web服务器可以基于预设的安全检测规则对所述HTTP请求报文进行安全检测。其中,所述安全检测规则为针对Host头域伪造攻击方式之外的其他常见的攻击方式的检测规则。
如果所述HTTP请求报文未通过安全规则,将读取到的所述HTTP请求报文中的源IP添加至IP黑名单中。如果所述HTTP请求报文通过安全检测,Web服务器可以进一步判断所述HTTP请求报文头部中的Host头域是否存在于本地保存的可信Host头域列表中。
步骤202:判断本地保存的可信Host头域列表中是否存在所述Host头域;其中,所述可信Host头域列表中的Host头域为基于预设的学习机制学习到的;
在本实施例中,当Web服务器确定所述HTTP请求报文通过安全检测后,Web服务器可以从所述HTTP请求报文头部中读取Host头域,并判断本地保存的可信Host头域列表中是否存在该Host头域。
其中,所述可信Host头域列表中的Host头域为基于预设的学习机制自动学习到的Host头域。所述学习机制可以为:
在预设的学习时间周期内,当Web服务器接收到HTTP请求报文后,可以从所述HTTP请求报文头部中读取Host头域,并判断本地保存的可信Host头域列表中是否存在该Host头域。
一方面,如果本地保存的可信Host头域列表中存在该Host头域,则直接将所述HTTP请求报文转发至对应的Web网站。
另一方面,如果本地保存的可信Host头域列表中不存在该Host头域,则对该Host头域被不同源IP发送的访问次数进行统计,并转发所述HTTP请求报文。当在所述预设的学习时间周期内,统计次数达到预设的阈值时,Web服务器可以将该Host头域添加至所述可信Host头域中。如果在所述预设的学习时间周期内,统计次数未达到预设的阈值,Web服务器可以结束对该Host头域被不同源IP发送的访问次数的统计。其中,所述预设的阈值可以根据实际需要进行调整,在本申请中不进行限定。
例如,Web服务器每个星期的周日中午12点-12点半对不存在所述可信Host头域列表中的Host头域被不同源IP访问的访问次数进行统计,其中,每个星期的周日中午12点-12点半即为学习时间周期。
当然,所述学习机制也可以为:
Web服务器对任一Host头域被访问的频率进行监测,当攻击者通过伪造Host头域进行攻击时,Web服务器可以监测到该伪造的Host头域被访问的频率突增,此时,Web服务器可以进一步通过统计预设时间内该伪造的Host头域被不同源IP访问的次数是否达到预设的阈值。如果没有达到预设的阈值,此时,Web服务器可以认定该Host头域为攻击者伪造的,并将所述HTTP请求报文的源IP添加至IP黑名单中。
需要说明的是,不同的学习机制适用于不同的网络环境,比如Web网站域名不常发生变化的网络环境中,上述第一种学习机制更加适用。在本申请中,用户可以根据实际需要编译对应的学习机制,在本申请中,只要所述学习机制能够实现自动学习到可信Host头域的情况下,不对所述学习机制的具体实现过程进行限定。
步骤203:如果所述可信Host头域列表中不存在所述Host头域,丢弃所述HTTP请求报文。
在本步骤中,当所述可信Host头域列表中不存在所述Host头域,Web服务器可以确定所述Host头域为攻击者伪造的Host头域,此时,Web服务器可以直接将所述HTTP请求报文丢弃。
如果所述可信Host头域列表中存在所述Host头域,Web服务器可以直接将所述HTTP请求报文转发至对应的Web网站。
综上所述,在本申请中,Web服务器预先配置了用于学习可信Host头域的学习机制。通过所述学习机制自动学习到可信的Host头域,并生成对应的可信Host头域列表。当Web服务器从接收到的HTTP请求报文头部中读取到Host头域时,通过判断所述可信Host头域列表中是否存在该host头域,并在确定所述可信Host头域列表中不存在该Host头域时,将接收到的所述HTTP请求报文丢弃,从而实现对伪造Host头域攻击的防御。其中,由于可信Host头域列表中的Host头域时基于预设的学习机制自动学习到的,因此,避免了用户通过手动配置可信Host头域列表时的繁琐操作。
与前述一种Host头域伪造攻击的防护方法的实施例相对应,本申请还提供了一种Host头域伪造攻击的防护装置的实施例。
本申请一种Host头域伪造攻击的防护装置的实施例可以应用在Web服务器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在Web服务器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请一种Host头域伪造攻击的防护装置所在Web服务器的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的Web服务器通常根据该Host头域伪造攻击的防护的实际功能,还可以包括其他硬件,对此不再赘述。
请参见图4,图4为本申请实施例示出的一种Host头域伪造攻击的防护装置,应用于Web服务器,所述装置包括:Host头域读取单元410,Host头域判断单元420,丢弃单元430。
其中,Host头域读取单元410,用于当接收到HTTP请求报文时,从所述HTTP请求报文头部中读取Host头域;
Host头域判断单元420,用于判断本地保存的可信Host头域列表中是否存在所述Host头域;其中,所述可信Host头域列表中的Host头域为基于预设的学习机制学习到的;
丢弃单元430,用于如果所述可信Host头域列表中不存在所述Host头域,丢弃所述HTTP请求报文。
其中,所述Host头域判断单元,具体用于如果所述HTTP请求报文通过安全检测,进一步判断所述HTTP请求报文头部中的Host头域是否在所述可信Host头域列表中。
所述丢弃单元430,还用于如果所述IP黑名单中存在所述源IP,丢弃所述HTTP请求报文;以及,还用于在所述HTTP请求报文未通过安全检测后将所述HTTP请求报文丢弃。
在本实施例中,所述装置还包括:
源IP读取单元,用于在从所述HTTP请求报文头部中读取Host头域之前,从所述HTTP请求报文中读取源IP。
源IP判断单元,用于判断本地保存的IP黑名单中是否存在所述源IP;其中,所述IP黑名单中的IP为基于预设的安全检测规则检测到的非法IP。
转发单元,用于如果所述可信Host头域列表中存在所述Host头域,转发所述HTTP请求报文;以及,还用于在所述学习时间周期内,转发所述HTTP请求报文。
统计单元,用于在预设的学习时间周期内,当接收到的HTTP请求报文头部中的目标Host头域不存在于所述可信Host头域列表中时,对所述目标Host头域被不同源IP访问的访问次数进行统计。
Host头域添加单元,用于如果所述访问次数达到预设的阈值,将所述目标Host头域添加至所述可信Host头域列表。
检测单元,用于当所述IP黑名单中不存在所述源IP时,基于预设的安全检测规则对所述HTTP请求报文进行安全检测。
源IP添加单元,用于如果所述HTTP请求报文未通过安全检测,将所述源IP添加至所述IP黑名单。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (8)

1.一种Host头域伪造攻击的防护方法,应用于web服务器,其特征在于,所述方法包括:
当接收到HTTP请求报文时,从所述HTTP请求报文头部中读取Host头域;
判断本地保存的可信Host头域列表中是否存在所述Host头域;其中,所述可信Host头域列表中的Host头域为基于预设的学习机制学习到的;
如果所述可信Host头域列表中不存在所述Host头域,丢弃所述HTTP请求报文;
其中,所述学习机制为:
在预设的学习时间周期内,当接收到的HTTP请求报文头部中的目标Host头域不存在于所述可信Host头域列表中时,对所述目标Host头域被不同源IP访问的访问次数进行统计,并转发所述HTTP请求报文;
如果所述访问次数达到预设的阈值,将所述目标Host头域添加至所述可信Host头域列表。
2.根据权利要求1所述的方法,其特征在于,在从所述HTTP请求报文头部中读取Host头域之前,所述方法还包括:
从所述HTTP请求报文中读取源IP,并判断本地保存的IP黑名单中是否存在所述源IP;其中,所述IP黑名单中的IP为基于预设的安全检测规则检测到的非法IP;
如果所述IP黑名单中存在所述源IP,丢弃所述HTTP请求报文。
3.根据权利要求1所述的方法,其特征在于,如果所述可信Host头域列表中存在所述Host头域,转发所述HTTP请求报文。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述IP黑名单中不存在所述源IP时,基于预设的安全检测规则对所述HTTP请求报文进行安全检测;
如果所述HTTP请求报文未通过安全检测,将所述源IP添加至所述IP黑名单,并将所述HTTP请求报文丢弃;
如果所述HTTP请求报文通过安全检测,进一步判断所述HTTP请求报文头部中的Host头域是否在所述可信Host头域列表中。
5.一种Host头域伪造攻击的防护装置,应用于web服务器,其特征在于,所述装置包括:
Host头域读取单元,用于当接收到HTTP请求报文时,从所述HTTP请求报文头部中读取Host头域;
Host头域判断单元,用于判断本地保存的可信Host头域列表中是否存在所述Host头域;其中,所述可信Host头域列表中的Host头域为统计单元、转发单元及Host头域添加单元基于预设的学习机制学习到的;
丢弃单元,用于如果所述可信Host头域列表中不存在所述Host头域,丢弃所述HTTP请求报文;
所述统计单元,用于在预设的学习时间周期内,当接收到的HTTP请求报文头部中的目标Host头域不存在于所述可信Host头域列表中时,对所述目标Host头域被不同源IP访问的访问次数进行统计;
所述转发单元,用于在所述学习时间周期内,转发所述HTTP请求报文;
所述Host头域添加单元,用于如果所述访问次数达到预设的阈值,将所述目标Host头域添加至所述可信Host头域列表。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
源IP读取单元,用于在从所述HTTP请求报文头部中读取Host头域之前,从所述HTTP请求报文中读取源IP;
源IP判断单元,用于判断本地保存的IP黑名单中是否存在所述源IP;其中,所述IP黑名单中的IP为基于预设的安全检测规则检测到的非法IP;
所述丢弃单元,还用于如果所述IP黑名单中存在所述源IP,丢弃所述HTTP请求报文。
7.根据权利要求5所述的装置,其特征在于,所述转发单元还用于如果所述可信Host头域列表中存在所述Host头域,转发所述HTTP请求报文。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
检测单元,用于当所述IP黑名单中不存在所述源IP时,基于预设的安全检测规则对所述HTTP请求报文进行安全检测;
源IP添加单元,用于如果所述HTTP请求报文未通过安全检测,将所述源IP添加至所述IP黑名单;
所述丢弃单元,还用于在所述HTTP请求报文未通过安全检测后将所述HTTP请求报文丢弃;
所述Host头域判断单元,具体用于如果所述HTTP请求报文通过安全检测,进一步判断所述HTTP请求报文头部中的Host头域是否在所述可信Host头域列表中。
CN201810043611.2A 2018-01-17 2018-01-17 Host头域伪造攻击的防护方法和装置 Active CN108200076B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810043611.2A CN108200076B (zh) 2018-01-17 2018-01-17 Host头域伪造攻击的防护方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810043611.2A CN108200076B (zh) 2018-01-17 2018-01-17 Host头域伪造攻击的防护方法和装置

Publications (2)

Publication Number Publication Date
CN108200076A CN108200076A (zh) 2018-06-22
CN108200076B true CN108200076B (zh) 2021-04-27

Family

ID=62589768

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810043611.2A Active CN108200076B (zh) 2018-01-17 2018-01-17 Host头域伪造攻击的防护方法和装置

Country Status (1)

Country Link
CN (1) CN108200076B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103634306A (zh) * 2013-11-18 2014-03-12 北京奇虎科技有限公司 网络数据的安全检测方法和安全检测服务器
CN106130962A (zh) * 2016-06-13 2016-11-16 浙江宇视科技有限公司 一种报文处理方法和装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685294B (zh) * 2013-12-20 2017-02-22 北京奇安信科技有限公司 拒绝服务攻击的攻击源的识别方法和装置
US20150294021A1 (en) * 2014-04-11 2015-10-15 Zachary Schwartz System and Method for Creating A Computational Bookmarking Icon
CN104468554A (zh) * 2014-11-28 2015-03-25 北京奇虎科技有限公司 基于ip和host的攻击检测方法和装置
CN104361283B (zh) * 2014-12-05 2018-05-18 网宿科技股份有限公司 防护Web攻击的方法
CN105187390B (zh) * 2015-08-10 2018-10-19 济南大学 主动式移动终端恶意软件网络流量数据集获取方法及系统
CN105187393B (zh) * 2015-08-10 2018-05-22 济南大学 一种移动终端恶意软件网络行为重构方法及其系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103634306A (zh) * 2013-11-18 2014-03-12 北京奇虎科技有限公司 网络数据的安全检测方法和安全检测服务器
CN106130962A (zh) * 2016-06-13 2016-11-16 浙江宇视科技有限公司 一种报文处理方法和装置

Also Published As

Publication number Publication date
CN108200076A (zh) 2018-06-22

Similar Documents

Publication Publication Date Title
US11405359B2 (en) Network firewall for mitigating against persistent low volume attacks
CN109951500B (zh) 网络攻击检测方法及装置
US8943586B2 (en) Methods of detecting DNS flooding attack according to characteristics of type of attack traffic
US11882137B2 (en) Network security blacklist derived from honeypot statistics
US9654494B2 (en) Detecting and marking client devices
US10270792B1 (en) Methods for detecting malicious smart bots to improve network security and devices thereof
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
US10135785B2 (en) Network security system to intercept inline domain name system requests
US10218717B1 (en) System and method for detecting a malicious activity in a computing environment
US20020184362A1 (en) System and method for extending server security through monitored load management
US9253153B2 (en) Anti-cyber hacking defense system
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
CN104468554A (zh) 基于ip和host的攻击检测方法和装置
US11271963B2 (en) Defending against domain name system based attacks
Satam et al. Anomaly Behavior Analysis of DNS Protocol.
CN103701816A (zh) 执行拒绝服务攻击的服务器的扫描方法和扫描装置
KR102211503B1 (ko) 유해 ip 판단 방법
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet
CN108200076B (zh) Host头域伪造攻击的防护方法和装置
CN107395615B (zh) 一种打印机安全防护的方法和装置
KR101375375B1 (ko) 좀비 컴퓨터 블랙리스트 수집에 기초한 좀비 컴퓨터 탐지 및 방어 시스템
CN115603985A (zh) 入侵检测方法及电子设备、存储介质
CN112491911B (zh) Dns分布式拒绝服务防御方法、装置、设备及存储介质
JP4753264B2 (ja) ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
CN113992421A (zh) 一种报文处理方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210617

Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang.

Patentee after: Hangzhou Dip Information Technology Co.,Ltd.

Address before: 6 / F, Zhongcai building, 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province

Patentee before: Hangzhou DPtech Technologies Co.,Ltd.

TR01 Transfer of patent right