CN110113351B - Cc攻击的防护方法及装置、存储介质、计算机设备 - Google Patents

Cc攻击的防护方法及装置、存储介质、计算机设备 Download PDF

Info

Publication number
CN110113351B
CN110113351B CN201910405056.8A CN201910405056A CN110113351B CN 110113351 B CN110113351 B CN 110113351B CN 201910405056 A CN201910405056 A CN 201910405056A CN 110113351 B CN110113351 B CN 110113351B
Authority
CN
China
Prior art keywords
data packet
request data
preset
request
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910405056.8A
Other languages
English (en)
Other versions
CN110113351A (zh
Inventor
赵海洋
任亮
刘丽
刘汉东
张福源
朱林
于欣
栗一龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Liaoning Toulong Technology Co ltd
Original Assignee
Liaoning Toulong Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Liaoning Toulong Technology Co ltd filed Critical Liaoning Toulong Technology Co ltd
Priority to CN201910405056.8A priority Critical patent/CN110113351B/zh
Publication of CN110113351A publication Critical patent/CN110113351A/zh
Application granted granted Critical
Publication of CN110113351B publication Critical patent/CN110113351B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种CC攻击的防护方法及装置、存储介质、计算机设备,该方法包括:获取目标应用向目标服务器产生的请求数据包;按照预设加密规则,对请求数据包进行加密处理;将加密后的请求数据包发送至转发服务器中,以供转发服务器对请求数据包进行安全认证后转发请求数据包至目标服务器。本申请通过在客户端侧对请求数据包加密以及将加密数据包发送至转发服务器,从而将加密方式作为请求数据包的安全验证的依据,利用转发服务器对加密的请求数据包进行安全认证后实现数据转发,保证了转发至目标服务器的请求数据包的安全性,可有效预防CC攻击造成目标服务器工作故障。

Description

CC攻击的防护方法及装置、存储介质、计算机设备
技术领域
本申请涉及网络安全技术领域,尤其是涉及到一种CC攻击的防护方法及装置、存储介质、计算机设备。
背景技术
随着网络技术的快速发展以及网络规模的急剧膨胀,网络中的安全漏洞被攻击者越来越多的利用以攻击网络中的主机。近年来流行的CC(Challenge Collapsar)攻击属于网络攻击的一种。
CC攻击属于一种基于页面的分布式拒绝服务(DDOS,Distributed Denial ofService)攻击。攻击者通常可以不断向目标服务器发送消耗目标服务器性能的请求报文,导致目标服务器不断执行大量的计算或操作,耗费大量资源。当目标服务器执行的计算或操作达到自身CPU的处理极限时,将导致正常的访问被终止处理,甚至宕机。
现有技术中的抗CC攻击的方式通常只针对大流量攻击进行防护,当面对具有针对性的CC攻击的时候往往存在大量的漏防,误封等情况,客户体验极为不好,与此同时市面上出现的大量抗CC防火墙都存在客户端SDK集成困难,易被破解等问题。
发明内容
有鉴于此,本申请提供了一种CC攻击的防护方法及装置、存储介质、计算机设备,能够实现对CC攻击的防护。
根据本申请的一个方面,提供了一种CC攻击的防护方法,用于客户端,包括:
获取目标应用向目标服务器产生的请求数据包;
按照预设加密规则,对所述请求数据包进行加密处理;
将加密后的所述请求数据包发送至转发服务器中,以供所述转发服务器对所述请求数据包进行安全认证后转发所述请求数据包至所述目标服务器。
在本申请的实施例中,具体地,所述获取目标应用向目标服务器产生的访问请求信息,具体包括:
基于LSP对所述目标应用进行监听;
当所述目标应用与所述目标服务器进行通信时,获取所述请求数据包,其中,所述请求数据包为已签名的数据包;
对所述请求数据包进行验证,并在验证通过后,执行所述按照预设加密规则,对所述请求数据包进行加密处理的步骤。
在本申请的实施例中,具体地,所述预设加密规则包括多种,所述按照预设加密规则,对所述请求数据包进行加密处理,具体包括:
按照多种所述预设加密规则的顺序以及最近一次使用过的所述预设加密规则,确定与所述请求数据包对应的预设加密规则;
基于与所述请求数据包对应的预设加密规则,对所述请求数据包进行加密处理,其中,加密后的所述请求数据包为预设请求格式。
在本申请的实施例中,具体地,所述将加密后的所述请求数据包发送至转发服务器中之前,所述方法还包括:
基于所述目标服务器,确定与所述目标服务器相应的所述转发服务器。
根据本申请的另一个方面,提供了一种CC攻击的防护方法,用于转发服务器,所述方法包括:
接收来自客户端的请求数据包;
按照预设异常数据库,检测所述请求数据包是否存在异常;
若所述请求数据包不存在异常,则校验所述请求数据包是否与预设请求格式一致;
若所述请求数据包与所述预设请求格式一致,则对所述请求数据包进行解密得到合法请求数据包,并将所述合法请求数据包转发至对应的目标服务器中。
在本申请的实施例中,具体地,所述预设异常数据库包括异常流量数据库和/或异常IP数据库和/或异常标识数据库;
所述按照预设异常数据库,检测所述请求数据包是否存在异常,具体包括:
按照所述异常流量数据库,检测所述请求数据包是否存在异常;
和/或
按照所述异常IP数据库,检测所述请求数据包中的IP数据是否存在异常;
和/或
按照所述异常标识数据库,检测所述请求数据包中的客户端标识码是否存在异常。
根据本申请的另一个方面,提供了一种CC攻击的防护装置,用于客户端,所述装置包括:
数据包获取模块,用于获取目标应用向目标服务器产生的请求数据包;
数据包加密模块,用于按照预设加密规则,对所述请求数据包进行加密处理;
数据包发送模块,用于将加密后的所述请求数据包发送至转发服务器中,以供所述转发服务器对所述请求数据包进行安全认证后转发所述请求数据包至所述目标服务器。
在本申请的实施例中,具体地,所述数据包获取模块,具体包括:
监听单元,用于基于LSP对所述目标应用进行监听;
获取单元,用于当所述目标应用与所述目标服务器进行通信时,获取所述请求数据包其中,所述请求数据包为已签名的数据包;
验证单元,用于对所述请求数据包进行验证,并在验证通过后,执行所述按照预设加密规则,对所述请求数据包进行加密处理的步骤。
在本申请的实施例中,具体地,所述数据包加密模块,具体包括:
加密规则确定单元,用于按照多种所述预设加密规则的顺序以及最近一次使用过的所述预设加密规则,确定与所述请求数据包对应的预设加密规则;
加密单元,用于基于与所述请求数据包对应的预设加密规则,对所述请求数据包进行加密处理,其中,加密后的所述请求数据包为预设请求格式。
在本申请的实施例中,具体地,所述装置还包括:
转发服务器确定模块,用于在所述将加密后的所述请求数据包发送至转发服务器中之前,基于所述目标服务器,确定与所述目标服务器相应的所述转发服务器。
根据本申请的另一个方面,提供了一种CC攻击的防护装置,用于服务器,所述装置包括:
数据包接收模块,用于接收来自客户端的请求数据包;
异常检测模块,用于按照预设异常数据库,检测所述请求数据包是否存在异常;
格式校验模块,用于若所述请求数据包不存在异常,则校验所述请求数据包是否与预设请求格式一致;
数据包转发模块,用于若所述请求数据包与所述预设请求格式一致,则对所述请求数据包进行解密得到合法请求数据包,并将所述合法请求数据包转发至对应的目标服务器中。
在本申请的实施例中,具体地,所述预设异常数据库包括异常流量数据库和/或异常IP数据库和/或异常标识数据库;
所述异常检测模块,具体用于:
按照所述异常流量数据库,检测所述请求数据包是否存在异常;
和/或
按照所述异常IP数据库,检测所述请求数据包中的IP数据是否存在异常;
和/或
按照所述异常标识数据库,检测所述请求数据包中的客户端标识码是否存在异常。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述CC攻击的防护方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述CC攻击的防护方法。
借由上述技术方案,本申请提供的一种CC攻击的防护方法及装置、存储介质、计算机设备,在目标应用向目标服务器建立通信连接时,获取请求数据包,并对该请求数据包进行加密后,将加密数据包发送至相应的转发服务器中,从而实现利用转发服务器对数据包进行安全认证。本申请通过在客户端侧对请求数据包加密以及将加密数据包发送至转发服务器,从而将加密方式作为请求数据包的安全验证的依据,利用转发服务器对加密的请求数据包进行安全认证后实现数据转发,保证了转发至目标服务器的请求数据包的安全性,可有效预防CC攻击造成目标服务器工作故障。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种CC攻击的防护方法的流程示意图;
图2示出了本申请实施例提供的另一种CC攻击的防护方法的流程示意图;
图3示出了本申请实施例提供的又一种CC攻击的防护方法的流程示意图;
图4示出了本申请实施例提供的一种CC攻击的防护装置的结构示意图;
图5示出了本申请实施例提供的另一种CC攻击的防护装置的结构示意图;
图6示出了本申请实施例提供的又一种CC攻击的防护装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种CC攻击的防护方法,用于客户端,如图1所示,该方法包括:
步骤101,获取目标应用向目标服务器产生的请求数据包。
本申请实施例在客户端中的目标应用程序向目标服务器建立通信连接,产生向目标服务器的请求数据包时,延时发送该请求数据包。例如,用户想要登录游戏软件时,游戏软件需要将包含有登录名、登录密码等信息的登录请求数据包发送至游戏服务器,从而游戏服务器根据登录请求数据包中的登录名和登录密码对用户进行游戏身份确认后向客户端中返回确认信息完成登录。
步骤102,按照预设加密规则,对请求数据包进行加密处理。
获取请求数据包后,需对请求数据包进行加密处理,以便加密的请求数据包的加密方式也可以作为一种安全认证的依据,通过对加密的请求数据包进行分析以判断该数据包是否为客户端中目标应用程序发送的合法数据包,而不是攻击者通过非法途径恶意发送的非法数据包,并且还可以保证请求数据包在传输的过程中即使被截取,非法截取者也无法获知数据包中的具体数据内容。
步骤103,将加密后的请求数据包发送至转发服务器中,以供转发服务器对请求数据包进行安全认证后转发请求数据包至目标服务器。
在现有技术的CC攻击防护方法中,一种为针对数据包中的大流量数据等异常情况进行检测,检测准确性较低;一种为在目标服务器之前添加一个跳转检测设备以检测发送至所述目标服务器的报文,该跳转检测设备可以在目标服务器接收到请求报文之前,代替目标服务器向请求端发送一个验证报文,要求请求端再次向目标服务器发送确认信息,而攻击者可以通过肉鸡或者代理服务器向目标服务器发起攻击,使跳转检测设备返回的验证报文进行响应,穿透上述现有技术的跳转检测方式,造成安全隐患。
在本申请实施例中,为了对请求数据包的安全性进行进一步验证,实现对CC攻击的防护,加密后的请求数据包先发送到转发服务器中,由转发服务器进行安全认证后,再将其转发至目标服务器,最终实现数据包的传输,同时,第一,向转发服务器中发送加密过的请求数据包,不仅可以将加密密文作为一种安全认证的依据,还可以保证请求数据包的安全,第二,通过转发服务器对请求数据包进行进一步的安全认证后转发数据包至目标服务器,无需向请求端(客户端)发送报文请求,无需等待请求端反馈,提高数据传输效率。
通过应用本实施例的技术方案,在目标应用向目标服务器建立通信连接时,获取请求数据包,并对该请求数据包进行加密后,将加密数据包发送至相应的转发服务器中,从而实现利用转发服务器对数据包进行安全认证。本申请通过在客户端侧对请求数据包加密以及将加密数据包发送至转发服务器,从而将加密方式作为请求数据包的安全验证的依据,利用转发服务器对加密的请求数据包进行安全认证后实现数据转发,保证了转发至目标服务器的请求数据包的安全性,可有效预防CC攻击造成目标服务器工作故障。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种CC攻击的防护方法,如图2所示,该方法包括:
步骤201,基于LSP对目标应用进行监听。
在本申请的实施例的客户端中,基于分层服务提供商LSP(Layered ServiceProvider)对相关函数进行挂钩监听,以实时获取目标应用与目标服务器之间的通信情况。
步骤202,当目标应用与目标服务器进行通信时,获取请求数据包,其中,请求数据包为已签名的数据包。
当监听到目标应用建立与目标服务器之间的通信连接请求时,获取该请求数据包,这里需要说明的是,为了提高数据包的安全性,防止攻击者恶意创建请求数据包,本申请实施例中的请求数据包为按照约定的签名方式进行签名的数据包,例如通过预先设定的私钥对请求数据包进行签名,以便根据该签名确定请求数据包的发送方身份。
步骤203,对请求数据包进行验证。
获取到请求数据包后,对已签名的请求数据包进行验证,从而确定请求数据包发送方的身份,例如通过预先设定的公钥对数据包进行验证,确定请求数据包的发送方身份,这里的公钥与上述签名数据包时用到的私钥是相匹配的。若数据包无法通过验证,则直接将请求数据包丢弃,以防止该请求数据包对目标服务器造成CC攻击。
步骤204,在验证通过后,按照多种预设加密规则的顺序以及最近一次使用过的预设加密规则,确定与请求数据包对应的预设加密规则。
若对请求数据包进行验证后,确认该数据包是客户端产生的而非攻击者恶意创建,则可以进一步对请求数据包进行加密处理。本申请实施例采用动态加密方式,具体来说,预先设置多种加密规则,并按照一定的顺序将这些加密规则进行排序,每次调用加密规则时,参考上述的加密规则排列顺序以及最近一次使用过的加密规则,确定当前应使用的规则,例如多种加密规则依次为规则A、规则B、规则C……,最近一次调用了规则B,则此时应选用规则C作为当前的请求数据包的加密规则,另外本申请实施例中的上述步骤可以在防护盾中执行,还可设置每次在防护盾启动时更改加密规则。
另外,还可以设置其他的加密规则选取方式,例如根据当前时间信息设置规则匹配方法,根据不同的时间信息确定不同的加密规则,以实现对请求数据包的动态加密,提高数据包安全性。
步骤205,基于与请求数据包对应的预设加密规则,对请求数据包进行加密处理,其中,加密后的请求数据包为预设请求格式。
确定加密规则后,依据该规则对请求数据包进行加密处理,需要说明的是,本申请实施例中利用预设加密规则对请求数据包进行加密后,加密后的数据包会呈现为一种特定的格式,因而,在后续的转发服务器对请求数据包进行安全验证时,可以将数据包的格式作为判断依据之一,用以确定请求数据包是由客户端侧进行加密处理的,而并非攻击者恶意生成的。
需要说明的是,为了进一步提升请求数据包的安全性,防止攻击者恶意伪造,本申请实施例,具体地,还可以包括:在加密后的请求数据包的预设位置处插入时间戳标签。
在上述实施例中,在请求数据包的预设位置处插入时间戳标签,从而在转发服务器中对数据包进行安全验证时,该时间戳标签也可以作为验证依据之一,提高攻击者的攻击成本。
步骤206,基于目标服务器,确定与目标服务器相应的转发服务器。
步骤207,将加密后的请求数据包发送至转发服务器中,以供转发服务器对请求数据包进行安全认证后转发请求数据包至目标服务器。
请求数据包中包含该请求数据对应的目标服务器,根据该目标服务器确定相应的转发服务器后,将请求数据包发送至该转发服务器中,从而通过转发服务器进行安全认证后实现数据转发,建立客户端与目标服务器之间的通信连接。其中,利用转发服务器进行安全认证,避免客户端侧认证需要在客户端保存大量认证所需数据耗费客户端资源,并且便于服务提供方对转发服务器进行集中管理,提高防护工作的效率。
通过应用本实施例的技术方案,第一,通过设置自动签名、验证机制、在客户端侧进行一次安全验证,提高了数据包的安全性;第二,提供动态加密规则以提高数据包的恶意破解成本;第三,提供数据包转发规则,利用转发服务器进行二次安全认证,更有助于提升CC攻击的防护效果,且无需在客户端侧保存安全认证文件,集成简单方便。
在本实施例中提供了一种CC攻击的防护方法,用于转发服务器,如图3所示,该方法包括:
步骤301,接收来自客户端的请求数据包。
本申请实施例的转发服务器用于接收客户端发送的请求数据包,以实现对请求数据包的安全认证,从而实现数据转发。
步骤302,按照预设异常数据库,检测请求数据包是否存在异常。
根据预先保存在转发服务器中的异常数据库,对请求数据包中包含的数据进行检测,以发现其中是否存在异常,若存在异常,则直接将数据包丢弃不做响应。
具体来说,预设异常数据库包括异常流量数据库和/或异常IP数据库和/或异常标识数据库。将请求数据包中的流量数据、IP数据以及客户端标识码数据进行解析后,依据异常数据库进行异常分析。
步骤302,具体包括:按照异常流量数据库,检测请求数据包是否存在异常;和/或按照异常IP数据库,检测请求数据包中的IP数据是否存在异常;和/或按照异常标识数据库,检测请求数据包中的客户端标识码是否存在异常。
对流量数据、IP数据以及客户端标识码数据中的任意一项或者多项与异常数据库中的预存数据进行比对,若得到其中任意一项存在异常的结果,则直接将该数据包丢弃不做响应,以预防对目标服务器的CC攻击。
步骤303,若请求数据包不存在异常,则校验请求数据包是否与预设请求格式一致。
若所检测的数据包数据均不存在异常,则进一步对请求数据包的加密格式进行校验,由于在请求数据包发送到转发服务器之前,客户端已经对其进行做过加密处理,加密后的请求数据包应为预设的标准格式,因此,转发服务器可以根据接收到的请求数据包的格式与预设的标准请求格式进行比对,从而确定该请求数据包是否是客户端按照约定的加密方式进行加密后的,确保数据包的安全性,防止攻击者恶意伪造请求数据包进行发送,造成对目标服务器的CC攻击。
步骤304,若请求数据包与预设请求格式一致,则对请求数据包进行解密得到合法请求数据包,并将合法请求数据包转发至对应的目标服务器中。
若请求数据包的预设请求格式一致,则说明该请求数据包是按照实现约定的加密方法进行加密得到的,安全性较高,此时可以根据相应的解密方法对请求数据包进行解密,得到合法请求数据包后将其转发至目标服务器中,从而建立客户端与目标服务器之间的通信连接,保证转发至目标服务器中的请求数据包的合法性,实现CC攻击的防护。
需要说明的是,本申请实施例中的安全验证流程中的步骤顺序可以进行调整,例如,先进行异常流量检测、再进行格式校验、IP检测、客户端标识码检测,通过上述检测后,进行数据包的解密和转发。
另外,若客户端在请求数据包的预设位置处插入时间戳标签,转发服务器还需要对请求数据包的合法性进行检测,也即,检测请求数据包中的预设位置处是否插入了时间戳标签,进一步,若在预设位置处插入了时间戳标签,继续验证该时间戳标签对应的时间信息与当前时间是否匹配,例如时间戳标签对应的时间信息与当前时间相差不超过3分钟,认为时间戳标签与当前时间信息匹配,通过安全认证。
通过应用本实施例的技术方案,转发服务器接收客户端发送的请求数据包后,对其进行异常流量检测、格式校验、IP检测、客户端标识码检测等一系列安全检测,并当请求数据包通过上述检测后,进行数据包的解密和转发,以保证转发到目标服务器中的请求数据包的合法性和安全性,有效防止攻击者对目标服务器的CC攻击。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种CC攻击的防护装置,用于客户端,如图4所示,该装置包括:数据包获取模块41、数据包加密模块42、数据包发送模块43。
数据包获取模块41,用于获取目标应用向目标服务器产生的请求数据包;
数据包加密模块42,用于按照预设加密规则,对请求数据包进行加密处理;
数据包发送模块43,用于将加密后的请求数据包发送至转发服务器中,以供转发服务器对请求数据包进行安全认证后转发请求数据包至目标服务器。
在本申请的实施例中,具体地,如图5所示,数据包获取模块41,具体包括:监听单元411、获取单元412、验证单元413。
监听单元411,用于基于LSP对目标应用进行监听;
获取单元412,用于当目标应用与目标服务器进行通信时,获取请求数据包其中,请求数据包为已签名的数据包;
验证单元413,用于对请求数据包进行验证,并在验证通过后,执行按照预设加密规则,对请求数据包进行加密处理的步骤。
在本申请的实施例中,具体地,如图5所示,数据包加密模块42,具体包括:加密规则确定单元421、加密单元422。
加密规则确定单元421,用于按照多种预设加密规则的顺序以及最近一次使用过的预设加密规则,确定与请求数据包对应的预设加密规则;
加密单元422,用于基于与请求数据包对应的预设加密规则,对请求数据包进行加密处理,其中,加密后的请求数据包为预设请求格式。
在本申请的实施例中,具体地,如图5所示,该装置还包括:转发服务器确定模块44。
转发服务器确定模块44,用于在将加密后的请求数据包发送至转发服务器中之前,基于目标服务器,确定与目标服务器相应的转发服务器。
进一步的,作为图3方法的具体实现,本申请实施例提供了一种CC攻击的防护装置,用于转发服务器,如图6所示,该装置包括:数据包接收模块61、异常检测模块62、格式校验模块63、数据包转发模块64。
数据包接收模块61,用于接收来自客户端的请求数据包;
异常检测模块62,用于按照预设异常数据库,检测请求数据包是否存在异常;
格式校验模块63,用于若请求数据包不存在异常,则校验请求数据包是否与预设请求格式一致;
数据包转发模块64,用于若请求数据包与预设请求格式一致,则对请求数据包进行解密得到合法请求数据包,并将合法请求数据包转发至对应的目标服务器中。
在本申请的实施例中,具体地,预设异常数据库包括异常流量数据库和/或异常IP数据库和/或异常标识数据库;异常检测模块62,具体用于:按照异常流量数据库,检测请求数据包是否存在异常;和/或按照异常IP数据库,检测请求数据包中的IP数据是否存在异常;和/或按照异常标识数据库,检测请求数据包中的客户端标识码是否存在异常。
需要说明的是,本申请实施例提供的一种CC攻击的防护装置所涉及各功能单元的其他相应描述,可以参考图1、图2和图3中的对应描述,在此不再赘述。
基于上述如图1、图2和图3所示方法,相应的,本申请实施例还提供了一种存储介质,用于客户端,以及一种存储介质,用于转发服务器,其上存储有计算机程序,该程序被处理器执行时实现上述如图1、图2和图3所示的CC攻击的防护方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2和图3所示的方法,以及图4、图5和图6所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,用于客户端侧,以及一种计算机设备,用于转发服务器侧,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1、图2和图3所示的CC攻击的防护方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现在目标应用向目标服务器建立通信连接时,获取请求数据包,并对该请求数据包进行加密后,将加密数据包发送至相应的转发服务器中,从而实现利用转发服务器对数据包进行安全认证。本申请通过在客户端侧对请求数据包加密以及将加密数据包发送至转发服务器,从而将加密方式作为请求数据包的安全验证的依据,利用转发服务器对加密的请求数据包进行安全认证后实现数据转发,保证了转发至目标服务器的请求数据包的安全性,可有效预防CC攻击造成目标服务器工作故障。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。

Claims (8)

1.一种CC攻击的防护方法,用于客户端,其特征在于,包括:
基于LSP对目标应用进行监听;当目标应用与目标服务器进行通信时,获取请求数据包,其中,所述请求数据包为已签名的数据包;
对所述请求数据包进行验证,并在验证通过后,按照预设加密规则,对所述请求数据包进行加密处理;
在加密后的请求数据包的预设位置处插入时间戳标签;
将加密后的、携带有时间戳标签的所述请求数据包发送至转发服务器中,以供所述转发服务器对所述请求数据包进行安全认证后转发所述请求数据包至所述目标服务器;
其中,所述预设加密规则包括:多种加密规则中与加密规则排列顺序匹配的加密规则或者与时间信息匹配的加密规则。
2.根据权利要求1所述的方法,其特征在于,所述预设加密规则包括多种,所述按照预设加密规则,对所述请求数据包进行加密处理,具体包括:
按照多种所述预设加密规则的顺序以及最近一次使用过的所述预设加密规则,确定与所述请求数据包对应的预设加密规则;
基于与所述请求数据包对应的预设加密规则,对所述请求数据包进行加密处理,其中,加密后的所述请求数据包为预设请求格式。
3.根据权利要求1至2中任一项所述的方法,其特征在于,所述将加密后的、携带有时间戳标签的所述请求数据包发送至转发服务器中之前,所述方法还包括:
基于所述目标服务器,确定与所述目标服务器相应的所述转发服务器。
4.一种CC攻击的防护方法,用于转发服务器,其特征在于,所述方法包括:
接收来自客户端的请求数据包,其中所述请求数据包为当LSP对目标应用进行监听并获取到所述目标应用与目标服务器进行通信时,所述客户端获取的数据包,并且所述请求数据包为已签名并经过所述客户端验证通过后按照预设加密规则加密处理过的数据包;
按照预设异常数据库,检测所述请求数据包是否存在异常;
若所述请求数据包不存在异常,则校验所述请求数据包是否与预设请求格式一致;
若所述请求数据包与所述预设请求格式一致,检测请求数据包中的预设位置处是否插入了时间戳标签,若检测到在预设位置处插入了时间戳标签,继续验证所述时间戳标签对应的时间信息与当前时间是否匹配,以对请求数据包的合法性进行检测;若检测所述请求数据包合法,则对所述请求数据包进行解密得到合法请求数据包,并将所述合法请求数据包转发至对应的目标服务器中;
其中,解密时的解密规则与所述预设加密规则相对应;所述加密规则包括:多种加密规则中与加密规则排列顺序匹配的加密规则或者与时间信息匹配的加密规则。
5.根据权利要求4所述的方法,其特征在于,所述预设异常数据库包括异常流量数据库和/或异常IP数据库和/或异常标识数据库;
所述按照预设异常数据库,检测所述请求数据包是否存在异常,具体包括:
按照所述异常流量数据库,检测所述请求数据包是否存在异常;
和/或
按照所述异常IP数据库,检测所述请求数据包中的IP数据是否存在异常;
和/或
按照所述异常标识数据库,检测所述请求数据包中的客户端标识码是否存在异常。
6.一种CC攻击的防护装置,用于客户端,其特征在于,所述装置包括:
数据包获取模块,用于获取目标应用向目标服务器产生的请求数据包;
数据包加密模块,用于按照预设加密规则,对所述请求数据包进行加密处理;还用于:在加密后的请求数据包的预设位置处插入时间戳标签;
数据包发送模块,用于将加密后的、携带有时间戳标签的所述请求数据包发送至转发服务器中,以供所述转发服务器对所述请求数据包进行安全认证后转发所述请求数据包至所述目标服务器;
其中,所述预设加密规则包括:多种加密规则中与加密规则排列顺序匹配的加密规则或者与时间信息匹配的加密规则;
所述数据包获取模块,具体包括:
监听单元,用于基于LSP对所述目标应用进行监听;
获取单元,用于当所述目标应用与所述目标服务器进行通信时,获取所述请求数据包其中,所述请求数据包为已签名的数据包;
验证单元,用于对所述请求数据包进行验证,并在验证通过后,执行所述按照预设加密规则,对所述请求数据包进行加密处理的步骤。
7.一种CC攻击的防护装置,用于服务器,其特征在于,所述装置包括:
数据包接收模块,用于接收来自客户端的请求数据包,其中所述请求数据包为当LSP对目标应用进行监听并获取到所述目标应用与目标服务器进行通信时,所述客户端获取的数据包,并且所述请求数据包为已签名并经过所述客户端验证通过后按照预设加密规则加密处理过的数据包;
异常检测模块,用于按照预设异常数据库,检测所述请求数据包是否存在异常;
格式校验模块,用于若所述请求数据包不存在异常,则校验所述请求数据包是否与预设请求格式一致;
数据包转发模块,用于若所述请求数据包与所述预设请求格式一致,检测所述请求数据包中的预设位置处是否插入了时间戳标签,若检测到在所述预设位置处插入了所述时间戳标签,继续验证所述时间戳标签对应的时间信息与当前时间是否匹配,以对所述请求数据包的合法性进行检测;若检测所述请求数据包合法,则对所述请求数据包进行解密得到合法请求数据包,并将所述合法请求数据包转发至对应的目标服务器中;
其中,解密时的解密方法与所述预设加密规则相对应;所述加密规则包括:多种加密规则中与加密规则排列顺序匹配的加密规则或者与时间信息匹配的加密规则。
8.一种CC攻击的防护系统,其特征在于,包括客户端和服务器,所述客户端包括如权利要求6所述的CC攻击的防护装置,所述服务器包括如权利要求7所述的CC攻击的防护装置。
CN201910405056.8A 2019-05-14 2019-05-14 Cc攻击的防护方法及装置、存储介质、计算机设备 Active CN110113351B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910405056.8A CN110113351B (zh) 2019-05-14 2019-05-14 Cc攻击的防护方法及装置、存储介质、计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910405056.8A CN110113351B (zh) 2019-05-14 2019-05-14 Cc攻击的防护方法及装置、存储介质、计算机设备

Publications (2)

Publication Number Publication Date
CN110113351A CN110113351A (zh) 2019-08-09
CN110113351B true CN110113351B (zh) 2022-08-16

Family

ID=67490408

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910405056.8A Active CN110113351B (zh) 2019-05-14 2019-05-14 Cc攻击的防护方法及装置、存储介质、计算机设备

Country Status (1)

Country Link
CN (1) CN110113351B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112615887B (zh) * 2020-12-30 2023-07-28 福州掌中云科技有限公司 一种cc攻击的防御方法及系统
CN112910920A (zh) * 2021-03-01 2021-06-04 深信服科技股份有限公司 恶意通信检测方法、系统、存储介质和电子设备
CN114050917B (zh) * 2021-11-02 2024-03-22 北京恒安嘉新安全技术有限公司 音频数据的处理方法、装置、终端、服务器及存储介质
CN114157492A (zh) * 2021-12-02 2022-03-08 北京天融信网络安全技术有限公司 一种can总线入侵检测方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102164033A (zh) * 2010-02-24 2011-08-24 腾讯科技(深圳)有限公司 防止服务被攻击的方法、设备及系统
CN105491001A (zh) * 2015-05-14 2016-04-13 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
CN107104929A (zh) * 2016-02-23 2017-08-29 阿里巴巴集团控股有限公司 防御网络攻击的方法、装置和系统
CN109660563A (zh) * 2019-02-02 2019-04-19 北京奇安信科技有限公司 一种应用访问控制方法、系统和介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9438602B2 (en) * 2014-04-03 2016-09-06 Microsoft Technology Licensing, Llc Evolving rule based contact exchange

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102164033A (zh) * 2010-02-24 2011-08-24 腾讯科技(深圳)有限公司 防止服务被攻击的方法、设备及系统
CN105491001A (zh) * 2015-05-14 2016-04-13 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
CN107104929A (zh) * 2016-02-23 2017-08-29 阿里巴巴集团控股有限公司 防御网络攻击的方法、装置和系统
CN109660563A (zh) * 2019-02-02 2019-04-19 北京奇安信科技有限公司 一种应用访问控制方法、系统和介质

Also Published As

Publication number Publication date
CN110113351A (zh) 2019-08-09

Similar Documents

Publication Publication Date Title
CN110113351B (zh) Cc攻击的防护方法及装置、存储介质、计算机设备
Durumeric et al. The Security Impact of HTTPS Interception.
CN110190955B (zh) 基于安全套接层协议认证的信息处理方法及装置
Huang et al. Analyzing forged SSL certificates in the wild
EP2478459B1 (en) Using metadata in security tokens to prevent coordinated attacks in a reputation system
JP6106780B2 (ja) マルウェア解析システム
US8302170B2 (en) Method for enhancing network application security
US8307208B2 (en) Confidential communication method
US8037306B2 (en) Method for realizing network access authentication
Naik et al. Cyber security—iot
CN109309685B (zh) 信息传输方法和装置
Paracha et al. IoTLS: understanding TLS usage in consumer IoT devices
CN109167802B (zh) 防止会话劫持的方法、服务器以及终端
Calzavara et al. Postcards from the post-http world: Amplification of https vulnerabilities in the web ecosystem
Thankappan et al. Multi-Channel Man-in-the-Middle attacks against protected Wi-Fi networks: A state of the art review
CN114244522A (zh) 信息保护方法、装置、电子设备及计算机可读存储介质
US11916953B2 (en) Method and mechanism for detection of pass-the-hash attacks
Park et al. Session management for security systems in 5g standalone network
US20220038478A1 (en) Confidential method for processing logs of a computer system
Zhang et al. Oh-Pwn-VPN! security analysis of OpenVPN-based Android apps
CN114172645A (zh) 通信旁路审计方法、装置、电子设备及存储介质
Atighetchi et al. Safe configuration of TLS connections
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
Zhang et al. Kingfisher: Unveiling insecurely used credentials in iot-to-mobile communications
KR20170096780A (ko) 침해사고 정보 연동 시스템 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CB03 Change of inventor or designer information

Inventor after: Li Jinling

Inventor after: Ren Liang

Inventor after: Liu Li

Inventor after: Zhu Lin

Inventor before: Zhao Haiyang

Inventor before: Ren Liang

Inventor before: Liu Li

Inventor before: Liu Handong

Inventor before: Zhang Fuyuan

Inventor before: Zhu Lin

Inventor before: Yu Xin

Inventor before: Li Yilong

CB03 Change of inventor or designer information