CN112039887A - Cc攻击防御方法、装置、计算机设备和存储介质 - Google Patents
Cc攻击防御方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN112039887A CN112039887A CN202010897281.0A CN202010897281A CN112039887A CN 112039887 A CN112039887 A CN 112039887A CN 202010897281 A CN202010897281 A CN 202010897281A CN 112039887 A CN112039887 A CN 112039887A
- Authority
- CN
- China
- Prior art keywords
- real
- attack
- target server
- server
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims abstract description 88
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000012544 monitoring process Methods 0.000 claims abstract description 67
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012163 sequencing technique Methods 0.000 claims description 5
- 238000007789 sealing Methods 0.000 claims description 2
- 238000012552 review Methods 0.000 abstract description 2
- 238000004891 communication Methods 0.000 description 14
- 230000009471 action Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 6
- 230000036632 reaction speed Effects 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 241000876446 Lanthanotidae Species 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种CC攻击防御方法、装置、计算机设备和存储介质,其中,该CC攻击防御方法包括:对目标服务器进行实时监控,接收所述目标服务器的实时运行数据;将所述实时运行数据与设定阈值进行比较;当所述实时运行数据超过设定阈值时,启动防御程序;当所述实时运行数据超过设定阈值时,对用户进行攻击告警。通过本申请,可以更为快速合理的监控服务器的异常,并且迅速启动防御,在服务器受到攻击的第一时间就做出反应,大大减少干预时间,防止攻击对服务器造成更大的破坏,并且对用户进行攻击告警,通过人工复核避免误判,反应速度快,安全性较高。
Description
技术领域
本申请涉及网络信息安全技术领域,特别是涉及一种CC攻击防御方法、装置、计算机设备和存储介质。
背景技术
随着信息网络的发展,网络攻击手段也越来越多,CC攻击对现代的web网站造成的影响深远,CC攻击的预警发现和防护手段也多种多样。
传统的防止CC攻击的方式是对流量数据进行监控,在确定异常流量数据时对对应的IP地址进行拉黑封禁以防御攻击。而这种防御方式只有在流量数据对服务器进行多次访问后,才能判断流量数据是否异常,因此服务器刚刚遭受攻击时无法第一时间做出反应,只有在服务器受到攻击,且造成一定影响的情况下才能锁定异常流量数据,进行防御,且存在误判的可能,反应速度较慢,安全性较低。
发明内容
本申请实施例提供了一种CC攻击防御方法、装置、计算机设备和存储介质,以至少解决相关技术中传统的防止CC攻击的方式存在误判的可能,反应速度较慢,安全性较低的问题。
第一方面,本申请实施例提供了一种CC攻击防御方法,用于防御服务器受到的CC攻击,包括:
对目标服务器进行实时监控,接收所述目标服务器的实时运行数据;
将所述实时运行数据与设定阈值进行比较;
当所述实时运行数据超过设定阈值时,启动防御程序;
当所述实时运行数据超过设定阈值时,对用户进行攻击告警。
在其中一些实施例中,所述对目标服务器进行实时监控包括:
基于zabbix监控平台对目标服务器进行实时监控。
在其中一些实施例中,所述接收所述目标服务器的实时运行数据包括:
接收所述目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况。
在其中一些实施例中,所述当所述实时运行数据超过设定阈值时,启动防御程序包括:
当所述目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况均超过设定阈值时,启动防御程序。
在其中一些实施例中,所述对目标服务器进行实时监控,接收所述目标服务器的实时运行数据还包括:
对访问所述目标服务器的终端的IP地址进行监控;
获取每个IP地址对应的终端对所述目标服务器的访问次数。
在其中一些实施例中,所述当所述实时运行数据超过设定阈值时,启动防御程序还包括:
根据所述终端的访问次数进行排序;
根据所述排序结果,由高到低对预设数量的终端对应的IP地址进行拉黑封禁。
在其中一些实施例中,所述对用户进行攻击告警包括:
通过语音和/或短信对用户进行攻击告警。
第二方面,本申请实施例提供了一种CC攻击防御装置,包括:
监控模块,用于对目标服务器进行实时监控,接收所述目标服务器的实时运行数据;
比较模块,用于将所述实时运行数据与设定阈值进行比较;
防御模块,用于当所述实时运行数据超过设定阈值时,启动防御程序;
告警模块,用于当所述实时运行数据超过设定阈值时,对用户进行攻击告警。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的CC攻击防御方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的CC攻击防御方法。
相比于相关技术,本申请实施例提供的CC攻击防御方法、装置、计算机设备和存储介质,通过对目标服务器进行实时监控;接收所述目标服务器的实时运行数据;将所述实时运行数据与设定阈值进行比较;当所述实时运行数据超过设定阈值时,启动防御程序;当所述实时运行数据超过设定阈值时,对用户进行攻击告警的方式,更为快速合理的监控服务器的异常,并且迅速启动防御,在服务器受到攻击的第一时间就做出反应,大大减少干预时间,防止攻击对服务器造成更大的破坏,并且对用户进行攻击告警,通过人工复核避免误判,反应速度快,安全性较高。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明一实施例的CC攻击防御方法的流程示意图;
图2为本发明一实施例的CC攻击防御方法的防御触发过程的示意图;
图3为本发明一实施例的CC攻击防御方法的系统运行流程图;
图4为本发明一实施例的CC攻击防御装置的结构框图。
图5为本发明一实施例的计算机设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
CC(ChallengeCollapsar,挑战黑洞)攻击是DDOS攻击的一种类型,使用代理服务器向受害服务器发送大量貌似合法的请求。CC根据其工具命名,攻击者使用代理机制,利用众多广泛可用的免费代理服务器发动DDOS攻击。许多免费代理服务器支持匿名模式,这使追踪变得非常困难。
CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接,直至网络拥塞,正常的访问被中止。
请参阅图1,图1为本发明一实施例的CC攻击防御方法的流程示意图。
在本实施例中,CC攻击防御方法包括:
S101,对目标服务器进行实时监控,接收目标服务器的实时运行数据。
可以理解的,通过监控平台对目标服务器进行实时监控,监控目标服务器的运行状况,获取体现目标服务器运行状况的服务器的参数,即实时运行数据。
S102,将实时运行数据与设定阈值进行比较。
示例性地,设定阈值可以为目标服务器正常运行状态下的正常运行数据,也可以比正常运行数据高或低一定比例,可以根据实际情况进行设定。
S103,当实时运行数据超过设定阈值时,启动防御程序。
可以理解的,当实时运行数据超过设定阈值时,可以认为目标服务器已受到攻击,此时启动防御程序,可以马上对攻击做出反应,避免目标服务器受到更严重的损害。
S104,当实时运行数据超过设定阈值时,对用户进行攻击告警。
示例性地,将目标服务器遭受攻击的情况以及攻击详情通知预设用户,对其进行告警,用户进行人工复核,以避免误判。
上述CC攻击防御方法,通过对目标服务器进行实时监控;接收目标服务器的实时运行数据;将实时运行数据与设定阈值进行比较;当实时运行数据超过设定阈值时,启动防御程序;当实时运行数据超过设定阈值时,对用户进行攻击告警的方式,更为快速合理的监控服务器的异常,并且迅速启动防御,在服务器受到攻击的第一时间就做出反应,大大减少干预时间,防止攻击对服务器造成更大的破坏,并且对用户进行攻击告警,通过人工复核避免误判,反应速度快,安全性较高。
在另一个实施例中,对目标服务器进行实时监控包括:基于zabbix监控平台对目标服务器进行实时监控。可以理解的,在其他实施例中,可以采用其他监控平台对目标服务器进行实时监控,只需监控平台能对服务器进行监控,且能在预设条件满足时执行命令行操作即可。
zabbix是一个基于web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位并解决存在的各种问题。zabbix由2部分构成,zabbixserver与可选组件zabbix agent。zabbix server可以通过SNMP、zabbix agent、ping、端口监视等方法提供对远程服务器以及网络状态的监视、数据收集等功能,它可以运行在Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X等平台上。
在另一个实施例中,接收目标服务器的实时运行数据包括接收目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况。可以理解的,TCP连接数、web访问次数、中间件负载状况以及服务器负载状况均能体现目标服务器的运行状况。
TCP是面向连接的协议,TCP把连接作为最基本的抽象。每一条TCP连接唯一地被通信两端的两个端点所确定。在面向连接通信中,连接的建立和释放是必不可少的过程。TCP连接的建立采用客户服务器方式,主动发起连接建立的应用进程叫做客户,而被动等待连接的应用进程叫做服务器。TCP连接数过大时,极易在数据发送端或接收端造成严重拥塞。在极端拥塞情况下,大量并发TCP连接由于丢包过多而陷入超时重传状态,即TCP连接在一段时间内暂停发送数据包(默认值为200ms)。这将大幅降低TCP传输速率,并最终影响应用的整体通信性能。
示例性地,web访问次数可以直观的体现目标服务器受到数据流量访问的次数,当受到CC攻击时,web访问次数会急剧增加。可以理解的,将web访问次数进行统计,即可画出web访问曲线图,可以更直观的体现web访问次数的变化情况。
中间件是介于应用系统和系统软件之间的一类软件,它使用系统软件所提供的基础服务(功能),衔接网络上应用系统的各个部分或不同的应用,能够达到资源共享、功能共享的目的。目前,它并没有很严格的定义,但是普遍接受IDC的定义:中间件是一种独立的系统软件服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源,中间件位于客户机服务器的操作系统之上,管理计算资源和网络通信。从这个意义上可以用一个等式来表示中间件:中间件=平台+通信,这也就限定了只有用于分布式系统中才能叫中间件,同时也把它与支撑软件和实用软件区分开来。
在另一个实施例中,中间件可以为Nginx或HAProxy,监控中间件负载状况即监控他们的内存占用情况、请求处理能力、以及处理请求的延时时间等体现负载状况的参数。
Nginx是一款轻量级的Web服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like协议下发行。其特点是占有内存少,并发能力强。
HAProxy是一个使用C语言编写的自由及开放源代码软件,其特点为高可用性、负载均衡,提供基于TCP和HTTP的应用程序代理。HAProxy适用于负载较大的web站点,HAProxy可以支持数以万计的并发连接,并且它的运行模式使得它可以很简单安全的整合进当前的网络架构中,同时可以保护web服务器不被暴露到网络上。
服务器负载(load)是服务器的一个重要指标,直观反应了服务器当前的状态。在UNIX系统中,服务器负载是对当前CPU工作量的度量,被定义为特定时间间隔内运行队列中的平均线程数。服务器一段时间内的平均负载越低越好。负载过高会导致机器无法处理其他请求及操作,甚至导致死机。
在另一个实施例中,当目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况均超过设定阈值时,启动防御程序。可以理解的,当多个实时运行数据均超过设定阈值时,说明服务器受到CC攻击,此时启动防御程序,对攻击进行检测及防护。在其他实施例中,可以在某一个或某几个实时运行数据超过设定阈值时即启动防御程序,可以根据实际情况进行设定。
在另一个实施例中,设定阈值可以为目标服务器平稳运行的平均水平,也可以略高于或略低于平均水平,例如,可以在平均水平上增加10%-20%作为极限负载,可以根据实际情况进行设定。
在另一个实施例中,防御程序可以为防火墙,也可以为其他防御程序,只需在启动后能检测及防护CC攻击即可。
示例性的,对目标服务器安装开源的zabbix_agent客户端,监控目标服务器的实时情况,根据监控需要分为硬件监控和应用监控。根据历史监控运行数据来进行评估目标服务器平稳运行的负载,在平均水平上增加10%-20%作为极限负载。在确定监控阈值之后进行设置触发器,通过zabbix内置触发器进行设置,在监控数据超过设定阈值时,通过zabbix内置的动作设置模块进行触发防御,利用zabbix_agent在目标服务器执行命令行操作开启防御脚本,打开防火墙。
在另一个实施例中,对目标服务器进行实时监控,接收目标服务器的实时运行数据还包括:对访问目标服务器的终端的IP地址进行监控;获取每个IP地址对应的终端对目标服务器的访问次数。示例性的,zabbix监控平台可以通过api调用的方式获取监控数值,在目标服务器客户端增加一个调用zabbix接口的程序脚本,以对访问目标服务器的流量数据进行监控。
在另一个实施例中,当实时运行数据超过设定阈值时,启动防御程序还包括根据终端的访问次数进行排序;根据排序结果,由高到低对预设数量的终端对应的IP地址进行拉黑封禁。可以理解的,对目标服务器访问次数较多的流量数据以及终端可能为用于进行CC攻击的恶意流量,对其对应的IP地址进行拉黑封禁可以对目标服务器进行保护。具体地,获取流量数据以及终端对目标服务器的访问次数后,基于访问次数对流量数据以及终端进行统计和排序,将排名靠前的流量数据以及终端对应的IP地址启动防CC设置将其拉黑封禁,进行初步防护。同时利用agent端调用程序命令的形式在DDOS等设备上开启严格的规则防护。
在另一个实施例中,对用户进行攻击告警包括:通过语音和/或短信对用户进行攻击告警。可以理解的,在遇到攻击,触发防御动作之后会触发告警动作,利用在zabbix服务端增加的短信接口和语音接口将详细攻击详情发送给预设用户,用户在收到相关攻击详情和处理详情后进行检查,检查过程中进一步加固系统安全,检查防护是否生效。在其他实施例中,可以通过其他方式对用户进行告警。
请参阅图2,图2为本发明一实施例的CC攻击防御方法的防御触发过程的示意图。在本实施例中,通过zabbix监控平台设置zabbix监控,监控web服务器,并获取web服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况,并设置监控阈值,目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况未超过监控阈值时,zabbix监控平台不触发操作;目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况均超过监控阈值时,zabbix监控平台触发命令,执行动作指令,发送命令行到主机设备,此时,DDOS等安全设备接收动作指令,切换安全防御模式,提高安全防御等级,web服务器接收动作指令,执行防御CC脚本,执行异常访问拉黑程序,对CC攻击进行防护。同时,在DDOS等安全设备与zabbix监控平台以及zabbix监控平台与web服务器之间进行监控数据的传输。示例性的,安全设备的防护动作由ISP(在线系统编程)进行设置。
请参阅图3,图3为本发明一实施例的CC攻击防御方法的系统运行流程图。在本实施例中,通过zabbix监控平台设置zabbix监控,监控web服务器,并获取web服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况,并设置监控阈值,目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况未超过监控阈值时,zabbix监控平台不触发操作,目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况均超过监控阈值时,zabbix监控平台触发命令,执行动作指令,发送命令行到主机设备,此时,DDOS等安全设备接收动作指令,切换安全防御模式,提高安全防御等级,web服务器接收动作指令,执行防御CC脚本,执行异常访问拉黑程序,对CC攻击进行防护。同时,在DDOS等安全设备与zabbix监控平台以及zabbix监控平台与web服务器之间进行监控数据的传输。示例性的,安全设备的防护动作由ISP(在线系统编程)进行设置。zabbix监控平台触发命令,执行动作指令的同时,将告警通知发送给预设用户,即管理员,管理员对服务器以及安全设备的情况进行人工复核。
上述CC攻击防御方法,通过对目标服务器进行实时监控;接收目标服务器的实时运行数据;将实时运行数据与设定阈值进行比较;当实时运行数据超过设定阈值时,启动防御程序;当实时运行数据超过设定阈值时,对用户进行攻击告警的方式,更为快速合理的监控服务器的异常,并且迅速启动防御,在服务器受到攻击的第一时间就做出反应,大大减少干预时间,防止攻击对服务器造成更大的破坏,并且对用户进行攻击告警,通过人工复核避免误判,反应速度快,安全性较高。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例还提供了一种CC攻击防御装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请实施例的CC攻击防御装置的结构框图,如图4所示,该装置包括:
监控模块10,用于对目标服务器进行实时监控,接收目标服务器的实时运行数据。
监控模块10,还用于基于zabbix监控平台对目标服务器进行实时监控。
监控模块10,还用于接收目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况。
监控模块10,还用于:
对访问目标服务器的流量数据进行监控;
获取流量数据对目标服务器的访问次数。
比较模块20,用于将实时运行数据与设定阈值进行比较。
防御模块30,用于当实时运行数据超过设定阈值时,启动防御程序。
防御模块30,还用于当目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况均超过设定阈值时,启动防御程序。
防御模块30,还用于对访问次数超过设定阈值的流量数据对应的IP地址进行拉黑封禁。
告警模块40,用于当实时运行数据超过设定阈值时,对用户进行攻击告警。
告警模块40,还用于通过语音和/或短信对用户进行攻击告警。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例CC攻击防御方法可以由计算机设备来实现。图5为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器51以及存储有计算机程序指令的存储器52。
具体地,上述处理器51可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器52可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器52可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器52可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器52可在数据处理装置的内部或外部。在特定实施例中,存储器52是非易失性(Non-Volatile)存储器。在特定实施例中,存储器52包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器52可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器51所执行的可能的计算机程序指令。
处理器51通过读取并执行存储器52中存储的计算机程序指令,以实现上述实施例中的任意一种CC攻击防御方法。
在其中一些实施例中,计算机设备还可包括通信接口53和总线50。其中,如图5所示,处理器51、存储器52、通信接口53通过总线50连接并完成相互间的通信。
通信接口53用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口53还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线50包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线50包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线50可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线50可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以基于获取到的计算机程序指令,执行本申请实施例中的CC攻击防御方法,从而实现结合图1描述的CC攻击防御方法。
另外,结合上述实施例中的CC攻击防御方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种CC攻击防御方法。
上述CC攻击防御方法、装置、计算机设备和存储介质,通过对目标服务器进行实时监控;接收目标服务器的实时运行数据;将实时运行数据与设定阈值进行比较;当实时运行数据超过设定阈值时,启动防御程序;当实时运行数据超过设定阈值时,对用户进行攻击告警的方式,更为快速合理的监控服务器的异常,并且迅速启动防御,在服务器受到攻击的第一时间就做出反应,大大减少干预时间,防止攻击对服务器造成更大的破坏,并且对用户进行攻击告警,通过人工复核避免误判,反应速度快,安全性较高。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种CC攻击防御方法,用于防御服务器受到的CC攻击,其特征在于,包括:
对目标服务器进行实时监控,接收所述目标服务器的实时运行数据;
将所述实时运行数据与设定阈值进行比较;
当所述实时运行数据超过设定阈值时,启动防御程序;
当所述实时运行数据超过设定阈值时,对用户进行攻击告警。
2.根据权利要求1所述的CC攻击防御方法,其特征在于,所述对目标服务器进行实时监控包括:
基于zabbix监控平台对目标服务器进行实时监控。
3.根据权利要求1所述的CC攻击防御方法,其特征在于,所述接收所述目标服务器的实时运行数据包括:
接收所述目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况。
4.根据权利要求3所述的CC攻击防御方法,其特征在于,所述当所述实时运行数据超过设定阈值时,启动防御程序包括:
当所述目标服务器的TCP连接数、web访问次数、中间件负载状况以及服务器负载状况均超过设定阈值时,启动防御程序。
5.根据权利要求1所述的CC攻击防御方法,其特征在于,所述对目标服务器进行实时监控,接收所述目标服务器的实时运行数据还包括:
对访问所述目标服务器的终端的IP地址进行监控;
获取每个IP地址对应的终端对所述目标服务器的访问次数。
6.根据权利要求5所述的CC攻击防御方法,其特征在于,所述当所述实时运行数据超过设定阈值时,启动防御程序还包括:
根据所述终端的访问次数进行排序;
根据所述排序结果,由高到低对预设数量的终端对应的IP地址进行拉黑封禁。
7.根据权利要求1所述的CC攻击防御方法,其特征在于,所述对用户进行攻击告警包括:
通过语音和/或短信对用户进行攻击告警。
8.一种CC攻击防御装置,其特征在于,包括:
监控模块,用于对目标服务器进行实时监控,接收所述目标服务器的实时运行数据;
比较模块,用于将所述实时运行数据与设定阈值进行比较;
防御模块,用于当所述实时运行数据超过设定阈值时,启动防御程序;
告警模块,用于当所述实时运行数据超过设定阈值时,对用户进行攻击告警。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的CC攻击防御方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一项所述的CC攻击防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010897281.0A CN112039887A (zh) | 2020-08-31 | 2020-08-31 | Cc攻击防御方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010897281.0A CN112039887A (zh) | 2020-08-31 | 2020-08-31 | Cc攻击防御方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112039887A true CN112039887A (zh) | 2020-12-04 |
Family
ID=73586439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010897281.0A Pending CN112039887A (zh) | 2020-08-31 | 2020-08-31 | Cc攻击防御方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112039887A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112468508A (zh) * | 2020-12-07 | 2021-03-09 | 中国科学院上海高等研究院 | 多重主动安全隔离方法、系统以及终端 |
| CN113518064A (zh) * | 2021-03-23 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 |
| CN113660214A (zh) * | 2021-07-26 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 一种Web服务器的防护方法 |
| CN113779567A (zh) * | 2021-09-10 | 2021-12-10 | 哈尔滨工业大学 | 一种面向dpi缓存丢失攻击的防御方法、计算机及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101969445A (zh) * | 2010-11-03 | 2011-02-09 | 中国电信股份有限公司 | 防御DDoS和CC攻击的方法和装置 |
| US20160337397A1 (en) * | 2015-05-15 | 2016-11-17 | Alibaba Group Holding Limited | Method and device for defending against network attacks |
| CN107426230A (zh) * | 2017-08-03 | 2017-12-01 | 上海优刻得信息科技有限公司 | 服务器调度方法、装置、系统、存储介质及设备 |
| CN110048888A (zh) * | 2019-04-16 | 2019-07-23 | 深圳市致宸信息科技有限公司 | 一种基于zabbix监控告警的方法、服务器、设备及存储介质 |
-
2020
- 2020-08-31 CN CN202010897281.0A patent/CN112039887A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101969445A (zh) * | 2010-11-03 | 2011-02-09 | 中国电信股份有限公司 | 防御DDoS和CC攻击的方法和装置 |
| US20160337397A1 (en) * | 2015-05-15 | 2016-11-17 | Alibaba Group Holding Limited | Method and device for defending against network attacks |
| CN107426230A (zh) * | 2017-08-03 | 2017-12-01 | 上海优刻得信息科技有限公司 | 服务器调度方法、装置、系统、存储介质及设备 |
| CN110048888A (zh) * | 2019-04-16 | 2019-07-23 | 深圳市致宸信息科技有限公司 | 一种基于zabbix监控告警的方法、服务器、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 于滨等: "基于Zabbix的分布式数字化监控系统设计与实现", 《信息通信技术》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112468508A (zh) * | 2020-12-07 | 2021-03-09 | 中国科学院上海高等研究院 | 多重主动安全隔离方法、系统以及终端 |
| CN113518064A (zh) * | 2021-03-23 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 |
| CN113518064B (zh) * | 2021-03-23 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 |
| CN113660214A (zh) * | 2021-07-26 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 一种Web服务器的防护方法 |
| CN113660214B (zh) * | 2021-07-26 | 2023-02-28 | 杭州安恒信息技术股份有限公司 | 一种Web服务器的防护方法 |
| CN113779567A (zh) * | 2021-09-10 | 2021-12-10 | 哈尔滨工业大学 | 一种面向dpi缓存丢失攻击的防御方法、计算机及存储介质 |
| CN113779567B (zh) * | 2021-09-10 | 2022-09-13 | 哈尔滨工业大学 | 一种面向dpi缓存丢失攻击的防御方法、计算机及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112039887A (zh) | Cc攻击防御方法、装置、计算机设备和存储介质 | |
| US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
| US10771501B2 (en) | DDoS attack defense method, system, and related device | |
| TWI294726B (zh) | ||
| US8856913B2 (en) | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
| US9847970B1 (en) | Dynamic traffic regulation | |
| CN111800401A (zh) | 业务报文的防护方法、装置、系统和计算机设备 | |
| CN112583850B (zh) | 网络攻击防护方法、装置及系统 | |
| CN110213204B (zh) | 攻击防护方法及装置、设备及可读存储介质 | |
| CN110719256A (zh) | 一种ip分片攻击防御方法、装置和网络攻击防御设备 | |
| CN103685315A (zh) | 一种防御拒绝服务攻击的方法及系统 | |
| CN108667829B (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
| CN114465742A (zh) | 网络安全防护方法以及防护设备 | |
| CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
| CN107547561B (zh) | 一种进行ddos攻击防护处理的方法及装置 | |
| CN111131337B (zh) | UDP Flood攻击的检测方法及装置 | |
| CN107395550B (zh) | 一种网络攻击的防御方法及服务器 | |
| CN117411711A (zh) | 一种入侵检测防御系统的威胁阻断方法 | |
| CN112738110A (zh) | 一种旁路阻断方法、装置、电子设备和存储介质 | |
| WO2015018200A1 (zh) | 防火墙设备中检测引擎的升级方法及装置 | |
| CN113765914B (zh) | Cc攻击防护方法、系统、计算机设备及可读存储介质 | |
| WO2007122495A2 (en) | A framework for protecting resource-constrained network devices from denial-of-service attacks | |
| JP3560552B2 (ja) | サーバへのフラッド攻撃を防止する方法及び装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201204 |