本发明专利技术涉及计算机网络技术学科中网络安全领域,特别涉及一种HTTP Get Flood攻击的防护方法。针对攻击源IP数量较多时现有技术对CC攻击防护效果较差的问题,本发明专利技术提供了一种HTTP Get Flood攻击的防护方法,能够针对CC攻击中的HTTP Get Flood攻击提供效果更优的防护。通过分析随机抓取的网络数据包中请求IP是否含Proxy服务特征,计算其为攻击源IP的概率,结合其回馈响应的情况,判定该IP是否为HTTP Get Flood攻击的攻击源IP,对攻击源IP进行阻断。本发明专利技术设计简洁,易于实施,与现有的各类服务器均具有良好的适配性,具有广阔的应用和推广前景。
【技术实现步骤摘要】
本专利技术涉及计算机网络技术学科中网络安全领域,特别涉及一种HTTP Get Flood攻击的防护方法。
技术介绍
近年来中国网络规模呈现膨胀式增长,随着网络活动,特别是网络电商的活跃,网络交互发展迅速。而与此同时,针对网络的攻击形式也在巨大的利益推动下开始向新的方向改变。目前,CC(Challenge Collapsar)攻击已经成为一种被广泛使用的典型攻击方式,由于其实施的技术难度较低并且攻击效果显著,CC攻击已经发展成为网络安全领域中的一种常见攻击方式。CC攻击的前身为Fatboy攻击,属于DDoS(Distribution Denial of Service分布式拒绝服务,简称DDoS)攻击中的一种。CC攻击以网站页面为主要攻击目标,能够藏匿真实的攻击源IP,借助代理服务器生成指向目标服务器的合法请求,在流量上不会产生异常的大流量数据,但却能造成服务器无法正常连接。CC攻击的攻击原理来源于著名的木桶理论,即一个木桶所能容纳水的最大容量不是由木桶最高的地方决定的,而是由木桶最低的地方决定的。CC攻击就是借鉴了木桶理论,在对服务器发起攻击时,攻击者常常向服务器请求需要占用其较多资源开销的应用,例如访问需要占用服务器大量CPU资源进行运算的页面或者请求需要频繁访问数据库的应用。基于以上因素,CC攻击的目标通常为网站服务器中需要动态生成的页面和需要访问数据库资源的页面,例如asp、jsp和php等类型文件的页面资源。攻击者主要通过控制大量僵尸主机或代理服务器,由僵尸主机或代理服务器自动向服务器发送页面访问请求。当使用具有一定规模的僵尸僵尸主机或代理服务器进行CC攻击时,将会对服务器页面造成巨大的访问流量,可导致服务器瘫痪,同时整个攻击过程模拟了正常客户端访问互联网资源所发送的合法数据包,具有较强的隐蔽性。CC攻击主要有2种攻击方式,即HTTP Get Flood(超文本传输协议泛洪)攻击和链接耗尽型攻击。目前,常见的CC攻击防护依靠防火墙,通过对访问服务器的单个IP连接数进行控制来限制CC攻击,在发起CC攻击的IP数量较多的情况下依靠防火墙限制或阻止CC攻击的效果较差。
技术实现思路
针对攻击源IP数量较多时现有技术对CC攻击防护效果较差的问题,本专利技术提供了一种HTTP Get Flood攻击的防护方法,能够针对CC攻击中的HTTP Get Flood攻击提供效果更优的防护。本专利技术的技术方案为:一种HTTP Get Flood攻击的防护方法,其特征在于包括以下步骤:(a)抓取网络数据包;(b)对所述网络数据包进行HTTP协议解码,得到请求访问服务器的请求IP;HTTP即Hyper Text Transfer Protocol超文本传输协议,是目前互联网上应用最为广泛的协议之一;(c)检测所述请求IP是否含有Proxy服务的特征字符;Proxy服务即代理服务,包含Proxy服务特征字符的请求多为代理服务器发送的恶意请求,其请求IP多为HTTP Get Flood攻击的攻击源IP。(d)若步骤(c)中所述请求IP含有Proxy服务的特征字符,执行步骤(d1)~(d3); (d1)向步骤(d)中所述请求IP发送响应请求,并要求步骤(d)中所述请求IP回馈; (d2)若步骤(d)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(d)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a); (d3)若步骤(d)中所述请求IP回馈符合要求的回馈响应,返回步骤(a); (e)若步骤(c)中所述请求IP不含Proxy服务的特征字符,计算所述请求IP为HTTP Get Flood攻击的攻击源IP的概率,执行步骤(e1)~(e3); (e1)若步骤(e)中所述概率小于阈值,返回步骤(a); (e2)若步骤(e)中所述概率大于等于阈值,向步骤(e)中所述请求IP发送响应请求,并要求步骤(e)中所述请求IP回馈; (e3)若步骤(e2)中所述请求IP回馈符合要求的回馈响应,返回步骤(a); (e4)若步骤(e2)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(e2)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a)。具体的,步骤(c)中所述Proxy服务的特征字符包括X_FORWARDED_FOR、VIA、CLIENT_IP、XONNECTION和XROXY_CONNECTION。具体的,步骤(e)中所述概率根据服务器的历史统计计算。具体的,步骤(e1)~(e2)中所述阈值由服务器工作参数判定,所述服务器工作参数包括服务器性能和服务器正常业务流量。具体的,步骤(d1)中所述响应请求为带有tag标记的响应请求。具体的,步骤(e2)中所述响应请求为带有tag标记的响应请求。本专利技术的有益效果:1、执行本专利技术技术方案步骤(a)~(e4)能够识别并阻断HTTP Get Flood攻击的IP,实现针对HTTP Get Flood攻击的防护;2、本专利技术技术方案步骤(a)~(e4)针对随机抓取的网络数据包中所有请求IP进行分析和计算以判定其是否为HTTP Get Flood攻击的攻击源IP,即使发起HTTP Get Flood攻击的IP数量较多,也能够逐一识别并阻断攻击源IP;3、步骤(e)中所述概率根据服务器的历史统计计算得出,针对性强、可靠性高,有利于提高针对HTTP Get Flood攻击的防护效果;4、依据服务器工作参数,包括服务器性能和服务器正常业务流量设定阈值,能够满足不同服务器针对HTTP Get Flood攻击的防护要求;5、步骤(d2)和步骤(e2)中向请求IP发送的带有tag标记的响应请求能够判断该IP是否为恶意攻击者。本专利技术设计简洁,易于实施,与各类服务器均具有良好的适配性,具有广阔的应用和推广前景。附图说明图1为本专利技术的流程图。具体实施方式下面结合附图对本专利技术作进一步说明。参照图1,本实施例中针对HTTP Get Flood攻击的防护过程包括:(a)抓取网络数据包;(b)对网络数据包进行HTTP协议解码,得到请求访问服务器的请求IP;HTTP即Hyper Text Transfer Protocol超文本传输协议,是目前互联网上应用最为广泛的协议之一;(c)检测请求IP是否含有X_FORWARDED_FOR、VIA、CLIENT_IP、XONNECTION和XROXY_CONNECTION等Proxy服务的特征字符;Proxy服务即代理服务,包含Proxy服务特征字符的请求多为代理服务器发送的恶意请求,其请求IP多为HTTP Get Flood攻击的攻击源IP。(d)若步骤(c)中请求IP含有Proxy服务的特征字符,执行步骤(d1)~(d3); (d1)向步骤(d)中请求IP本文档来自技高网...
【技术保护点】
一种HTTP Get Flood攻击的防护方法,其特征在于包括以下步骤:(a)抓取网络数据包;(b)对所述网络数据包进行HTTP协议解码,得到请求访问服务器的请求IP;(c)检测所述请求IP是否含有Proxy服务的特征字符;(d)若步骤(c)中所述请求IP含有Proxy服务的特征字符,执行步骤(d1)~(d3);(d1)向步骤(d)中所述请求IP发送响应请求,并要求步骤(d)中所述请求IP回馈;(d2)若步骤(d)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(d)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a);(d3)若步骤(d)中所述请求IP回馈符合要求的回馈响应,返回步骤(a);(e)若步骤(c)中所述请求IP不含Proxy服务的特征字符,计算所述请求IP为HTTP Get Flood攻击的攻击源IP的概率,执行步骤(e1)~(e3);(e1)若步骤(e)中所述概率小于阈值,返回步骤(a);(e2)若步骤(e)中所述概率大于等于阈值,向步骤(e)中所述请求IP发送响应请求,并要求步骤(e)中所述请求IP回馈;(e3)若步骤(e2)中所述请求IP回馈符合要求的回馈响应,返回步骤(a);(e4)若步骤(e2)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(e2)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a)。...
【技术特征摘要】
1.一种HTTP Get Flood攻击的防护方法,其特征在于包括以下步骤:
(a)抓取网络数据包;
(b)对所述网络数据包进行HTTP协议解码,得到请求访问服务器的请求IP;
(c)检测所述请求IP是否含有Proxy服务的特征字符;
(d)若步骤(c)中所述请求IP含有Proxy服务的特征字符,执行步骤(d1)~(d3);
(d1)向步骤(d)中所述请求IP发送响应请求,并要求步骤(d)中所述请求IP回馈;
(d2)若步骤(d)中所述请求IP未回馈符合要求的回馈响应,则判定步骤(d)中所述请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a);
(d3)若步骤(d)中所述请求IP回馈符合要求的回馈响应,返回步骤(a);
(e)若步骤(c)中所述请求IP不含Proxy服务的特征字符,计算所述请求IP为HTTP Get Flood攻击的攻击源IP的概率,执行步骤(e1)~(e3);
(e1)若步骤(e)中所述概率小于阈值,返回步骤(a);
(e2)若步骤(e)中所述概率大于等于阈值,向步骤(e)中所述请求IP发送响应请求,并要求步骤(e)中所述请求IP回馈;
(e3)若步骤(e2)中所述请求IP回...
【专利技术属性】
技术研发人员:左晓军,董立勉,陈泽,侯波涛,卢宁,郗波,张君艳,常杰,王颖,董娜,刘伟娜,王春璞,刘惠颖,
申请(专利权)人:河北省电力建设调整试验所,
类型:发明
国别省市:河北;13
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。