基于nginx的检测及防护CC攻击的系统及方法技术方案

本公开涉及一种基于nginx的检测及防护CC攻击的系统及方法，该系统包括：响应慢日志增加模块，用于在nginx处增加响应慢日志，响应慢日志的信息项构成包括日志类型、客户端ip、url、host、refer、user

System and method of detecting and protecting CC attack based on nginx

【技术实现步骤摘要】
基于nginx的检测及防护CC攻击的系统及方法


[0001]本公开涉及网络安全
，具体而言，涉及一种基于nginx的检测及防护CC攻击的系统及方法。

技术介绍

[0002]CC全称为Challenge Collapsar，意为“挑战黑洞”，是应用层DDOS(分布式拒绝服务)的一种。CC攻击通过模拟大量用户连续访问需要消耗大量服务器资源的页面(如访问数据库应用或需要进行大量统计的应用)，导致Web服务器和数据库服务器的CPU、IO利用率飙升，直至服务器资源被耗尽，无法再对正常的Web服务请求进行响应，形成拒绝服务攻击。由于CC攻击模拟的是正常用户访问，以少数僵尸机即可引发目标服务器的性能瘫痪，阻断正常用户访问，因此CC攻击具有很强的伪装性，难以被检测发现，传统安全防御方法不能有效抵御CC攻击。
[0003]在传统安全防御方法中，可对所有的请求源ip进行统计并计算其请求速率，进而对源ip(即配置黑白名单)进行限制，对源ip的连接数进行限制。但如今大多数CC攻击通常是通过大量傀儡机对被攻击的服务器发起请求，当被控制的傀儡机达到一定数量时，傀儡机发起请求的ip可各不相同，导致黑白名单策略很难奏效。此外，当傀儡机ip发送请求数不超过ip连接数阀值时，设置ip连接数阀值策略也很容易被绕过；当傀儡机ip的请求速率低于请求速率阀值且发向各网站的各个url的请求速率不固定时，设置一个适合网站内所有url的ip请求速率阈值是不现实的。
[0004]由于CC攻击时的用户请求数据量非常大，导致提取攻击特征比较困难，故而无法通过分析CC攻击特征，进而在防火墙设备上配置符合攻击特征的ip黑名单策略阻断其对网站的访问。
[0005]在传统安全防御方法中，还可采用token的方式进行防护。具体而言，为每个访问者定义一个token，保存在cookies中。用户访问时，必须要带有正确的token才可以访问服务器。客户端如果是一个正常的浏览器，那么就会支持http头中的set cookie和302重定向指令，将带上正确的token再次访问页面，服务器检测到正确的token，就会放行。用户后续的http请求都会带有这个token，可以正常访问页面。但采用token的方式需要对站点服务器进行改造，修改业务代码，增加了维护成本。同时，由于CC攻击访问的是需要消耗大量服务器资源的页面，但其本身只需要通过控制少量服务器，因此部分CC攻击支持设置cookie，这样也就检测不出来。
[0006]因此，需要一种可以快速检测出CC攻击、不需要DDOS防护设备、成本低的基于nginx的检测及防护CC攻击的系统及方法。

技术实现思路

[0007]有鉴于此，本公开提供一种基于nginx的检测及防护CC攻击的系统及方法。根据本公开的一方面，提出一种基于nginx的检测及防护CC攻击的系统，该系统包括：响应慢日志
增加模块，用于在nginx处增加响应慢日志，所述响应慢日志的信息项构成包括日志类型、客户端ip、url、host、refer、user
‑
agent、状态码、字节数、请求时间、请求响应时间差字段；nginx配置模块，用于配置请求响应时间差阈值及日志上传协议；响应慢日志生成模块，用于基于响应慢日志的信息项构成以及请求响应时间差阈值以将请求响应时间差超过请求响应时间差阈值的http请求生成响应慢日志；响应慢日志传输模块，用于将所述响应慢日志采用所述日志上传协议进行上传；CC攻击分析平台，用于实时接收所述响应慢日志，以及对所接收到的响应慢日志进行分析以检测出CC攻击ip，以将所述CC攻击ip下发至FW设备的黑名单中防护CC攻击。
[0008]根据本公开的基于nginx的检测及防护CC攻击的系统，其中，所述响应慢日志生成模块采用syslog生成响应慢日志。
[0009]根据本公开的基于nginx的检测及防护CC攻击的系统，其中，所述nginx配置模块配置日志上传协议为upd协议。
[0010]根据本公开的基于nginx的检测及防护CC攻击的系统，其中，所述CC攻击分析平台在对所接收到的响应慢日志进行分析时，所述CC攻击分析平台接收用户配置的单位时间内用户ip请求数阈值，并基于单位时间内用户ip请求数阈值检测出单位时间内用户ip请求数大于所述单位时间内用户ip请求数阈值的ip，若所述ip不在白名单内，则判断所述ip为CC攻击ip并将所述ip加入黑名单。
[0011]根据本公开的基于nginx的检测及防护CC攻击的系统，其中，所述CC攻击分析平台通过webservice或者restful接口调用所述FW设备的黑名单接口，将所述CC攻击ip加入所述FW设备的黑名单。
[0012]根据本公开的基于nginx的检测及防护CC攻击的系统，其还包括：所述CC攻击分析平台在对所接收到的响应慢日志进行分析时，计算单位时间内url响应时间并对所述单位时间内url响应时间进行排名。
[0013]根据本公开的基于nginx的检测及防护CC攻击的系统，其还包括：所述CC攻击分析平台在对所接收到的响应慢日志进行分析后，将响应慢日志、针对所述响应慢日志计算出的所述单位时间内用户ip请求数及其排名、所述单位时间内url响应时间及其排名进行数据的web可视化。
[0014]本公开的另一方面提供一种基于nginx的检测及防护CC攻击的方法，其包括：增加响应慢日志，所述响应慢日志的信息项构成包括日志类型、客户端ip、url、host、refer、user
‑
agent、状态码、字节数、请求时间、请求响应时间差字段；配置请求响应时间差阈值及日志上传协议；基于响应慢日志的信息项构成以及请求响应时间差阈值以将请求响应时间差超过请求响应时间差阈值的http请求生成响应慢日志；将所述响应慢日志采用所述日志上传协议进行上传；实时接收所述响应慢日志，以及对所接收到的响应慢日志进行分析以检测出CC攻击ip，以将所述CC攻击ip下发至FW设备的黑名单中防护CC攻击。
[0015]根据本公开的基于nginx的检测及防护CC攻击的方法，其中，在生成响应慢日志时，采用syslog生成响应慢日志。
[0016]根据本公开的基于nginx的检测及防护CC攻击的方法，其中，在配置日志上传协议时，配置日志上传协议为upd协议。
[0017]根据本公开的基于nginx的检测及防护CC攻击的方法，其中，在对所接收到的响应
慢日志进行分析时，接收用户配置的单位时间内用户ip请求数阈值，并基于单位时间内用户ip请求数阈值检测出单位时间内用户ip请求数大于所述单位时间内用户ip请求数阈值的ip，若所述ip不在白名单内，则判断所述ip为CC攻击ip并将所述ip加入黑名单。
[0018]根据本公开的基于nginx的检测及防护CC攻击烦人方法，其中，通过webservice或者restful接口调用所述FW设备的黑名单接口，将所述CC攻击ip加入所述FW设备的黑名单。
[0019]根据本公开的基于本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于nginx的检测及防护CC攻击的系统，其包括：响应慢日志增加模块，用于在nginx处增加响应慢日志，所述响应慢日志的信息项构成包括日志类型、客户端ip、url、host、refer、user
‑
agent、状态码、字节数、请求时间、请求响应时间差字段；nginx配置模块，用于配置请求响应时间差阈值及日志上传协议；响应慢日志生成模块，用于基于响应慢日志的信息项构成以及请求响应时间差阈值以将请求响应时间差超过请求响应时间差阈值的http请求生成响应慢日志；响应慢日志传输模块，用于将所述响应慢日志采用所述日志上传协议进行上传；CC攻击分析平台，用于实时接收所述响应慢日志，以及对所接收到的响应慢日志进行分析以检测出CC攻击ip，以将所述CC攻击ip下发至FW设备的黑名单中防护CC攻击。2.如权利要求1所述的基于nginx的检测及防护CC攻击的系统，其中，所述响应慢日志生成模块采用syslog生成响应慢日志。3.如权利要求1所述的基于nginx的检测及防护CC攻击的系统，其中，所述nginx配置模块配置日志上传协议为upd协议。4.如权利要求1所述的基于nginx的检测及防护CC攻击的系统，其中，所述CC攻击分析平台在对所接收到的响应慢日志进行分析时，所述CC攻击分析平台接收用户配置的单位时间内用户ip请求数阈值，并基于单位时间内用户ip请求数阈值检测出单位时间内用户ip请求数大于所述单位时间内用户ip请求数阈值的ip，若所述ip不在白名单内，则判断所述ip为CC攻击ip并将所述ip加入黑名单。5.如权利要求1所述的基于nginx的检测及防护CC攻击的系统，其中，所述CC攻击分析平台通过webservice或者restful接口调用所述FW设备的黑名单接口，将所述CC攻击ip加入所述FW设备的黑名单。6.如权利要求1所述的基于nginx的检测及防护CC攻击的系统，其还包括：所述CC攻击分析平台在对所接收到的响应慢日志进行分析时，计算单位时间内url响应时间并对所述单位时间内url响应时间进行排名。7.如权利要求6所述的基于nginx的检测及防护CC攻击的系统，其还包括：所述CC攻击分析平台在对所接收到的响应慢日志进行分析后，将响应慢日志、针对所述响应慢日志计算出的...

【专利技术属性】
技术研发人员：汪庆权，李志，林俊龙，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：