專利名稱:防御DDoS和CC攻擊的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域���,特別地�,涉及一種防御DDoS和CC攻擊的方法和裝置�����。
背景技術(shù):
隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種分布式拒絕服務(wù)攻擊(Distributed Denial of Service, DDoS)黑客工具的不斷發(fā)布���,DDoS攻擊事件正在成上升趨勢�。商業(yè) 競爭����、打擊報復(fù)和網(wǎng)絡(luò)敲詐等多種因素導(dǎo)致很多互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center, IDC)托管機房、商業(yè)站點���、游戲服務(wù)器����、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長期以來一直被DDoS攻擊 所困擾��,隨之而來的是客戶投訴����、同虛擬主機用戶受牽連����、法律糾紛�、商業(yè)損失等一系列問 題,因此�����,解決DDoS攻擊問題成為網(wǎng)絡(luò)服務(wù)商必須考慮的頭等大事�。目前對于DDoS的防范沒有特別行之有效的辦法,主要靠平時維護和掃描來對抗�。 簡單的通過軟件防范的效果非常不明顯,在所有的防御措施中硬件安防設(shè)施(硬件防火 墻)是最有效的����,但是硬件防火墻也無法杜絕所有攻擊,僅僅能起到降低攻擊級別的效果����, DDoS攻擊只能被減弱,無法被徹底消除��。CC攻擊(Connections Flood)模擬多個用戶不停的進行訪問需要服務(wù)器進行大 量數(shù)據(jù)操作的頁面��,最終耗盡服務(wù)器資源,達到攻擊目的���。CC攻擊是一般硬件防火墻很難 防住的�����,因為cc攻擊的IP地址都是真實的,分散的����;CC攻擊的數(shù)據(jù)包都是正常的數(shù)據(jù)包; CC攻擊的請求�����,全都是有效的請求�����,無法拒絕的請求����。因此,只單純憑借硬件或是軟件很難 達到良好的防御攻擊效果��,需要一種將硬件和軟件結(jié)合起來,并能有效防御各種DDoS及CC 攻擊的防護方式���。另外�,當(dāng)前的防護方式對所保護的服務(wù)器缺乏針對性����,通常難以最大限度地使服 務(wù)器資源投入使用。
發(fā)明內(nèi)容
本發(fā)明要解決的一個技術(shù)問題是提供一種防御DDoS和CC攻擊的方法和裝置�����,能 夠使所保護的服務(wù)器免受DDoS和CC的攻擊�����。根據(jù)本發(fā)明的一方面�����,提出了一種防御DDoS和CC攻擊的方法�,包括利用網(wǎng)絡(luò)爬蟲 到需要保護的服務(wù)器中收集服務(wù)器的處理信息;將收集到的服務(wù)器的處理信息記錄到與服 務(wù)器相連的網(wǎng)關(guān)設(shè)備中���;根據(jù)服務(wù)器的處理信息配置DDoS和CC的攻擊防護策略����;利用配 置的DDoS和CC的攻擊防護策略使服務(wù)器免受DDoS和CC的攻擊。根據(jù)本發(fā)明方法的一個實施例���,服務(wù)器的處理信息包括服務(wù)器中每部分資源被訪 問時所消耗的資源�、服務(wù)器中每部分資源被訪問時所需要的處理時間以及服務(wù)器能支持的 連接數(shù)����。根據(jù)本發(fā)明方法的另一實施例����,利用配置的DDoS和CC的攻擊防護策略使服務(wù)器 免受DDoS和CC的攻擊的步驟包括實時檢測并分析用戶訪問服務(wù)器時的HTTP流量中的信 息;利用DDoS和CC的攻擊防護策略和HTTP流量中的信息判斷服務(wù)器是否遭受攻擊����;如果遭受攻擊,則拒絕接受用戶對服務(wù)器的訪問����。根據(jù)本發(fā)明方法的又一實施例,DDoS和CC的攻擊防護策略至少包括設(shè)定訪問流 量閾值和連接數(shù)閾值中的一個�。根據(jù)本發(fā)明的另一方面,還提出了一種防御DDoS和CC攻擊的裝置�����,包括信息收 集模塊,用于利用網(wǎng)絡(luò)爬蟲到需要保護的服務(wù)器中收集服務(wù)器的處理信息��;信息記錄模塊���, 與信息收集模塊相連�����,用于將收集到的服務(wù)器的處理信息記錄到與服務(wù)器相連的網(wǎng)關(guān)設(shè)備 中���;策略配置模塊,與信息記錄模塊相連����,用于根據(jù)服務(wù)器的處理信息配置DDoS和CC的攻 擊防護策略;攻擊判斷模塊���,與策略配置模塊相連����,用于利用配置的DDoS和CC的攻擊防護 策略使服務(wù)器免受DDoS和CC的攻擊���。根據(jù)本發(fā)明裝置的一個實施例���,服務(wù)器的處理信息包括服務(wù)器中每部分資源被訪 問時所消耗的資源��、服務(wù)器中每部分資源被訪問時所需要的處理時間以及服務(wù)器能支持的 連接數(shù)��。根據(jù)本發(fā)明裝置的另一實施例���,攻擊判斷模塊包括檢測單元,用于實時檢測并分 析用戶訪問服務(wù)器時的HTTP流量中的信息�;判斷單元�����,與檢測單元相連�,用于利用DDoS和 CC的攻擊防護策略和HTTP流量中的信息判斷服務(wù)器是否遭受攻擊;處理單元�����,與判斷單元 相連�����,用于在遭受攻擊的情況下拒絕接受用戶對服務(wù)器的訪問。根據(jù)本發(fā)明裝置的又一實施例���,DDoS和CC的攻擊防護策略至少包括設(shè)定訪問流 量閾值和連接數(shù)閾值中的一個�����。本發(fā)明提供的防御DDoS和CC攻擊的方法和裝置����,能夠使用網(wǎng)絡(luò)爬蟲對所保護的 服務(wù)器進行詳盡的資源分析����,根據(jù)分析結(jié)果及安全策略對DDoS和CC的攻擊進行防御,比傳 統(tǒng)的防護方式更為精準(zhǔn)和智能��。另外��,本發(fā)明還能為所保護的服務(wù)器量身定做安全防護策 略��,不但可以更好地進行DDoS和CC攻擊防護�,還可以充分利用服務(wù)器的資源。
此處所說明的附圖用來提供對本發(fā)明的進一步理解����,構(gòu)成本申請的一部分����。在附 圖中圖1是本發(fā)明方法的一個實施例的流程示意圖���。圖2是本發(fā)明利用網(wǎng)絡(luò)爬蟲收集服務(wù)器信息以實現(xiàn)防御DDoS和CC攻擊的組網(wǎng)示意圖���。圖3是本發(fā)明方法的再一實施例的流程示意圖。圖4是本發(fā)明裝置的一個實施例的結(jié)構(gòu)示意圖�。圖5是本發(fā)明裝置的另一實施例的結(jié)構(gòu)示意圖。
具體實施例方式下面參照附圖對本發(fā)明進行更全面的描述��,其中說明本發(fā)明的示例性實施例�。本 發(fā)明的示例性實施例及其說明用于解釋本發(fā)明,但并不構(gòu)成對本發(fā)明的不當(dāng)限定�。以下對至少一個示例性實施例的描述實際上僅僅是說明性的,決不作為對本發(fā)明 及其應(yīng)用或使用的任何限制����。圖1是本發(fā)明方法的一個實施例的流程示意圖�。
圖2是本發(fā)明利用網(wǎng)絡(luò)爬蟲收集服務(wù)器信息以實現(xiàn)防御DDoS和CC攻擊的組網(wǎng)示意圖。如圖1和圖2所示�,該實施例可以包括以下步驟S102,利用網(wǎng)絡(luò)爬蟲到需要保護的服務(wù)器中收集服務(wù)器的處理信息��,例如,在爬蟲 服務(wù)和網(wǎng)關(guān)設(shè)備所管轄的網(wǎng)絡(luò)范圍中使用網(wǎng)絡(luò)爬蟲模擬客戶端訪問服務(wù)器資源�����,針對服務(wù) 器上每一部分資源記錄被訪問時消耗的資源和處理時間����,記錄服務(wù)器所支持的最大連接數(shù) ^fn 息;S104���,將收集到的服務(wù)器的處理信息記錄到與服務(wù)器相連的網(wǎng)關(guān)設(shè)備中�����;S106��,根據(jù)服務(wù)器的處理信息配置DDoS和CC的攻擊防護策略��;S108�,利用配置的DDoS和CC的攻擊防護策略使服務(wù)器免受DDoS和CC的攻擊�����,即, 根據(jù)預(yù)先配置的DDoS及CC攻擊防護策略����,實時檢測并分析用戶HTTP流量中的信息,通過 服務(wù)器連接數(shù)及訪問各部分資源所消耗的資源及處理時間并結(jié)合網(wǎng)關(guān)設(shè)備本身防DDoS功 能判定服務(wù)器是否遭受攻擊��,在未遭受攻擊時響應(yīng)或在遭受攻擊時拒絕用戶請求����,以防御 DDoS及CC的攻擊。該實施例能夠利用網(wǎng)絡(luò)爬蟲獲取服務(wù)器響應(yīng)用戶訪問的相關(guān)信息���,并將分析結(jié)果 保存在網(wǎng)關(guān)設(shè)備中���,根據(jù)設(shè)備中配置的安全策略,防御DDoS及CC攻擊���,以保護服務(wù)器的安全�����。在本發(fā)明方法的另一實施例中,服務(wù)器的處理信息可以包括服務(wù)器中每部分資源 被訪問時所消耗的資源��、服務(wù)器中每部分資源被訪問時所需要的處理時間以及服務(wù)器所能 支持的最大連接數(shù)等。在本發(fā)明方法的又一實施例中�,利用配置的DDoS和CC的攻擊防護策略使服務(wù)器 免受DDoS和CC的攻擊的步驟可以包括實時檢測并分析用戶訪問服務(wù)器時的HTTP流量中的信息;利用DDoS和CC的攻擊 防護策略和HTTP流量中的信息判斷服務(wù)器是否遭受攻擊��;如果遭受攻擊�����,則拒絕接受用戶 對服務(wù)器的訪問���。舉例說明�,網(wǎng)關(guān)設(shè)備可以根據(jù)收集到的服務(wù)器的處理信息中的一個或多個設(shè)定閥 值(在當(dāng)前現(xiàn)網(wǎng)應(yīng)用中一般稍微比用戶的真實數(shù)據(jù)大些)�����,一旦超過閥值�����,就告警��,說明存 在攻擊的可能(當(dāng)然也存在用戶數(shù)據(jù)的突發(fā)�����,此時可能會產(chǎn)生誤報)。爬蟲服務(wù)可以實時獲 得服務(wù)器資源的使用情況���,即時發(fā)出告警信息�,由網(wǎng)關(guān)設(shè)備來完成具體的攻擊防護工作�。在當(dāng)前的現(xiàn)網(wǎng)應(yīng)用中,設(shè)置的閥值示例可以為保護目標(biāo)A的流量為500M�,保護目 標(biāo)B的流量為200M,保護目標(biāo)C的最大連接數(shù)為200 (例如�����,200個用戶請求)��,這些值的設(shè) 定沒有具體的量化依據(jù)����,所以存在誤報(設(shè)置小了)、漏報(設(shè)置大了)的可能性很大����,而該 實施例就是針對每個保護目標(biāo)所設(shè)定的閥值盡可能和實際應(yīng)用相結(jié)合,做到更為精準(zhǔn)和智 能�����,可以最大限度的使用服務(wù)器的資源��。在本發(fā)明方法的再一實施例中���,DDoS和CC的攻擊防護策略至少包括設(shè)定訪問流 量閾值和連接數(shù)閾值中的一個����。圖3是本發(fā)明方法的再一實施例的流程示意圖�����。如圖3所示�,可以包括以下步驟S202,爬蟲服務(wù)器可以定制任務(wù)�����,模擬客戶端訪問被保護服務(wù)器的服務(wù)(例如���,WEB服務(wù)等)���,訪問策略可以定制,例如���,訪問目標(biāo)網(wǎng)站的鏈接嵌套層次等��;S204��,根據(jù)訪問的反饋結(jié)果���,例如���,響應(yīng)時間、目標(biāo)網(wǎng)絡(luò)連接數(shù)限制(例如����,可以通 過系統(tǒng)調(diào)用獲得系統(tǒng)級和應(yīng)用級(例如,IIS���、SQL等)的最大連接數(shù))�、目標(biāo)系統(tǒng)資源情況 (CPU���、內(nèi)存等)���、每個訪問資源消耗等,爬蟲服務(wù)器記錄反饋結(jié)果����;S206����,爬蟲服務(wù)器將所收集到的被保護服務(wù)器的處理信息記錄在網(wǎng)關(guān)設(shè)備(例 如���,IPS、FW等)中��,網(wǎng)關(guān)設(shè)備根據(jù)記錄的這些信息(可以針對每個被保護的目標(biāo))配置DDoS 及CC的攻擊防護策略(S卩�����,閥值)�����,進而提供針對每一服務(wù)器��、資源的攻擊防護服務(wù)����。其中,攻擊防護策略可以是針對DDoS/CC攻擊所設(shè)定的閥值�,可以是流量和/或連
接數(shù)等��。圖4是本發(fā)明裝置的一個實施例的結(jié)構(gòu)示意圖�。如圖4所示�,該實施例的裝置可以包括信息收集模塊11,用于利用網(wǎng)絡(luò)爬蟲到需要保護的服務(wù)器中收集服務(wù)器的處理信 息����;信息記錄模塊12,與信息收集模塊11相連���,用于將收集到的服務(wù)器的處理信息記 錄到與服務(wù)器相連的網(wǎng)關(guān)設(shè)備中�����;策略配置模塊13���,與信息記錄模塊11相連,用于根據(jù)服務(wù)器的處理信息配置DDoS 和CC的攻擊防護策略����;攻擊判斷模塊14,與策略配置模塊13相連�,用于利用配置的DDoS和CC的攻擊防 護策略使服務(wù)器免受DDoS和CC的攻擊?�?蛇x地,服務(wù)器的處理信息可以包括服務(wù)器中每部分資源被訪問時所消耗的資 源�����、服務(wù)器中每部分資源被訪問時所需要的處理時間以及服務(wù)器能支持的連接數(shù)�。圖5是本發(fā)明裝置的另一實施例的結(jié)構(gòu)示意圖。如圖5所示���,與圖4中的實施例相比,該實施例的裝置中的攻擊判斷模塊21可以 包括檢測單元211���,用于實時檢測并分析用戶訪問服務(wù)器時的HTTP流量中的信息�����;判斷單元212�����,與檢測單元211相連��,用于利用DDoS和CC的攻擊防護策略和HTTP 流量中的信息判斷服務(wù)器是否遭受攻擊�����;處理單元213���,與判斷單元212相連��,用于在遭受攻擊的情況下拒絕接受用戶對服 務(wù)器的訪問����?���?蛇x地,DDoS和CC的攻擊防護策略至少包括設(shè)定訪問流量閾值和連接數(shù)閾值中 的一個��。本發(fā)明可以應(yīng)用于網(wǎng)絡(luò)上各種類型的服務(wù)器�,包括虛擬服務(wù)器。本發(fā)明與傳統(tǒng)的防御DDoS和CC攻擊方法和裝置相比����,具有以下有益效果(1)很多傳統(tǒng)的安全防護只能防御以高流量無用數(shù)據(jù)或大量TCP連接請求等方 式進行的DDoS攻擊,對于來自真實IP且為正常請求的CC攻擊不能有效防御�����,而本發(fā)明對 DDoS和CC的攻擊都可以有效防御。(2)本發(fā)明使用網(wǎng)絡(luò)爬蟲對需要保護的服務(wù)器進行詳盡的資源分析�,根據(jù)分析結(jié) 果及安全策略進行防御,比傳統(tǒng)的防護方式更為精準(zhǔn)和智能���,可以最大限度的使用服務(wù)器 的資源����。
(3)傳統(tǒng)安全防護使用通用設(shè)置���,對所保護的服務(wù)器缺乏針對性��,而且用戶較難獲 知服務(wù)器的弱點�����,而本發(fā)明可以向用戶提供詳盡的服務(wù)器資源分析,協(xié)助用戶找到服務(wù)器 的短板�。(4)本發(fā)明在現(xiàn)有設(shè)備攻擊防護硬件基礎(chǔ)上加入對服務(wù)器的資源分析,以防御 DDoS和CC攻擊���,改變了單純依靠硬件或軟件進行攻擊防護的傳統(tǒng)方式���。雖然已經(jīng)通過示例對本發(fā)明的一些特定實施例進行了詳細說明,但是本領(lǐng)域的技 術(shù)人員應(yīng)該理解,以上示例僅是為了進行說明���,而不是為了限制本發(fā)明的范圍��。本領(lǐng)域的技 術(shù)人員應(yīng)該理解�����,可在不脫離本發(fā)明的范圍和精神的情況下���,對以上實施例進行修改。本發(fā) 明的范圍由所附權(quán)利要求來限定�。
權(quán)利要求
一種防御DDoS和CC攻擊的方法,其特征在于�,包括利用網(wǎng)絡(luò)爬蟲到需要保護的服務(wù)器中收集服務(wù)器的處理信息;將收集到的所述服務(wù)器的處理信息記錄到與所述服務(wù)器相連的網(wǎng)關(guān)設(shè)備中����;根據(jù)所述服務(wù)器的處理信息配置DDoS和CC的攻擊防護策略;利用配置的所述DDoS和CC的攻擊防護策略使所述服務(wù)器免受DDoS和CC的攻擊�����。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于,所述服務(wù)器的處理信息包括所述服務(wù)器 中每部分資源被訪問時所消耗的資源��、所述服務(wù)器中每部分資源被訪問時所需要的處理時 間以及所述服務(wù)器能支持的連接數(shù)����。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述利用配置的所述DDoS和CC的攻擊防 護策略使所述服務(wù)器免受DDoS和CC的攻擊的步驟包括實時檢測并分析用戶訪問所述服務(wù)器時的HTTP流量中的信息; 利用所述DDoS和CC的攻擊防護策略和所述HTTP流量中的信息判斷所述服務(wù)器是否 遭受攻擊����;如果遭受攻擊,則拒絕接受所述用戶對所述服務(wù)器的訪問����。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,所述DDoS和CC的攻擊防護策略至少包括 設(shè)定訪問流量閾值和連接數(shù)閾值中的一個���。
5.一種防御DDoS和CC攻擊的裝置�����,其特征在于�����,包括信息收集模塊�����,用于利用網(wǎng)絡(luò)爬蟲到需要保護的服務(wù)器中收集服務(wù)器的處理信息��; 信息記錄模塊����,與所述信息收集模塊相連����,用于將收集到的所述服務(wù)器的處理信息記 錄到與所述服務(wù)器相連的網(wǎng)關(guān)設(shè)備中;策略配置模塊�����,與所述信息記錄模塊相連,用于根據(jù)所述服務(wù)器的處理信息配置DDoS 和CC的攻擊防護策略�����;攻擊判斷模塊���,與所述策略配置模塊相連�,用于利用配置的所述DDoS和CC的攻擊防護 策略使所述服務(wù)器免受DDoS和CC的攻擊�����。
6.根據(jù)權(quán)利要求5所述的裝置����,其特征在于,所述服務(wù)器的處理信息包括所述服務(wù)器 中每部分資源被訪問時所消耗的資源���、所述服務(wù)器中每部分資源被訪問時所需要的處理時 間以及所述服務(wù)器能支持的連接數(shù)����。
7.根據(jù)權(quán)利要求5所述的裝置�,其特征在于,所述攻擊判斷模塊包括檢測單元���,用于實時檢測并分析用戶訪問所述服務(wù)器時的HTTP流量中的信息�; 判斷單元����,與所述檢測單元相連,用于利用所述DDoS和CC的攻擊防護策略和所述HTTP 流量中的信息判斷所述服務(wù)器是否遭受攻擊�����;處理單元�����,與所述判斷單元相連���,用于在遭受攻擊的情況下拒絕接受所述用戶對所述 服務(wù)器的訪問��。
8.根據(jù)權(quán)利要求5所述的裝置�,其特征在于���,所述DDoS和CC的攻擊防護策略至少包括 設(shè)定訪問流量閾值和連接數(shù)閾值中的一個�����。
全文摘要
本發(fā)明公開了一種防御DDoS和CC攻擊的方法和裝置�。其中,該方法包括利用網(wǎng)絡(luò)爬蟲到需要保護的服務(wù)器中收集服務(wù)器的處理信息����;將收集到的服務(wù)器的處理信息記錄到與服務(wù)器相連的網(wǎng)關(guān)設(shè)備中;根據(jù)服務(wù)器的處理信息配置DDoS和CC的攻擊防護策略����;利用配置的DDoS和CC的攻擊防護策略使服務(wù)器免受DDoS和CC的攻擊。本發(fā)明能夠使用網(wǎng)絡(luò)爬蟲對所保護的服務(wù)器進行詳盡的資源分析���,根據(jù)分析結(jié)果及安全策略對DDoS和CC的攻擊進行防御����,比傳統(tǒng)的防護方式更為精準(zhǔn)和智能�。另外,本發(fā)明還能為所保護的服務(wù)器量身定做安全防護策略�����,不但可以更好地進行DDoS和CC攻擊防護,還可以充分利用服務(wù)器的資源����。
文檔編號H04L29/06GK101969445SQ20101053003
公開日2011年2月9日 申請日期2010年11月3日 優(yōu)先權(quán)日2010年11月3日
發(fā)明者張連營 申請人:中國電信股份有限公司