通過(guò)增加客戶(hù)端資源需求來(lái)限制拒絕服務(wù)攻擊的效力的制作方法
【專(zhuān)利摘要】一種設(shè)備,可以檢測(cè)攻擊。該設(shè)備可以從客戶(hù)端設(shè)備接收對(duì)資源的請(qǐng)求。該設(shè)備可以基于檢測(cè)該攻擊來(lái)確定待被提供給客戶(hù)端設(shè)備的計(jì)算開(kāi)銷(xiāo)問(wèn)題,其中計(jì)算開(kāi)銷(xiāo)問(wèn)題需要由客戶(hù)端設(shè)備來(lái)解決計(jì)算開(kāi)銷(xiāo)問(wèn)題的計(jì)算。該設(shè)備可以通知客戶(hù)端設(shè)備提供計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案。該設(shè)備可以從客戶(hù)端設(shè)備接收對(duì)計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案,該設(shè)備可以基于該解決方案來(lái)向客戶(hù)端設(shè)備選擇性地提供對(duì)資源的訪(fǎng)問(wèn)。
【專(zhuān)利說(shuō)明】通過(guò)增加客戶(hù)端資源需求來(lái)限制拒絕服務(wù)攻擊的效力
【背景技術(shù)】
[0001]拒絕服務(wù)(DoS)攻擊是一種使得目標(biāo)設(shè)備諸如服務(wù)器、路由器或其他網(wǎng)絡(luò)資源對(duì)于該目標(biāo)設(shè)備的預(yù)期用戶(hù)而言不可用的企圖。分布式拒絕服務(wù)(DDoS)攻擊是一種多于一次地使用源設(shè)備和/或位置來(lái)攻擊目標(biāo)設(shè)備的DoS攻擊。一種通常的攻擊方法涉及使用很多外部通信請(qǐng)求來(lái)使目標(biāo)設(shè)備飽和,以使得目標(biāo)設(shè)備不能對(duì)正當(dāng)?shù)耐ㄐ胚M(jìn)行響應(yīng),或者響應(yīng)得如此慢以至于致使其本質(zhì)上不可用。DDoS攻擊可以使用僵尸網(wǎng)絡(luò)來(lái)實(shí)現(xiàn),其中攻擊者使用病毒代碼來(lái)感染大量計(jì)算設(shè)備,并且通知這些計(jì)算設(shè)備向目標(biāo)設(shè)備發(fā)送通信請(qǐng)求。
【發(fā)明內(nèi)容】
[0002]根據(jù)一些可能的實(shí)現(xiàn),一種設(shè)備可以包括被配置成進(jìn)行以下操作的一個(gè)或多個(gè)處理器:檢測(cè)拒絕服務(wù)攻擊;從客戶(hù)端設(shè)備接收用于對(duì)資源進(jìn)行訪(fǎng)問(wèn)請(qǐng)求;基于請(qǐng)求以及另外基于檢測(cè)拒絕服務(wù)攻擊來(lái)確定待被提供給客戶(hù)端設(shè)備的計(jì)算開(kāi)銷(xiāo)問(wèn)題;向客戶(hù)端設(shè)備提供計(jì)算開(kāi)銷(xiāo)問(wèn)題,該計(jì)算開(kāi)銷(xiāo)問(wèn)題被提供以使客戶(hù)端設(shè)備解決該計(jì)算開(kāi)銷(xiāo)問(wèn)題;從客戶(hù)端設(shè)備接收對(duì)計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案;以及基于該解決方案來(lái)授權(quán)或拒絕客戶(hù)端設(shè)備對(duì)資源進(jìn)行訪(fǎng)問(wèn)。
[0003]根據(jù)一些可能的實(shí)現(xiàn),一種計(jì)算機(jī)可讀介質(zhì)可以存儲(chǔ)在由一個(gè)或多個(gè)處理器執(zhí)行時(shí)使一個(gè)或多個(gè)處理器進(jìn)行以下操作的一個(gè)或多個(gè)指令:檢測(cè)攻擊;從客戶(hù)端設(shè)備接收對(duì)資源的請(qǐng)求;基于檢測(cè)攻擊來(lái)確定待被提供給客戶(hù)端設(shè)備的計(jì)算開(kāi)銷(xiāo)問(wèn)題,其中計(jì)算開(kāi)銷(xiāo)問(wèn)題需要由客戶(hù)端設(shè)備來(lái)解決計(jì)算開(kāi)銷(xiāo)問(wèn)題的計(jì)算;通知客戶(hù)端設(shè)備提供計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案;從客戶(hù)端設(shè)備接收對(duì)計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案;以及基于解決方案向客戶(hù)端設(shè)備選擇性地提供對(duì)資源進(jìn)行訪(fǎng)問(wèn)。
[0004]根據(jù)一些可能的實(shí)現(xiàn),一種方法可以包括:由安全設(shè)備檢測(cè)拒絕服務(wù)攻擊;由該安全設(shè)備從客戶(hù)端設(shè)備接收請(qǐng)求;由該安全設(shè)備基于檢測(cè)拒絕服務(wù)攻擊來(lái)確定待被提供給客戶(hù)端設(shè)備的計(jì)算開(kāi)銷(xiāo)問(wèn)題;由該安全設(shè)備確定使客戶(hù)端設(shè)備解決計(jì)算開(kāi)銷(xiāo)問(wèn)題的代碼;由該安全設(shè)備通知客戶(hù)端設(shè)備執(zhí)行代碼,該代碼使客戶(hù)端設(shè)備生成計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案;由該安全設(shè)備從客戶(hù)端設(shè)備接收解決方案;以及由該安全設(shè)備基于該解決方案向客戶(hù)端設(shè)備提供對(duì)請(qǐng)求的響應(yīng)。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0005]圖1是本文中所描述的示例實(shí)現(xiàn)的概述的圖;
[0006]圖2是本文中所描述的系統(tǒng)和/或方法可以被實(shí)現(xiàn)于其中的示例環(huán)境的圖;
[0007]圖3是圖2的一個(gè)或多個(gè)設(shè)備的示例部件的圖;
[0008]圖4是用于通過(guò)增加客戶(hù)端資源需求來(lái)限制DoS攻擊的效力的示例過(guò)程的流程圖;以及
[0009]圖5A至5E是與圖4所示的示例過(guò)程有關(guān)的示例實(shí)現(xiàn)的圖。
【具體實(shí)施方式】
[0010]對(duì)以下示例實(shí)現(xiàn)的詳細(xì)描述參考附圖。不同附圖中的相同的附圖標(biāo)記可以標(biāo)識(shí)相同的或相似的元素。
[0011]攻擊者諸如黑客可以使用拒絕服務(wù)(DoS)攻擊諸如分布式拒絕服務(wù)(DDoS)攻擊(例如來(lái)自多于一個(gè)客戶(hù)端設(shè)備的DoS攻擊),以企圖使得網(wǎng)絡(luò)設(shè)備對(duì)于網(wǎng)絡(luò)設(shè)備的預(yù)期用戶(hù)而言不可用,或者以降低網(wǎng)絡(luò)設(shè)備對(duì)來(lái)自用戶(hù)的請(qǐng)求進(jìn)行響應(yīng)的可用性。例如,攻擊者可以使用僵尸網(wǎng)絡(luò)來(lái)使大量客戶(hù)端設(shè)備向網(wǎng)絡(luò)設(shè)備發(fā)送請(qǐng)求。網(wǎng)絡(luò)設(shè)備可能被大量請(qǐng)求所壓垮,這可能降低網(wǎng)絡(luò)設(shè)備對(duì)正當(dāng)請(qǐng)求進(jìn)行響應(yīng)的能力。利用僵尸網(wǎng)絡(luò)的DoS攻擊對(duì)于客戶(hù)端設(shè)備與網(wǎng)絡(luò)設(shè)備相比可能計(jì)算開(kāi)銷(xiāo)不高。例如,與網(wǎng)絡(luò)設(shè)備對(duì)請(qǐng)求進(jìn)行響應(yīng)所需要的存儲(chǔ)器和/或處理能力的量相比,客戶(hù)端設(shè)備生成和發(fā)送請(qǐng)求可能需要較少的存儲(chǔ)器和/或處理能力。本文中所描述的實(shí)現(xiàn)可以通過(guò)增加客戶(hù)端設(shè)備向網(wǎng)絡(luò)設(shè)備發(fā)送請(qǐng)求所需要的計(jì)算開(kāi)銷(xiāo)來(lái)降低DoS攻擊的效力。
[0012]圖1是本文中所描述的示例實(shí)現(xiàn)100的概述的圖。如圖1所示,作為在客戶(hù)端設(shè)備與網(wǎng)絡(luò)設(shè)備(其是DoS攻擊的目標(biāo))之間的中間設(shè)備的安全設(shè)備可以從客戶(hù)端設(shè)備接收大量請(qǐng)求。安全設(shè)備可以通過(guò)諸如檢測(cè)接收到的大量請(qǐng)求滿(mǎn)足閾值(例如,每秒多于100,000個(gè)請(qǐng)求)來(lái)檢測(cè)網(wǎng)絡(luò)設(shè)備遭遇DoS攻擊。如圖1另外所示,在安全設(shè)備確定網(wǎng)絡(luò)設(shè)備遭遇DoS攻擊之后,安全設(shè)備可以從(例如旨在用于網(wǎng)絡(luò)設(shè)備的)客戶(hù)端設(shè)備接收附加請(qǐng)求。安全設(shè)備可以基于接收該請(qǐng)求來(lái)(例如使用代碼諸如HTML代碼、JavaScript等)向客戶(hù)端設(shè)備提供計(jì)算開(kāi)銷(xiāo)問(wèn)題。
[0013]計(jì)算開(kāi)銷(xiāo)問(wèn)題可以包括需要客戶(hù)端設(shè)備利用大量存儲(chǔ)器和/或處理能力來(lái)解決的問(wèn)題。一旦客戶(hù)端設(shè)備已經(jīng)解決了計(jì)算開(kāi)銷(xiāo)問(wèn)題,則客戶(hù)端設(shè)備可以向安全設(shè)備提供解決方案。安全設(shè)備可以確定解決方案是否正確。如果解決方案正確,則安全設(shè)備可以向客戶(hù)端設(shè)備提供在來(lái)自客戶(hù)端設(shè)備的請(qǐng)求中所請(qǐng)求的對(duì)網(wǎng)絡(luò)設(shè)備和/或資源的訪(fǎng)問(wèn)。如果解決方案不正確,則安全設(shè)備可以提供另一計(jì)算開(kāi)銷(xiāo)問(wèn)題,其可以被使得與先前提供的計(jì)算開(kāi)銷(xiāo)問(wèn)題相比較更困難。以這一方式,在DoS攻擊期間,安全設(shè)備可以通過(guò)要求客戶(hù)端設(shè)備在向網(wǎng)絡(luò)設(shè)備發(fā)送附加請(qǐng)求之前消耗大量計(jì)算資源來(lái)減慢DoS攻擊的速率。
[0014]圖2是本文中所描述的系統(tǒng)和/或方法可以被實(shí)現(xiàn)于其中的示例環(huán)境的圖。如圖2所示,環(huán)境200可以包括客戶(hù)端設(shè)備210、網(wǎng)絡(luò)設(shè)備220、安全設(shè)備230和網(wǎng)絡(luò)240。環(huán)境200的設(shè)備可以經(jīng)由有線(xiàn)連接、無(wú)線(xiàn)連接或者有線(xiàn)連接和無(wú)線(xiàn)連接的組合來(lái)交互。
[0015]客戶(hù)端設(shè)備210可以包括能夠通過(guò)網(wǎng)絡(luò)(例如,網(wǎng)絡(luò)240)來(lái)接收和/或提供信息、和/或能夠生成、存儲(chǔ)和/或處理通過(guò)網(wǎng)絡(luò)接收和/或提供的信息的一個(gè)或多個(gè)設(shè)備。例如,客戶(hù)端設(shè)備210可以包括計(jì)算設(shè)備諸如膝上型電腦、平板電腦、手持電腦、臺(tái)式電腦、移動(dòng)電話(huà)(例如,智能電話(huà)、無(wú)線(xiàn)電話(huà)等)、個(gè)人數(shù)字助理、服務(wù)器或類(lèi)似的設(shè)備??蛻?hù)端設(shè)備210可以(例如,經(jīng)由網(wǎng)絡(luò)240和/或安全設(shè)備230)從網(wǎng)絡(luò)設(shè)備220接收信息和/或向網(wǎng)絡(luò)設(shè)備220提供信息。在一些實(shí)現(xiàn)中,客戶(hù)端設(shè)備210可以包括用于諸如通過(guò)向網(wǎng)絡(luò)設(shè)備220發(fā)送請(qǐng)求(例如,HTTP請(qǐng)求)和/或從網(wǎng)絡(luò)設(shè)備220接收響應(yīng)(例如,HTTP響應(yīng))來(lái)與網(wǎng)絡(luò)設(shè)備220交互的瀏覽器。在一些實(shí)現(xiàn)中,來(lái)自客戶(hù)端設(shè)備210的請(qǐng)求可以在被發(fā)送至網(wǎng)絡(luò)設(shè)備220之前由安全設(shè)備230來(lái)處理。在一些實(shí)現(xiàn)中,客戶(hù)端設(shè)備210可以是僵尸網(wǎng)絡(luò)的一部分,僵尸網(wǎng)絡(luò)可以用于對(duì)網(wǎng)絡(luò)設(shè)備220執(zhí)行DoS攻擊。
[0016]網(wǎng)絡(luò)設(shè)備220可以包括能夠通過(guò)網(wǎng)絡(luò)(例如,網(wǎng)絡(luò)240)接收和/或提供信息、和/或能夠生成、存儲(chǔ)和/或處理通過(guò)網(wǎng)絡(luò)接收和/或處理的信息的一個(gè)或多個(gè)設(shè)備。例如,網(wǎng)絡(luò)設(shè)備220可以包括服務(wù)器(例如,應(yīng)用服務(wù)器、代理服務(wù)器、網(wǎng)絡(luò)服務(wù)器、主機(jī)服務(wù)器等)、業(yè)務(wù)傳輸設(shè)備(例如,路由器、集線(xiàn)器、橋接器、交換機(jī)等)等等。網(wǎng)絡(luò)設(shè)備220可以(例如,經(jīng)由網(wǎng)絡(luò)240和/或安全設(shè)備230)從客戶(hù)端設(shè)備210接收信息和/或向客戶(hù)端設(shè)備210提供信息。網(wǎng)絡(luò)設(shè)備220可以對(duì)從客戶(hù)端設(shè)備210接收的請(qǐng)求(例如,對(duì)資源的請(qǐng)求)進(jìn)行響應(yīng)。在一些實(shí)現(xiàn)中,來(lái)自網(wǎng)絡(luò)設(shè)備220的響應(yīng)可以在被發(fā)送至客戶(hù)端設(shè)備210之前由安全設(shè)備230來(lái)處理。
[0017]安全設(shè)備230可以包括能夠在客戶(hù)端設(shè)備210和網(wǎng)絡(luò)設(shè)備220之間處理和/或傳輸業(yè)務(wù)的一個(gè)或多個(gè)設(shè)備。例如,安全設(shè)備230可以包括網(wǎng)絡(luò)設(shè)備諸如反向代理、服務(wù)器(例如,代理服務(wù)器)、業(yè)務(wù)傳輸設(shè)備、網(wǎng)關(guān)、防火墻、路由器、橋接器、集線(xiàn)器、交換機(jī)、負(fù)載平衡器、入侵檢測(cè)設(shè)備等等。在一些實(shí)現(xiàn)中,安全設(shè)備230可以用作至網(wǎng)絡(luò)設(shè)備220的網(wǎng)關(guān)或者與例如專(zhuān)用網(wǎng)絡(luò)和/或數(shù)據(jù)中心關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備220的集合。安全設(shè)備230可以通過(guò)檢測(cè)來(lái)自客戶(hù)端設(shè)備210的DoS攻擊來(lái)保護(hù)網(wǎng)絡(luò)設(shè)備220免受客戶(hù)端設(shè)備210的攻擊。例如,在客戶(hù)端設(shè)備210可以向網(wǎng)絡(luò)設(shè)備220發(fā)送請(qǐng)求之前,從安全設(shè)備230發(fā)送給客戶(hù)端設(shè)備220的響應(yīng)可以使客戶(hù)端設(shè)備210執(zhí)行計(jì)算(例如,用以解決計(jì)算開(kāi)銷(xiāo)問(wèn)題的計(jì)算)。
[0018]網(wǎng)絡(luò)240可以包括一個(gè)或多個(gè)有線(xiàn)和/或無(wú)線(xiàn)網(wǎng)絡(luò)。例如,網(wǎng)絡(luò)240可以包括無(wú)線(xiàn)局域網(wǎng)(WLAN)、局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)、城域網(wǎng)(MAN)、電話(huà)網(wǎng)絡(luò)(例如,公共交換電話(huà)網(wǎng)絡(luò)(PSTN))、蜂窩網(wǎng)絡(luò)、陸上公用移動(dòng)網(wǎng)絡(luò)(PLMN)、自組織網(wǎng)絡(luò)、內(nèi)聯(lián)網(wǎng)、因特網(wǎng)、基于光纖的網(wǎng)絡(luò)或者這些或其他類(lèi)型的網(wǎng)絡(luò)的組合。
[0019]圖2所示的大量設(shè)備和網(wǎng)絡(luò)被提供作為示例。實(shí)際上,與圖2所示的這些相比,可以有額外的設(shè)備和/或網(wǎng)絡(luò)、較少的設(shè)備和/或網(wǎng)絡(luò)、不同的設(shè)備和/或網(wǎng)絡(luò)、或者不同地布置的設(shè)備和/或網(wǎng)絡(luò)。此外,圖2所示的兩個(gè)或多個(gè)設(shè)備可以在單個(gè)設(shè)備內(nèi)實(shí)現(xiàn),或者,圖2所示的單個(gè)設(shè)備可以被實(shí)現(xiàn)為多個(gè)、分布式設(shè)備。此外,環(huán)境200的設(shè)備中的一個(gè)或多個(gè)設(shè)備可以執(zhí)行如被描述為由環(huán)境200的一個(gè)或多個(gè)其他設(shè)備所執(zhí)行的一個(gè)或多個(gè)功能。
[0020]圖3為設(shè)備300的示例部件的圖,其可以對(duì)應(yīng)于客戶(hù)端設(shè)備210、網(wǎng)絡(luò)設(shè)備220、和/或安全設(shè)備230。在一些實(shí)現(xiàn)中,客戶(hù)端設(shè)備210網(wǎng)絡(luò)設(shè)備220、和/或安全設(shè)備230可以包括圖300的一個(gè)或多個(gè)設(shè)備和/或一個(gè)或多個(gè)部件。如圖3所示,設(shè)備300可以包括總線(xiàn)310、處理器320、存儲(chǔ)器330、輸入部件340、輸出部件350和通信接口 360。
[0021]總線(xiàn)310可以包括允許設(shè)備300的部件之間的通信的部件。處理器320可以包括解釋和/或執(zhí)行指令的處理器(例如,中央處理單元、圖形處理單元、加速處理單元)、微處理器、和/或處理部件(例如,現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)、專(zhuān)用集成電路(ASIC)等)。存儲(chǔ)器330可以包括存儲(chǔ)用于由處理器320來(lái)使用的信息和/或指令的隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)和/或其他類(lèi)型的動(dòng)態(tài)或靜態(tài)存儲(chǔ)設(shè)備(例如,閃存、磁性或光學(xué)存儲(chǔ)器)。
[0022]輸入部件340可以包括允許用戶(hù)向設(shè)備300輸入信息的部件(例如,觸摸屏顯示器、鍵盤(pán)、小鍵盤(pán)、鼠標(biāo)、按鈕、開(kāi)關(guān)等)。輸出部件350可以包括從設(shè)備300輸出信息的部件(例如,顯不器、揚(yáng)聲器、一個(gè)或多個(gè)發(fā)光二極管(LED)等)。
[0023]通信接口 360可以包括使得設(shè)備300能夠經(jīng)由諸如有線(xiàn)連接、無(wú)線(xiàn)連接或者有線(xiàn)連接和無(wú)線(xiàn)連接的組合來(lái)與其他設(shè)備通信的收發(fā)器類(lèi)部件,諸如收發(fā)器和/或單獨(dú)的接收器和發(fā)射器。例如,通信接口 360可以包括以太網(wǎng)接口、光學(xué)接口、同軸接口、紅外接口、射頻(RF)接口、通用串行總線(xiàn)(USB)接口、W1-Fi接口等等。
[0024]設(shè)備300可以執(zhí)行本文中所描述的一個(gè)或多個(gè)過(guò)程。設(shè)備300可以響應(yīng)于處理器320執(zhí)行計(jì)算機(jī)可讀介質(zhì)諸如存儲(chǔ)器330中所包括的軟件指令來(lái)執(zhí)行這些過(guò)程。計(jì)算機(jī)可讀介質(zhì)可以被限定為非暫態(tài)存儲(chǔ)器設(shè)備。存儲(chǔ)器設(shè)備可以包括在單個(gè)物理存儲(chǔ)設(shè)備內(nèi)的存儲(chǔ)器空間或者分布在多個(gè)物理存儲(chǔ)設(shè)備之間的存儲(chǔ)器空間。
[0025]軟件指令可以經(jīng)由通信接口 360從另一計(jì)算機(jī)可讀介質(zhì)或者從其他設(shè)備被讀入至330。在執(zhí)行時(shí),存儲(chǔ)器330中所存儲(chǔ)的軟件指令可以使處理器320執(zhí)行本文中所描述的一個(gè)或多個(gè)過(guò)程。附加地或者備選地,可以使用硬線(xiàn)電路系統(tǒng)來(lái)代替軟件指令,或者結(jié)合軟件指令來(lái)使用硬線(xiàn)電路,以執(zhí)行本文中所描述的一個(gè)或多個(gè)過(guò)程。因此,本文中所描述的實(shí)現(xiàn)不限于硬件電路和軟件的任何具體的組合。
[0026]圖3所示的大量部件被提供作為示例。實(shí)際上,與圖3所示的這些相比,設(shè)備300可以包括額外的部件、較少的部件、不同的部件、或者不同地布置的部件。
[0027]圖4是用于通過(guò)增加客戶(hù)端資源需求來(lái)限制DoS攻擊的效力的示例過(guò)程400的流程圖。在一些實(shí)現(xiàn)中,圖4的一個(gè)或多個(gè)處理塊可以由安全設(shè)備230來(lái)執(zhí)行。在一些實(shí)現(xiàn)中,圖4的一個(gè)或多個(gè)處理塊可以由另一設(shè)備或者與安全設(shè)備230分離的或包括安全設(shè)備230的設(shè)備的組諸如客戶(hù)端設(shè)備210和/或網(wǎng)絡(luò)設(shè)備220來(lái)執(zhí)行。
[0028]如圖4所示,過(guò)程400可以包括檢測(cè)拒絕服務(wù)攻擊(塊410)。例如,安全設(shè)備230可以檢測(cè)拒絕服務(wù)(DoS)攻擊諸如分布式拒絕服務(wù)攻擊(DDoS)。在一些實(shí)現(xiàn)中,安全設(shè)備230可以基于DoS度量(例如,業(yè)務(wù)測(cè)量、響應(yīng)時(shí)間測(cè)量、延遲測(cè)量等)來(lái)檢測(cè)DoS攻擊。例如,安全設(shè)備230可以確定在特定的時(shí)間段內(nèi)接收的請(qǐng)求的量滿(mǎn)足閾值(例如,多于每秒100,000個(gè)請(qǐng)求)。作為另一示例,安全設(shè)備230可以確定在接收請(qǐng)求與對(duì)請(qǐng)求進(jìn)行響應(yīng)之間的時(shí)間量滿(mǎn)足閾值(例如,網(wǎng)絡(luò)設(shè)備220對(duì)請(qǐng)求進(jìn)行響應(yīng)的時(shí)間大于500毫秒),確定用于對(duì)請(qǐng)求進(jìn)行響應(yīng)的平均時(shí)間量滿(mǎn)足閾值,等等。作為另一示例,安全設(shè)備230可以確定即將到來(lái)的業(yè)務(wù)是可疑的(例如,基于請(qǐng)求的類(lèi)型、請(qǐng)求的量、同一類(lèi)型的請(qǐng)求的量、與請(qǐng)求關(guān)聯(lián)的元數(shù)據(jù),基于業(yè)務(wù)和/或客戶(hù)端設(shè)備210匹配攻擊簽名,基于客戶(hù)端設(shè)備210被識(shí)別為在黑名單上,等等)。以上技術(shù)被提供作為示例,安全設(shè)備230可以使用其他技術(shù)和/或技術(shù)的組合來(lái)檢測(cè)DoS攻擊。
[0029]如圖4另外所示,過(guò)程400可以包括從客戶(hù)端設(shè)備接收請(qǐng)求(塊420)。例如,安全設(shè)備230可以在檢測(cè)DoS攻擊之后接收請(qǐng)求,和/或可以接收可疑的請(qǐng)求。該請(qǐng)求可以包括用于網(wǎng)絡(luò)設(shè)備220執(zhí)行一些處理和/或提供對(duì)請(qǐng)求的響應(yīng)的請(qǐng)求,并且該請(qǐng)求可以由安全設(shè)備230來(lái)解釋。例如,該請(qǐng)求可以包括對(duì)資源的請(qǐng)求,可以包括用于訪(fǎng)問(wèn)網(wǎng)絡(luò)設(shè)備220的請(qǐng)求,可以包括對(duì)由網(wǎng)絡(luò)設(shè)備210可訪(fǎng)問(wèn)的資源的請(qǐng)求,可以包括HTTP請(qǐng)求、文件傳輸協(xié)議(FTP)請(qǐng)求、傳輸控制協(xié)議(TCP)請(qǐng)求等。安全設(shè)備230可以從客戶(hù)端設(shè)備210接收請(qǐng)求。該請(qǐng)求可以是正當(dāng)?shù)恼?qǐng)求(例如,來(lái)自與網(wǎng)絡(luò)設(shè)備220關(guān)聯(lián)的預(yù)期用戶(hù)的請(qǐng)求)或者可以是可疑的請(qǐng)求(例如,旨在減慢網(wǎng)絡(luò)設(shè)備220和/或使得網(wǎng)絡(luò)設(shè)備220作為DoS攻擊的一部分不可用的請(qǐng)求)。
[0030]如圖4另外所示,過(guò)程400可以包括確定待被提供給客戶(hù)端設(shè)備的計(jì)算開(kāi)銷(xiāo)問(wèn)題(塊430)。例如,安全設(shè)備230可以確定待被提供給客戶(hù)端設(shè)備210的計(jì)算開(kāi)銷(xiāo)問(wèn)題。在一些實(shí)現(xiàn)中,計(jì)算開(kāi)銷(xiāo)問(wèn)題可以使用包括計(jì)算開(kāi)銷(xiāo)問(wèn)題的代碼(例如,計(jì)算機(jī)代碼、超文本標(biāo)記語(yǔ)言(HTML)代碼、腳本等)來(lái)提供,該包括計(jì)算開(kāi)銷(xiāo)問(wèn)題的代碼例如使客戶(hù)端設(shè)備210執(zhí)行計(jì)算開(kāi)銷(xiāo)問(wèn)題的代碼。計(jì)算開(kāi)銷(xiāo)問(wèn)題可以包括如下問(wèn)題,其需要大量計(jì)算資源(例如,滿(mǎn)足閾值的大量處理能力、存儲(chǔ)器等)來(lái)解決問(wèn)題。
[0031]在一些實(shí)現(xiàn)中,安全設(shè)備230可以確定是否提供計(jì)算開(kāi)銷(xiāo)問(wèn)題(例如,是否提供包括計(jì)算開(kāi)銷(xiāo)問(wèn)題的對(duì)請(qǐng)求的響應(yīng),或者是否提供不包括計(jì)算開(kāi)銷(xiāo)問(wèn)題的對(duì)請(qǐng)求的響應(yīng))O例如,安全設(shè)備230可以向特定百分比的客戶(hù)端設(shè)備210提供對(duì)特定百分比的請(qǐng)求的計(jì)算開(kāi)銷(xiāo)問(wèn)題,等等。在一些實(shí)現(xiàn)中,確定和/或百分比可以基于DoS度量(例如,在具體的時(shí)間段內(nèi)接收的請(qǐng)求的量、響應(yīng)時(shí)間等)。例如,安全設(shè)備230在DoS度量滿(mǎn)足第一閾值時(shí)可以提供計(jì)算開(kāi)銷(xiāo)問(wèn)題作為對(duì)第一百分比的請(qǐng)求的響應(yīng),而在DoS度量滿(mǎn)足第二閾值時(shí)可以提供計(jì)算開(kāi)銷(xiāo)問(wèn)題作為對(duì)第二百分比的請(qǐng)求的響應(yīng),等等。
[0032]在一些實(shí)現(xiàn)中,安全設(shè)備230可以基于請(qǐng)求的類(lèi)型來(lái)確定是否提供計(jì)算開(kāi)銷(xiāo)問(wèn)題。例如,安全設(shè)備230可以通過(guò)諸如將請(qǐng)求分類(lèi)為可疑的或正當(dāng)?shù)膩?lái)對(duì)請(qǐng)求進(jìn)行分類(lèi)。安全設(shè)備230可以向發(fā)送正當(dāng)請(qǐng)求的客戶(hù)端設(shè)備210提供沒(méi)有計(jì)算開(kāi)銷(xiāo)問(wèn)題的響應(yīng),并且可以向發(fā)送可疑請(qǐng)求的客戶(hù)端設(shè)備210提供包括計(jì)算開(kāi)銷(xiāo)問(wèn)題的響應(yīng)。
[0033]在一些實(shí)現(xiàn)中,安全設(shè)備230可以確定待被提供給客戶(hù)端設(shè)備210的計(jì)算開(kāi)銷(xiāo)問(wèn)題的類(lèi)型。計(jì)算開(kāi)銷(xiāo)問(wèn)題的類(lèi)型可以包括例如(例如要求客戶(hù)端設(shè)備210將大量信息存儲(chǔ)在存儲(chǔ)器中的存儲(chǔ)器密集型問(wèn)題)的存儲(chǔ)器密集型問(wèn)題、(例如要求客戶(hù)端設(shè)備210使用大量處理能力來(lái)解決問(wèn)題的處理密集型問(wèn)題)的處理密集型問(wèn)題、要求用戶(hù)輸入的問(wèn)題(例如,CAPTCHA問(wèn)題)、不要求用戶(hù)輸入的問(wèn)題、哈希準(zhǔn)則問(wèn)題(本文中其他地方描述)、哈希列表問(wèn)題(本文中其他地方描述)、和/或這些或其他類(lèi)型的問(wèn)題的組合。
[0034]安全設(shè)備230可以基于例如DoS度量(例如,與安全設(shè)備230、網(wǎng)絡(luò)設(shè)備220和/或客戶(hù)端設(shè)備210關(guān)聯(lián)的DoS度量)、從客戶(hù)端設(shè)備210接收的請(qǐng)求的種類(lèi)、客戶(hù)端設(shè)備210的簡(jiǎn)檔(例如,客戶(hù)端設(shè)備210是否呈現(xiàn)為與可疑的或正當(dāng)?shù)恼?qǐng)求關(guān)聯(lián)、客戶(hù)端設(shè)備210所使用的瀏覽器的類(lèi)型等)、與客戶(hù)端設(shè)備210關(guān)聯(lián)的請(qǐng)求歷史(例如,與客戶(hù)端設(shè)備210關(guān)聯(lián)的大量請(qǐng)求、與客戶(hù)端設(shè)備210關(guān)聯(lián)的大量重復(fù)請(qǐng)求、客戶(hù)端設(shè)備210是否先前已經(jīng)解決了計(jì)算開(kāi)銷(xiāo)問(wèn)題的指示、客戶(hù)端設(shè)備210是否先前已經(jīng)被授權(quán)或拒絕訪(fǎng)問(wèn)資源的指示等)等等。在一些實(shí)現(xiàn)中,安全設(shè)備230可以任意地確定待被提供給客戶(hù)端設(shè)備210的計(jì)算開(kāi)銷(xiāo)問(wèn)題的類(lèi)型(例如,通過(guò)從問(wèn)題列表中任意地選擇問(wèn)題)。
[0035]在一些實(shí)現(xiàn)中,可以使計(jì)算開(kāi)銷(xiāo)問(wèn)題與難度等級(jí)(例如,高、中、低;代表難度量表上的難度等級(jí)的值)關(guān)聯(lián),并且安全設(shè)備230可以確定待被提供給客戶(hù)端設(shè)備210的計(jì)算開(kāi)銷(xiāo)問(wèn)題的難度等級(jí)。難度等級(jí)可以基于例如解決問(wèn)題所需的存儲(chǔ)器的量、解決問(wèn)題所需的處理能力的量(例如,在特定的時(shí)間段)等等。安全設(shè)備230可以基于例如DoS度量、從客戶(hù)端設(shè)備210所接收的請(qǐng)求的請(qǐng)求種類(lèi)、客戶(hù)端設(shè)備210的簡(jiǎn)檔、與客戶(hù)端設(shè)備210關(guān)聯(lián)的請(qǐng)求歷史、特定的請(qǐng)求是可疑的和/或正當(dāng)?shù)恼?qǐng)求的概率等等來(lái)選擇難度等級(jí)。
[0036]如圖4另外所示,過(guò)程400可以包括向客戶(hù)端設(shè)備提供計(jì)算開(kāi)銷(xiāo)問(wèn)題(塊440),并且接收對(duì)計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案(塊450)。例如,安全設(shè)備230可以向客戶(hù)端設(shè)備210提供識(shí)別計(jì)算開(kāi)銷(xiāo)問(wèn)題的信息。計(jì)算開(kāi)銷(xiāo)問(wèn)題可以被提供作為代碼(例如,腳本、諸如JavaScript),并且代碼可以使客戶(hù)端設(shè)備210執(zhí)行計(jì)算開(kāi)銷(xiāo)問(wèn)題、和/或生成計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案。在一些實(shí)現(xiàn)中,安全設(shè)備230可以使代碼隨機(jī)化和/或使代碼混淆,以使得攻擊者難以檢測(cè)代碼。以這一方式,提供給第一客戶(hù)端設(shè)備210的代碼可以不同于提供給第二客戶(hù)端設(shè)備210的代碼(例如,即使代碼代表相同的計(jì)算開(kāi)銷(xiāo)問(wèn)題)。在一些實(shí)現(xiàn)中,代碼可以包括意圖錯(cuò)誤,并且這樣的錯(cuò)誤在解決方案中的出現(xiàn)可以由安全設(shè)備230來(lái)在驗(yàn)證解決方案時(shí)進(jìn)行驗(yàn)證。
[0037]附加地或者備選地,安全設(shè)備230可以提供使客戶(hù)端設(shè)備210經(jīng)由諸如網(wǎng)絡(luò)瀏覽器來(lái)提供用于顯示的信息(例如,“在網(wǎng)站被訪(fǎng)問(wèn)時(shí)請(qǐng)等待”)的代碼。客戶(hù)端設(shè)備210可以計(jì)算該計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案,并且可以將該解決方案提供給安全設(shè)備230。
[0038]作為示例,計(jì)算開(kāi)銷(xiāo)問(wèn)題可以包括哈希準(zhǔn)則問(wèn)題。哈希準(zhǔn)則問(wèn)題可以包括向客戶(hù)端設(shè)備210提供第一字符串(例如,隨機(jī)串),并且請(qǐng)求客戶(hù)端設(shè)備210確定第二字符串,其中第二字符串在被附接至第一串時(shí)產(chǎn)生所得串、在使用具體的哈希算法求哈希時(shí)生成滿(mǎn)足具體的準(zhǔn)則的哈希值。例如,準(zhǔn)則可以包括在哈希值中在哈希值的開(kāi)始處(例如,連續(xù)地)、在哈希值的結(jié)尾處(例如,連續(xù)地)、在哈希值的具體位置處(例如,在哈希值的中間)等的具體數(shù)量的零(和/或另一字符)。作為另一示例,準(zhǔn)則可以要求哈希值包括具體的字符串、具體量的字符、字符的具體組合(例如,連續(xù)地或者非連續(xù)地包括在哈希值中)等等。
[0039]以上哈希準(zhǔn)則問(wèn)題要求客戶(hù)端設(shè)備210重復(fù)地生成隨機(jī)串,將隨機(jī)串附接至第一串,并且確定所得串是否滿(mǎn)足準(zhǔn)則。當(dāng)所得串滿(mǎn)足準(zhǔn)則時(shí),客戶(hù)端設(shè)備210可以將第二串提供給安全設(shè)備230。安全設(shè)備230然后可以將第二串附接至第一串,可以給所得串應(yīng)用具體的哈希算法,并且可以確定所得串是否滿(mǎn)足準(zhǔn)則以驗(yàn)證解決方案。哈希算法可以包括例如安全哈希算法(SHA)(例如,SHA-O, SHA-U SHA-2、SHA-3等)、先進(jìn)的加密標(biāo)準(zhǔn)(AES)、RSA算法、消息摘要算法(例如,MD4、MD5等)等等。這樣的問(wèn)題需要大量計(jì)算資源(例如,處理能力)用于客戶(hù)端設(shè)備210解決問(wèn)題,同時(shí)需要大量計(jì)算資源用于安全設(shè)備230解決問(wèn)題,從而限制了 DoS攻擊的效力。
[0040]在一些實(shí)現(xiàn)中,安全設(shè)備230可以通過(guò)設(shè)置準(zhǔn)則(例如,需要哈希值中有不同量的字符,需要具體長(zhǎng)度的串等)來(lái)設(shè)置用于哈希準(zhǔn)則問(wèn)題的難度等級(jí)。例如,較低的難度等級(jí)可能需要哈希值在哈希值的結(jié)尾處包括四個(gè)零(例如,空值),而較高的難度等級(jí)可能需要哈希值在哈希值的結(jié)尾處包括六個(gè)零。
[0041]作為另一示例,計(jì)算開(kāi)銷(xiāo)問(wèn)題可以包括哈希列表問(wèn)題。哈希列表問(wèn)題可以包括向客戶(hù)端設(shè)備210提供第一字符串(例如,種子串)??蛻?hù)端設(shè)備210可以基于第一串生成串列表(例如,哈希值)。例如,客戶(hù)端設(shè)備210可以向第一串應(yīng)用哈希算法以生成第二串,可以向第二串應(yīng)用哈希算法以生成第三串等等直到大的哈希列表已經(jīng)由客戶(hù)端設(shè)備210產(chǎn)生并且存儲(chǔ)(例如,具有滿(mǎn)足閾值的大量哈希值諸如1,000個(gè)哈希值的哈希列表)。作為另一示例,客戶(hù)端設(shè)備210可以向哈希列表中的多個(gè)串應(yīng)用哈希算法以生成哈希列表中的下一串直到大的哈希列表被產(chǎn)生。附加地或者備選地,客戶(hù)端設(shè)備210可以向(例如,使用隨機(jī)數(shù)發(fā)生器生成的;使用偽隨機(jī)數(shù)發(fā)生器而基于種子值諸如第一串生成的;等等)一個(gè)或多個(gè)串以及一個(gè)或多個(gè)隨機(jī)值應(yīng)用哈希算法以生成大的哈希列表。
[0042]一旦客戶(hù)端設(shè)備210已經(jīng)生成哈希列表,則計(jì)算開(kāi)銷(xiāo)問(wèn)題可以要求客戶(hù)端設(shè)備210向哈希列表中所包括的串的不同組合應(yīng)用哈希算法,以使得哈希列表中的每個(gè)串必須以某種方式被應(yīng)用以確定最終串??蛻?hù)端設(shè)備210可以向安全設(shè)備230提供最終串,并且安全設(shè)備230可以比較最終串與解決方案(例如,存儲(chǔ)器中所存儲(chǔ)的解決方案)以確定問(wèn)題的解決方案(例如,最終串)是否被驗(yàn)證。這樣的問(wèn)題需要大量計(jì)算資源(例如,大量存儲(chǔ)器空間)用于客戶(hù)端設(shè)備210來(lái)解決問(wèn)題,而需要少量計(jì)算資源(例如,大量存儲(chǔ)器空間)用于安全設(shè)備230來(lái)解決問(wèn)題,從而限制了 DoS攻擊的效力。
[0043]作為示例,客戶(hù)端設(shè)備210可以根據(jù)種子串生成哈希值列表,其中每個(gè)哈希值為被附接以新的哈希值的索引(例如,并且使用哈希算法求哈希)的先前哈希值??蛻?hù)端設(shè)備210可以生成列表中的閾值數(shù)量的哈希值,諸如1,000個(gè)哈希值??蛻?hù)端設(shè)備210然后可以通過(guò)用哈希列表中的先前哈希值以及用生成的哈希值代替先前的哈希值,來(lái)對(duì)哈希列表中的最后哈希值進(jìn)行求哈希來(lái)向后遍歷哈希列表,客戶(hù)端設(shè)備210可以繼續(xù)這一過(guò)程直到已經(jīng)用新的第一哈希值替換了在最后的第一哈希值,并且可以向安全設(shè)備230提供新的第一哈希值作為解決方案。這一過(guò)程要求客戶(hù)端設(shè)備210將所有1,000個(gè)值存儲(chǔ)在存儲(chǔ)器中,否則,客戶(hù)端設(shè)備210將不能夠生成新的哈希值。
[0044]雖然本文中描述了哈希問(wèn)題,然而,哈希問(wèn)題僅是某種類(lèi)型的計(jì)算開(kāi)銷(xiāo)問(wèn)題的一個(gè)示例。在一些實(shí)現(xiàn)中,可以使用其他類(lèi)型的計(jì)算開(kāi)銷(xiāo)問(wèn)題。
[0045]在一些實(shí)現(xiàn)中,安全設(shè)備230可以通過(guò)設(shè)置需要由客戶(hù)端設(shè)備210來(lái)存儲(chǔ)和/或需要在最終串的確定時(shí)使用的串的數(shù)量來(lái)設(shè)置哈希列表問(wèn)題的難度等級(jí)。例如,較低的難度等級(jí)可能要求哈希列表包括10,000個(gè)串,而較高的難度等級(jí)可能要求哈希列表包括100,000 個(gè)串。
[0046]如圖4另外所示,過(guò)程400可以包括確定解決方案是否被驗(yàn)證(塊460)。例如,安全設(shè)備230可以從客戶(hù)端設(shè)備210接收解決方案,并且可以確定解決方案是否被驗(yàn)證。安全設(shè)備230可以確定解決方案是否通過(guò)例如對(duì)解決方案執(zhí)行計(jì)算(例如,如本文中結(jié)合哈希準(zhǔn)則問(wèn)題所描述的)和/或通過(guò)比較解決方案與存儲(chǔ)器中所存儲(chǔ)的值(例如,如本文中結(jié)合哈希列表問(wèn)題所描述的)而被驗(yàn)證。在一些實(shí)現(xiàn)中,安全設(shè)備230可以對(duì)關(guān)于是否驗(yàn)證解決方案而進(jìn)行隨機(jī)確定。例如,如果安全設(shè)備230正在經(jīng)歷攻擊,則安全設(shè)備230可以確定隨機(jī)地拒絕解決方案、具體百分比的解決方案等等。
[0047]在一些實(shí)現(xiàn)中,安全設(shè)備230可以確定是否基于自從計(jì)算開(kāi)銷(xiāo)問(wèn)題被提供給客戶(hù)端設(shè)備210以來(lái)已經(jīng)經(jīng)過(guò)的時(shí)間量來(lái)驗(yàn)證解決方案。例如,如果安全設(shè)備230在對(duì)于客戶(hù)端設(shè)備210實(shí)際上確定問(wèn)題的解決方案的非常短的時(shí)間跨度內(nèi)接收到解決方案(例如,攻擊者使用外部資源而非客戶(hù)端設(shè)備210來(lái)解決問(wèn)題),則安全設(shè)備230可以確定解決方案沒(méi)有被驗(yàn)證。
[0048]如圖4另外所示,如果解決方案沒(méi)有被驗(yàn)證(塊460為否),則過(guò)程400可以包括返回塊430以確定待被提供給客戶(hù)端設(shè)備210的另一計(jì)算開(kāi)銷(xiāo)問(wèn)題。附加地或者備選地,安全設(shè)備230可以基于確定解決方案沒(méi)有被驗(yàn)證來(lái)阻止客戶(hù)端設(shè)備210對(duì)資源(例如,所請(qǐng)求的資源,網(wǎng)絡(luò)設(shè)備220等)的訪(fǎng)問(wèn)。安全設(shè)備230可以持續(xù)阻止客戶(hù)端設(shè)備210訪(fǎng)問(wèn)資源直到安全設(shè)備230從客戶(hù)端設(shè)備210接收到計(jì)算開(kāi)銷(xiāo)問(wèn)題的正確的解決方案。
[0049]在一些實(shí)現(xiàn)中,安全設(shè)備230可以基于確定解決方案沒(méi)有被驗(yàn)證來(lái)向客戶(hù)端設(shè)備210提供相同的計(jì)算開(kāi)銷(xiāo)問(wèn)題。在這種情況下,安全設(shè)備230可以拒絕客戶(hù)端設(shè)備210訪(fǎng)問(wèn)資源(例如,網(wǎng)絡(luò)設(shè)備220)直到安全設(shè)備230從客戶(hù)端設(shè)備210接收到問(wèn)題的正確解決方案(例如,由安全設(shè)備230驗(yàn)證的解決方案)。在一些實(shí)現(xiàn)中,安全設(shè)備230可以基于確定解決方案沒(méi)有被驗(yàn)證來(lái)向客戶(hù)端設(shè)備210提供不同的計(jì)算開(kāi)銷(xiāo)問(wèn)題(例如,不同類(lèi)型的問(wèn)題、不同難度等級(jí)的問(wèn)題、不同的與問(wèn)題關(guān)聯(lián)的初始值、不同的與哈希列表問(wèn)題關(guān)聯(lián)的第一串、不同的與哈希準(zhǔn)則問(wèn)題關(guān)聯(lián)的隨機(jī)值等)。例如,當(dāng)客戶(hù)端設(shè)備210不能提供計(jì)算開(kāi)銷(xiāo)問(wèn)題的正確解決方案時(shí),安全設(shè)備230可以通過(guò)諸如以下操作來(lái)向客戶(hù)端設(shè)備210提供更困難的問(wèn)題:調(diào)整與問(wèn)題關(guān)聯(lián)的參數(shù)、要求更多處理能力和/或存儲(chǔ)器空間用于計(jì)算問(wèn)題的解決方案、提供多個(gè)問(wèn)題(例如,相同類(lèi)型或不同類(lèi)型的多個(gè)問(wèn)題)等。
[0050]如圖4另外所示,如果解決方案被驗(yàn)證(塊460為是),則過(guò)程400可以包括向客戶(hù)端設(shè)備提供響應(yīng)和驗(yàn)證cookie (塊470)。例如,安全設(shè)備230可以驗(yàn)證解決方案(例如,可以確定解決方案正確)。安全設(shè)備230可以授權(quán)對(duì)資源(例如,網(wǎng)絡(luò)設(shè)備220)的訪(fǎng)問(wèn)和/或可以基于驗(yàn)證解決方案來(lái)向客戶(hù)端設(shè)備210提供響應(yīng)。響應(yīng)可以包括對(duì)從客戶(hù)端設(shè)備210接收的請(qǐng)求的響應(yīng)(例如,由客戶(hù)端設(shè)備210請(qǐng)求的并且由網(wǎng)絡(luò)設(shè)備220提供的資源)。在一些實(shí)現(xiàn)中,安全設(shè)備230可以在響應(yīng)中提供驗(yàn)證指示符諸如驗(yàn)證cookie。驗(yàn)證cookie可以包括由安全設(shè)備230生成的隨機(jī)串。安全設(shè)備230可以使用驗(yàn)證cookie來(lái)確定客戶(hù)端設(shè)備210已經(jīng)成功地執(zhí)行了計(jì)算開(kāi)銷(xiāo)問(wèn)題以及基于從客戶(hù)端設(shè)備210接收的附加請(qǐng)求來(lái)防止附加問(wèn)題被發(fā)送給客戶(hù)端設(shè)備210。驗(yàn)證cookie可以包括與客戶(hù)端設(shè)備210關(guān)聯(lián)的內(nèi)嵌的和/或加密的信息(例如,客戶(hù)端設(shè)備210的環(huán)境、客戶(hù)端設(shè)備210的配置、在客戶(hù)端設(shè)備210上運(yùn)行的應(yīng)用等),使得第一客戶(hù)端設(shè)備210不能使用預(yù)期用于第二客戶(hù)端設(shè)備210的驗(yàn)證cookie。在一些實(shí)現(xiàn)中,安全設(shè)備230可以向網(wǎng)絡(luò)設(shè)備220提供請(qǐng)求,可以從網(wǎng)絡(luò)設(shè)備220接收響應(yīng),并且可以在將響應(yīng)提供給客戶(hù)端設(shè)備210之前將驗(yàn)證cookie插入響應(yīng)中。
[0051]如圖4另外所示,過(guò)程400可以包括從客戶(hù)端設(shè)備接收另一請(qǐng)求和驗(yàn)證cookie (塊480)。例如,安全設(shè)備230可以從客戶(hù)端設(shè)備210接收附加請(qǐng)求。附加請(qǐng)求可以包括和/或識(shí)別驗(yàn)證cookie。在一些實(shí)現(xiàn)中,從客戶(hù)端設(shè)備210接收的驗(yàn)證cookie可以與向客戶(hù)端設(shè)備210提供的的驗(yàn)證cookie相同,在這種情況下,安全設(shè)備230可以(例如,通過(guò)提供來(lái)自網(wǎng)絡(luò)設(shè)備220的響應(yīng))對(duì)請(qǐng)求進(jìn)行響應(yīng)而不向客戶(hù)端設(shè)備210提供計(jì)算開(kāi)銷(xiāo)問(wèn)題。在一些實(shí)現(xiàn)中,從客戶(hù)端設(shè)備210接收的驗(yàn)證cookie可以與向客戶(hù)端設(shè)備210提供的驗(yàn)證cookie不同,在這種情況下,安全設(shè)備230可以響應(yīng)于請(qǐng)求來(lái)提供計(jì)算開(kāi)銷(xiāo)問(wèn)題。
[0052]如圖4另外所示,過(guò)程400可以包括確定驗(yàn)證cookie是否有效(塊490)。例如,安全設(shè)備230可以通過(guò)將從客戶(hù)端設(shè)備210接收的驗(yàn)證cookie與向客戶(hù)端設(shè)備210提供的驗(yàn)證cookie進(jìn)行比較來(lái)確定驗(yàn)證cookie是否有效(例如,結(jié)合塊470)。作為另一示例,安全設(shè)備230可以通過(guò)確定驗(yàn)證cookie是否已經(jīng)到期來(lái)確定驗(yàn)證cookie是否有效。驗(yàn)證cookie可以例如在特定時(shí)間之后、在自從安全設(shè)備230提供驗(yàn)證cookie以來(lái)已經(jīng)經(jīng)過(guò)了特定數(shù)量的時(shí)間之后、在包括驗(yàn)證cookie的特定數(shù)量的請(qǐng)求已經(jīng)被接收之后等到期。
[0053]如圖4另外所示,如果驗(yàn)證cookie有效(塊490為是),則過(guò)程400可以包括返回塊470以向客戶(hù)端設(shè)備提供響應(yīng)。例如,安全設(shè)備230可以允許客戶(hù)端設(shè)備210和網(wǎng)絡(luò)設(shè)備220正常通信(例如,沒(méi)有安全設(shè)備230向客戶(hù)端設(shè)備210提供計(jì)算開(kāi)銷(xiāo)問(wèn)題)直到驗(yàn)證cookie被確定為無(wú)效。在一些實(shí)現(xiàn)中,由安全設(shè)備230提供的每個(gè)響應(yīng)可以包括相同的驗(yàn)證cookie,或者不同的響應(yīng)可以包括不同的驗(yàn)證cookie (例如,隨機(jī)生成的驗(yàn)證cookie),其然后可以用來(lái)確定另外的請(qǐng)求是否包括有效的驗(yàn)證cookie (例如,在最近的響應(yīng)中提供的驗(yàn)證cookie)。
[0054]如圖4另外所示,如果驗(yàn)證cookie無(wú)效(塊490為否),則過(guò)程400可以包括返回塊430以確定待被提供給客戶(hù)端設(shè)備210的另一計(jì)算開(kāi)銷(xiāo)問(wèn)題。附加地或者備選地,安全設(shè)備230可以基于確定驗(yàn)證cookie無(wú)效來(lái)拒絕客戶(hù)端設(shè)備210訪(fǎng)問(wèn)資源(例如,所請(qǐng)求的資源、網(wǎng)絡(luò)設(shè)備220等)。安全設(shè)備230可以持續(xù)阻止客戶(hù)端設(shè)備210訪(fǎng)問(wèn)資源直到安全設(shè)備230從客戶(hù)端設(shè)備210接收到(可能不同的)計(jì)算開(kāi)銷(xiāo)問(wèn)題的正確解決方案。
[0055]在一些實(shí)現(xiàn)中,安全設(shè)備230可以(例如基于DoS度量)確定DoS攻擊已經(jīng)被平息和/或結(jié)束,并且可以響應(yīng)于來(lái)自一個(gè)或多個(gè)客戶(hù)端設(shè)備210的請(qǐng)求來(lái)停止提供計(jì)算開(kāi)銷(xiāo)問(wèn)題。附加地或者備選地,安全設(shè)備230可以基于確定DoS攻擊已經(jīng)被平息和/或結(jié)束來(lái)調(diào)整接收計(jì)算開(kāi)銷(xiāo)問(wèn)題的客戶(hù)端設(shè)備210的百分比,可以調(diào)整所提供的計(jì)算開(kāi)銷(xiāo)問(wèn)題的難度等級(jí)等,如本文中其他地方所描述的。以這一方式,安全設(shè)備230可以通過(guò)增加從網(wǎng)絡(luò)設(shè)備220請(qǐng)求資源的客戶(hù)端設(shè)備210的資源需求來(lái)限制DoS攻擊的效力。
[0056]雖然圖4示出了過(guò)程400的示例塊,然而,在一些實(shí)現(xiàn)中,與圖4中所示的塊相比,過(guò)程400可以包括額外的塊、較少的塊、不同的塊或者不同地布置的塊。
[0057]圖5A至圖5E為與圖4所示的示例過(guò)程400有關(guān)的示例實(shí)現(xiàn)500的圖。圖5A至圖5E示出了檢測(cè)DDoS攻擊、向客戶(hù)端設(shè)備210提供第一計(jì)算開(kāi)銷(xiāo)問(wèn)題、接收第一問(wèn)題的解決方案、確定時(shí)間段已經(jīng)到期以及確定DDoS攻擊仍然進(jìn)行、以及向客戶(hù)端設(shè)備210提供第二計(jì)算開(kāi)銷(xiāo)問(wèn)題的示例。
[0058]如圖5A所示,假定用作客戶(hù)端設(shè)備210與網(wǎng)絡(luò)設(shè)備220之間的中間設(shè)備的安全設(shè)備230被來(lái)自對(duì)網(wǎng)絡(luò)設(shè)備220執(zhí)行DDoS攻擊的客戶(hù)端設(shè)備210的請(qǐng)求所淹沒(méi)。如附圖標(biāo)記505所示,安全設(shè)備230可以通過(guò)例如確定在具體的時(shí)間段內(nèi)接收到的請(qǐng)求的量超過(guò)閾值和/或通過(guò)確定網(wǎng)絡(luò)設(shè)備220對(duì)請(qǐng)求進(jìn)行響應(yīng)的延遲超過(guò)閾值來(lái)檢測(cè)DDoS攻擊。如圖所示,假定用于網(wǎng)絡(luò)設(shè)備220對(duì)請(qǐng)求進(jìn)行響應(yīng)的平均延遲為1000毫秒(ms)。如附圖標(biāo)記510所示,假定在檢測(cè)到DDoS攻擊之后,安全設(shè)備230從客戶(hù)端設(shè)備210接收對(duì)網(wǎng)站的請(qǐng)求,該網(wǎng)站被示出為WWW.exmaple, com。如附圖標(biāo)記515所示,安全設(shè)備230向客戶(hù)端設(shè)備210提供計(jì)算開(kāi)銷(xiāo)問(wèn)題以緩和DDoS攻擊。安全設(shè)備230可以基于1000毫秒的平均延遲來(lái)確定待發(fā)送給客戶(hù)端設(shè)備210的問(wèn)題。假定安全設(shè)備230確定哈希準(zhǔn)則問(wèn)題(以上結(jié)合圖4所描述的)待被提供給客戶(hù)端設(shè)備210,并且假定安全設(shè)備230提供哈希準(zhǔn)則問(wèn)題作為待由客戶(hù)端設(shè)備210來(lái)執(zhí)行的腳本。
[0059]如圖5B以及附圖標(biāo)記520所示,客戶(hù)端設(shè)備210執(zhí)行腳本以解決哈希準(zhǔn)則問(wèn)題。例如,假定安全設(shè)備230向客戶(hù)端設(shè)備210提供初始隨機(jī)串(例如,22k0DKQ0X03idf83)。另外假定安全設(shè)備230通知客戶(hù)端設(shè)備210通過(guò)向初始隨機(jī)串附接新的串來(lái)生成所得串并且對(duì)所得串應(yīng)用哈希算法(例如,MD5)以生成哈希值??蛻?hù)端設(shè)備210繼續(xù)向初始隨機(jī)串附接新的串直到哈希值在哈希值的結(jié)尾處具有四個(gè)O (例如,空的字節(jié))。如圖所示,假定在第5039次迭代,客戶(hù)端設(shè)備210確定新的串(例如,9Ckem38)在新的串被附接至初始隨機(jī)串并且所得串通過(guò)使用MD5算法求哈希時(shí)生成具有四個(gè)尾零的哈希值(例如,euDOOOO)。這一哈希準(zhǔn)則問(wèn)題要求客戶(hù)端設(shè)備210假定大量的處理能力,從而減慢客戶(hù)端設(shè)備210和限制DDoS攻擊的效力。
[0060]如附圖標(biāo)記525所示,客戶(hù)端設(shè)備210可以向安全設(shè)備230提供解決方案串(例如,9Ckem38,產(chǎn)生具有四個(gè)尾零的哈希值的新的串)。如附圖標(biāo)記530所示,安全設(shè)備230可以通過(guò)將解決方案串附接至初始隨機(jī)串以生成所得串、使用MD5算法對(duì)所得串求哈希、以及驗(yàn)證所得哈希值包含四個(gè)尾零來(lái)驗(yàn)證解決方案。如圖5B所示,假定安全設(shè)備230已經(jīng)驗(yàn)證解決方案。如果安全設(shè)備230沒(méi)有驗(yàn)證解決方案(例如,如果解決方案串沒(méi)有產(chǎn)生具有至少四個(gè)尾零的哈希值),則安全設(shè)備230可以阻止客戶(hù)端設(shè)備210訪(fǎng)問(wèn)網(wǎng)站www.example,com(例如,可以丟掉所有從客戶(hù)端設(shè)備210接收的業(yè)務(wù)),可以向客戶(hù)端設(shè)備210提供相同的問(wèn)題,可以向客戶(hù)端設(shè)備210提供不同的(例如,更困難的)問(wèn)題等等。
[0061]如圖5C所示,假定安全設(shè)備230已經(jīng)驗(yàn)證了由客戶(hù)端設(shè)備210提供的解決方案,并且已經(jīng)授權(quán)客戶(hù)端設(shè)備210訪(fǎng)問(wèn)網(wǎng)絡(luò)設(shè)備220(例如,由網(wǎng)絡(luò)設(shè)備220托管的網(wǎng)站)。如附圖標(biāo)記535所示,安全設(shè)備230向客戶(hù)端設(shè)備210提供網(wǎng)站(例如,從網(wǎng)絡(luò)設(shè)備220接收的網(wǎng)站)www.example, com。如另外所示,安全設(shè)備230還向客戶(hù)端設(shè)備210提供驗(yàn)證cookie (例如,8h42)。如附圖標(biāo)記540所示,假定客戶(hù)端設(shè)備210向安全設(shè)備230發(fā)送附加請(qǐng)求,并且假定附加請(qǐng)求包括驗(yàn)證cookie。例如,如圖所示,通過(guò)發(fā)送對(duì)www.example,com/subpage ;8h42的請(qǐng)求,假定客戶(hù)端設(shè)備210請(qǐng)求網(wǎng)站的子頁(yè),并且在請(qǐng)求中包括驗(yàn)證cookie。如附圖標(biāo)記545所示,假定安全設(shè)備230確定驗(yàn)證cookie有效,并且提供對(duì)請(qǐng)求的響應(yīng)(例如,從網(wǎng)絡(luò)設(shè)備220接收子頁(yè)并且將子頁(yè)提供給客戶(hù)端設(shè)備210)而不請(qǐng)求客戶(hù)端設(shè)備210執(zhí)行另一計(jì)算開(kāi)銷(xiāo)問(wèn)題。
[0062]如圖所示,假定在稍后的時(shí)間,客戶(hù)端設(shè)備210向網(wǎng)絡(luò)設(shè)備220發(fā)送附加請(qǐng)求,其由安全設(shè)備230來(lái)解釋。例如,如附圖標(biāo)記550所示,如圖所示,通過(guò)發(fā)送對(duì)www.example,com/image, jpg ;8h42的請(qǐng)求,假定客戶(hù)端設(shè)備210請(qǐng)求來(lái)自網(wǎng)站的資源(例如,圖像),并且在請(qǐng)求中包括驗(yàn)證cookie。如附圖標(biāo)記555所示,假定安全設(shè)備230確定與驗(yàn)證cookie關(guān)聯(lián)的時(shí)間段已經(jīng)到期。另外假定安全設(shè)備230通過(guò)例如確定在具體的時(shí)間段內(nèi)接收到的請(qǐng)求的數(shù)量超過(guò)閾值和/或通過(guò)確定用于網(wǎng)絡(luò)設(shè)備220對(duì)請(qǐng)求進(jìn)行響應(yīng)的延遲為8000毫秒而檢測(cè)到DDoS攻擊正在發(fā)生。假定安全設(shè)備230基于8000毫秒的平均延遲確定哈希準(zhǔn)則問(wèn)題和哈希列表問(wèn)題(結(jié)合圖4所描述的)兩者都被提供給客戶(hù)端設(shè)備210。如附圖標(biāo)記560所示,假定安全設(shè)備230提供哈希準(zhǔn)則問(wèn)題和哈希列表問(wèn)題作為待由客戶(hù)端設(shè)備210來(lái)執(zhí)行的腳本。安全設(shè)備230可以提供者兩個(gè)問(wèn)題和/或比圖5A和圖5B描述的更難的問(wèn)題,因?yàn)閷?duì)請(qǐng)求進(jìn)行響應(yīng)的延遲已經(jīng)從1000毫秒增加至8000毫秒。
[0063]如圖5E和附圖標(biāo)記565所示,客戶(hù)端設(shè)備210執(zhí)行腳本以解決哈希準(zhǔn)則問(wèn)題。例如,假定安全設(shè)備230向客戶(hù)端設(shè)備210提供初始隨機(jī)串(例如,7C83JL)。另外假定安全設(shè)備230通知客戶(hù)端設(shè)備210通過(guò)向初始隨機(jī)串附接新的串來(lái)生成所得串并且向所得串應(yīng)用哈希算法(例如,MD5)以生成哈希值。客戶(hù)端設(shè)備210繼續(xù)向初始隨機(jī)串附接新的串直到哈希值在哈希值的結(jié)尾處具有五個(gè)零(例如,空的字節(jié))。假定安全設(shè)備230提供需要具有五個(gè)零而非四個(gè)零的哈希值的指令(例如,每個(gè)結(jié)合圖5B所描述的問(wèn)題),因?yàn)镈DoS攻擊已經(jīng)在強(qiáng)度上增加了,這一點(diǎn)由圖中所示的與圖5A相比較大的延遲值來(lái)證明。如圖所示,假定在第10,620次迭代,客戶(hù)端設(shè)備210確定新的串(例如,Rm38E)在新的串被附接至初始隨機(jī)串并且所得串通過(guò)使用MD5算法求哈希時(shí)生成具有五個(gè)尾零的哈希值(例如,N200000)。這一哈希準(zhǔn)則問(wèn)題要求客戶(hù)端設(shè)備210假定大量的處理能力,從而減慢客戶(hù)端設(shè)備210和限制DDoS攻擊的效力。
[0064]如附圖標(biāo)記570所示,客戶(hù)端設(shè)備210還執(zhí)行用于解決哈希列表問(wèn)題的腳本。例如,假定安全設(shè)備230向客戶(hù)端設(shè)備210提供初始種子串(例如,uLm98Qw)。另外假定安全設(shè)備230通知客戶(hù)端設(shè)備210通過(guò)根據(jù)初始種子串生成1000個(gè)哈希值的列表并且通過(guò)根據(jù)指定算法和/或序列將哈希值合并成列表來(lái)生成解決方案值。如圖所示,客戶(hù)端設(shè)備210生成1000個(gè)哈希值并且根據(jù)算法將這些哈希值合并以生成解決方案值(例如,17TY6)。這一哈希列表問(wèn)題要求客戶(hù)端設(shè)備210消耗大量存儲(chǔ)器空間,從而減慢客戶(hù)端設(shè)備并且限制DDoS攻擊的效力。
[0065]如附圖標(biāo)記575所示,客戶(hù)端設(shè)備210向安全設(shè)備230提供哈希準(zhǔn)則問(wèn)題的解決方案(例如,Rm38E)和哈希列表問(wèn)題的解決方案(例如,17TY6)。如附圖標(biāo)記580所示,假定安全設(shè)備230驗(yàn)證解決方案。例如,安全設(shè)備230可以如本文中結(jié)合圖5B所描述的驗(yàn)證哈希準(zhǔn)則問(wèn)題的解決方案。安全設(shè)備230可以通過(guò)比較所接收的解決方案與存儲(chǔ)器中所存儲(chǔ)的值(例如,與向客戶(hù)端設(shè)備210提供的初始種子串關(guān)聯(lián)的解決方案值)來(lái)驗(yàn)證哈希列表問(wèn)題的解決方案。因?yàn)榘踩O(shè)備230已經(jīng)驗(yàn)證了解決方案,所以安全設(shè)備230可以授權(quán)對(duì)網(wǎng)絡(luò)設(shè)備220的訪(fǎng)問(wèn),并且網(wǎng)絡(luò)設(shè)備220可以對(duì)來(lái)自客戶(hù)端設(shè)備210的請(qǐng)求進(jìn)行響應(yīng)。安全設(shè)備230可以持續(xù)以這種方式或者類(lèi)似的方式操作直到DDoS攻擊已經(jīng)被平息。
[0066]如以上所指出的,圖5A至圖5E被提供僅作為示例。其他示例是可能的,并且可以不同于關(guān)于圖5A至圖5E所描述的這些示例。
[0067]前述公開(kāi)內(nèi)容提供了說(shuō)明和描述,而非旨在是排他性的或者將實(shí)現(xiàn)限制為所公開(kāi)的具體形式。修改和變型鑒于以上公開(kāi)內(nèi)容是可能的,或者可以通過(guò)實(shí)現(xiàn)的實(shí)踐來(lái)獲得。
[0068]如本文中所使用的,術(shù)語(yǔ)“部件”旨在被廣義地理解為硬件、固件、或者硬件和軟件的組合。
[0069]將清楚的是,本文中所描述的系統(tǒng)和/或方法可以用附圖中所圖示的實(shí)現(xiàn)中的很多不同形式的軟件、固件和硬件來(lái)實(shí)現(xiàn)。用來(lái)實(shí)現(xiàn)這些系統(tǒng)和/或方法的實(shí)際的軟件代碼或具體的控制硬件不限制實(shí)現(xiàn)。因此,系統(tǒng)和/或方法的操作和行為被描述而沒(méi)有參考具體的軟件代碼——其被理解為,軟件和硬件可以被設(shè)計(jì)成基于本文中的描述來(lái)實(shí)現(xiàn)這些系統(tǒng)和/或方法。
[0070]—些實(shí)現(xiàn)在本文中被描述為從設(shè)備接收信息或者向設(shè)備提供信息。這些短語(yǔ)可以指代直接從設(shè)備接收信息或者直接向設(shè)備提供信息,而沒(méi)有經(jīng)由位于設(shè)備之間的通信路徑的中間設(shè)備傳輸?shù)男畔?。附加地或者備選地,這些短語(yǔ)可以指代經(jīng)由一個(gè)或多個(gè)中間設(shè)備(例如,網(wǎng)絡(luò)設(shè)備)接收由設(shè)備提供的信息,或者經(jīng)由一個(gè)或多個(gè)中間設(shè)備向設(shè)備提供信肩、O
[0071]在本文中一些實(shí)現(xiàn)被結(jié)合閾值來(lái)描述。如本文中所使用的,滿(mǎn)足閾值可以指代值大于閾值、多于閾值、高于閾值、大于或等于閾值、小于閾值、少于閾值、低于閾值、小于或等于閾值、等于閾值等等。
[0072]雖然權(quán)利要求中記載和/或說(shuō)明書(shū)中公開(kāi)了具體的特征組合,然而這些組合并非旨在限制可能的實(shí)現(xiàn)的公開(kāi)。實(shí)際上,可以用沒(méi)有在權(quán)利要求中具體記載和/或在說(shuō)明書(shū)中具體公開(kāi)的方式來(lái)組合這些特征中的很多特征。雖然以下列出的每個(gè)從屬權(quán)利要求可以直接從屬于僅一個(gè)權(quán)利要求,然而可能的實(shí)現(xiàn)的公開(kāi)內(nèi)容包括與權(quán)利要求書(shū)中的每個(gè)其他權(quán)利要求結(jié)合的每個(gè)從屬權(quán)利要求。
[0073]本文中所使用的元件、動(dòng)作或指令都不應(yīng)當(dāng)被理解為是決定性的或者至關(guān)重要的,除非明確地這樣描述。此外,如本文中所使用的,冠詞“一”和“一個(gè)”旨在包括一個(gè)或多個(gè)項(xiàng)目,并且可以與“一個(gè)或多個(gè)”可互換地使用。此外,如本文中所使用的,術(shù)語(yǔ)“集合”旨在包括一個(gè)或多個(gè)項(xiàng)目,并且可以與“一個(gè)或多個(gè)”可互換地使用。在僅旨在一個(gè)項(xiàng)目的情況下,使用術(shù)語(yǔ)“一個(gè)”或類(lèi)似的語(yǔ)言。此外,短語(yǔ)“基于”旨在表示“至少部分基于”,除非明確地另有說(shuō)明。
【權(quán)利要求】
1.一種設(shè)備,包括: 用于檢測(cè)拒絕服務(wù)攻擊的裝置; 用于從客戶(hù)端設(shè)備接收用于對(duì)資源進(jìn)行訪(fǎng)問(wèn)的請(qǐng)求的裝置; 用于基于所述請(qǐng)求以及另外基于檢測(cè)所述拒絕服務(wù)攻擊來(lái)確定待被提供給所述客戶(hù)端設(shè)備的計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置; 用于向所述客戶(hù)端設(shè)備提供所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置,所述計(jì)算開(kāi)銷(xiāo)問(wèn)題被提供以使所述客戶(hù)端設(shè)備解決所述計(jì)算開(kāi)銷(xiāo)問(wèn)題; 用于從所述客戶(hù)端設(shè)備接收對(duì)所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案的裝置;以及 用于基于所述解決方案來(lái)授權(quán)或拒絕所述客戶(hù)端設(shè)備對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置。
2.根據(jù)權(quán)利要求1所述的設(shè)備,還包括: 用于通過(guò)以下操作至少之一來(lái)處理所述解決方案的裝置: 將所述解決方案與存儲(chǔ)值比較;或者 使用所述解決方案執(zhí)行計(jì)算;以及 其中所述用于授權(quán)或拒絕對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置包括: 用于基于處理所述解決方案來(lái)授權(quán)或拒絕對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置。
3.根據(jù)權(quán)利要求1所述的設(shè)備,其中所述用于確定待被提供給所述客戶(hù)端設(shè)備的所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置包括: 用于確定與所述拒絕服務(wù)攻擊關(guān)聯(lián)的度量的裝置;以及 用于基于所述度量來(lái)確定所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置。
4.根據(jù)權(quán)利要求1所述的設(shè)備, 其中所述用于授權(quán)或拒絕對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置包括: 用于授權(quán)對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置;以及 其中所述設(shè)備還包括: 用于基于授權(quán)對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)來(lái)向所述客戶(hù)端設(shè)備提供驗(yàn)證指示符的裝置; 用于從所述客戶(hù)端設(shè)備接收附加請(qǐng)求的裝置, 所述附加請(qǐng)求包括所述驗(yàn)證指示符; 用于驗(yàn)證所述驗(yàn)證指示符的裝置;以及 用于基于驗(yàn)證所述驗(yàn)證指示符來(lái)提供對(duì)所述附加請(qǐng)求的響應(yīng)的裝置, 所述響應(yīng)不包括所述計(jì)算開(kāi)銷(xiāo)問(wèn)題或另一計(jì)算開(kāi)銷(xiāo)問(wèn)題。
5.根據(jù)權(quán)利要求1所述的設(shè)備, 其中所述用于授權(quán)或拒絕對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置包括: 用于拒絕對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置;以及 其中所述設(shè)備還包括: 用于基于拒絕對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)來(lái)向所述客戶(hù)端設(shè)備提供附加計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置, 與所述計(jì)算開(kāi)銷(xiāo)問(wèn)題相比,解決所述附加計(jì)算開(kāi)銷(xiāo)問(wèn)題需要更多處理能力或存儲(chǔ)器空間。
6.根據(jù)權(quán)利要求1所述的設(shè)備,其中所述用于授權(quán)或拒絕對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置包括: 用于授權(quán)對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置;以及 其中所述設(shè)備還包括: 用于基于授權(quán)對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)來(lái)向所述客戶(hù)端設(shè)備提供驗(yàn)證指示符的裝置; 用于從所述客戶(hù)端設(shè)備接收附加請(qǐng)求的裝置, 所述附加請(qǐng)求包括所述驗(yàn)證指示符; 用于確定所述驗(yàn)證指示符已經(jīng)到期的裝置;以及 用于基于確定所述驗(yàn)證指示符已經(jīng)到期來(lái)向所述客戶(hù)端設(shè)備提供附加計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置。
7.根據(jù)權(quán)利要求1所述的設(shè)備,其中所述用于確定待被提供給所述客戶(hù)端設(shè)備的所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置包括: 用于確定與所述客戶(hù)端設(shè)備關(guān)聯(lián)的簡(jiǎn)檔的裝置, 所述簡(jiǎn)檔指示所述請(qǐng)求與所述拒絕服務(wù)攻擊關(guān)聯(lián)的概率;以及 用于基于所述簡(jiǎn)檔來(lái)確定所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置。
8.一種系統(tǒng),包括: 用于檢測(cè)攻擊的裝置; 用于從客戶(hù)端設(shè)備接收對(duì)資源的請(qǐng)求的裝置; 用于基于檢測(cè)所述攻擊來(lái)確定待被提供給所述客戶(hù)端設(shè)備的計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置, 所述計(jì)算開(kāi)銷(xiāo)問(wèn)題需要由所述客戶(hù)端設(shè)備解決所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的計(jì)算; 用于通知所述客戶(hù)端設(shè)備提供對(duì)所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案的裝置; 用于從所述客戶(hù)端設(shè)備接收對(duì)所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的所述解決方案的裝置;以及 用于基于所述解決方案來(lái)向所述客戶(hù)端設(shè)備選擇性地提供對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),還包括: 用于通過(guò)以下操作至少之一來(lái)處理所述解決方案的裝置: 將所述解決方案與存儲(chǔ)值比較;或者 使用所述解決方案執(zhí)行計(jì)算, 其中所述用于選擇性地提供對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置包括: 用于基于處理所述解決方案來(lái)選擇性地提供對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置。
10.根據(jù)權(quán)利要求8所述的系統(tǒng),其中所述用于確定待被提供給所述客戶(hù)端設(shè)備的所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置包括: 用于確定與所述攻擊關(guān)聯(lián)的度量的裝置;以及 用于基于所述度量來(lái)確定所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置。
11.根據(jù)權(quán)利要求8所述的系統(tǒng), 其中所述用于選擇性地提供對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置包括: 用于提供對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置;以及 其中所述系統(tǒng)還包括: 用于基于提供對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)來(lái)向所述客戶(hù)端設(shè)備提供驗(yàn)證指示符的裝置; 用于從所述客戶(hù)端設(shè)備接收附加請(qǐng)求的裝置, 所述附加請(qǐng)求包括所述驗(yàn)證指示符; 用于驗(yàn)證所述驗(yàn)證指示符的裝置;以及 用于基于驗(yàn)證所述驗(yàn)證指示符來(lái)提供對(duì)所述附加請(qǐng)求的響應(yīng)的裝置, 所述響應(yīng)不包括所述計(jì)算開(kāi)銷(xiāo)問(wèn)題或另一計(jì)算開(kāi)銷(xiāo)問(wèn)題。
12.根據(jù)權(quán)利要求8所述的系統(tǒng), 其中所述用于選擇性地提供對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置包括: 用于拒絕對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置;以及 其中所述系統(tǒng)還包括: 用于基于拒絕對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)來(lái)向所述客戶(hù)端設(shè)備提供附加計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置, 與所述計(jì)算開(kāi)銷(xiāo)問(wèn)題相比,解決所述附加計(jì)算開(kāi)銷(xiāo)問(wèn)題需要更多計(jì)算資源。
13.根據(jù)權(quán)利要求8所述的系統(tǒng), 其中所述用于選擇性地提供對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置包括: 用于提供對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)的裝置;以及 其中所述系統(tǒng)還包括: 用于基于提供對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)來(lái)向所述客戶(hù)端設(shè)備提供驗(yàn)證指示符的裝置; 用于從所述客戶(hù)端設(shè)備接收附加請(qǐng)求的裝置, 所述附加請(qǐng)求包括所述驗(yàn)證指示符; 用于確定所述驗(yàn)證指示符無(wú)效的裝置;以及 用于基于確定所述驗(yàn)證指示符無(wú)效來(lái)向所述客戶(hù)端設(shè)備提供附加計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置。
14.根據(jù)權(quán)利要求8所述的系統(tǒng),其中所述用于確定待被提供給所述客戶(hù)端設(shè)備的所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置包括: 用于確定與所述客戶(hù)端設(shè)備關(guān)聯(lián)的簡(jiǎn)檔的裝置, 所述簡(jiǎn)檔指示所述請(qǐng)求與所述攻擊關(guān)聯(lián)的概率;以及 用于基于所述簡(jiǎn)檔來(lái)確定所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的裝置。
15.一種方法,包括: 由安全設(shè)備檢測(cè)拒絕服務(wù)攻擊; 由所述安全設(shè)備從客戶(hù)端設(shè)備接收請(qǐng)求; 由所述安全設(shè)備基于檢測(cè)所述拒絕服務(wù)攻擊來(lái)確定待被提供給所述客戶(hù)端設(shè)備的計(jì)算開(kāi)銷(xiāo)問(wèn)題; 由所述安全設(shè)備確定使所述客戶(hù)端設(shè)備解決所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的代碼; 由所述安全設(shè)備通知所述客戶(hù)端設(shè)備執(zhí)行所述代碼, 所述代碼使所述客戶(hù)端設(shè)備生成對(duì)所述計(jì)算開(kāi)銷(xiāo)問(wèn)題的解決方案; 由所述安全設(shè)備從所述客戶(hù)端設(shè)備接收所述解決方案;以及 由所述安全設(shè)備基于所述解決方案向所述客戶(hù)端設(shè)備提供對(duì)所述請(qǐng)求的響應(yīng)。
16.根據(jù)權(quán)利要求15所述的方法,還包括: 確定所述解決方案正確;以及 其中提供所述響應(yīng)還包括: 基于確定所述解決方案正確來(lái)提供不包括計(jì)算開(kāi)銷(xiāo)問(wèn)題的對(duì)所述請(qǐng)求的響應(yīng)。
17.根據(jù)權(quán)利要求15所述的方法,還包括: 確定所述解決方案不正確;以及 其中提供所述響應(yīng)還包括: 基于確定所述解決方案不正確來(lái)提供包括另一計(jì)算開(kāi)銷(xiāo)問(wèn)題的對(duì)所述請(qǐng)求的響應(yīng)。
18.根據(jù)權(quán)利要求15所述的方法,其中確定所述計(jì)算開(kāi)銷(xiāo)問(wèn)題還包括: 確定與所述拒絕服務(wù)攻擊關(guān)聯(lián)的度量;以及 基于所述度量來(lái)確定所述計(jì)算開(kāi)銷(xiāo)問(wèn)題。
19.根據(jù)權(quán)利要求15所述的方法,還包括: 確定所述解決方案不正確; 基于確定所述解決方案不正確來(lái)拒絕在所述請(qǐng)求中所請(qǐng)求的對(duì)資源進(jìn)行訪(fǎng)問(wèn);以及 其中提供所述響應(yīng)還包括: 基于拒絕對(duì)所述資源進(jìn)行訪(fǎng)問(wèn)來(lái)向所述客戶(hù)端設(shè)備提供附加計(jì)算開(kāi)銷(xiāo)問(wèn)題, 與所述計(jì)算開(kāi)銷(xiāo)問(wèn)題相比,解決所述附加計(jì)算開(kāi)銷(xiāo)問(wèn)題需要更多計(jì)算資源。
20.根據(jù)權(quán)利要求15所述的方法,還包括: 確定所述解決方案正確;以及 基于確定所述解決方案正確來(lái)授權(quán)在所述請(qǐng)求中所請(qǐng)求的對(duì)資源進(jìn)行訪(fǎng)問(wèn); 其中提供所述響應(yīng)還包括: 基于確定所述解決方案正確來(lái)向所述客戶(hù)端設(shè)備提供驗(yàn)證指示符;以及 其中所述方法還包括: 從所述客戶(hù)端設(shè)備接收附加請(qǐng)求, 所述附加請(qǐng)求包括所述驗(yàn)證指示符; 確定所述驗(yàn)證指示符無(wú)效; 確定與所述拒絕服務(wù)攻擊關(guān)聯(lián)的度量;以及 基于確定所述驗(yàn)證指示符無(wú)效以及另外基于所述度量來(lái)向所述客戶(hù)端設(shè)備提供附加計(jì)算開(kāi)銷(xiāo)問(wèn)題。
【文檔編號(hào)】H04L29/06GK104519049SQ201410521259
【公開(kāi)日】2015年4月15日 申請(qǐng)日期:2014年9月30日 優(yōu)先權(quán)日:2013年9月30日
【發(fā)明者】K·亞當(dāng)斯, D·J·奎因蘭 申請(qǐng)人:瞻博網(wǎng)絡(luò)公司