一種HTTP Get Flood攻擊的防護方法
【專利摘要】本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù)學(xué)科中網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種HTTP Get Flood攻擊的防護方法。針對攻擊源IP數(shù)量較多時現(xiàn)有技術(shù)對CC攻擊防護效果較差的問題,本發(fā)明提供了一種HTTP Get Flood攻擊的防護方法,能夠針對CC攻擊中的HTTP Get Flood攻擊提供效果更優(yōu)的防護。通過分析隨機抓取的網(wǎng)絡(luò)數(shù)據(jù)包中請求IP是否含Proxy服務(wù)特征,計算其為攻擊源IP的概率,結(jié)合其回饋響應(yīng)的情況,判定該IP是否為HTTP Get Flood攻擊的攻擊源IP,對攻擊源IP進行阻斷。本發(fā)明設(shè)計簡潔,易于實施,與現(xiàn)有的各類服務(wù)器均具有良好的適配性,具有廣闊的應(yīng)用和推廣前景。
【專利說明】—種HTTP Get Flood攻擊的防護方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù)學(xué)科中網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種HTTP Get Flood攻擊的防護方法。
【背景技術(shù)】
[0002]近年來中國網(wǎng)絡(luò)規(guī)模呈現(xiàn)膨脹式增長,隨著網(wǎng)絡(luò)活動,特別是網(wǎng)絡(luò)電商的活躍,網(wǎng)絡(luò)交互發(fā)展迅速。而與此同時,針對網(wǎng)絡(luò)的攻擊形式也在巨大的利益推動下開始向新的方向改變。目前,CC (Challenge Collapsar)攻擊已經(jīng)成為一種被廣泛使用的典型攻擊方式,由于其實施的技術(shù)難度較低并且攻擊效果顯著,CC攻擊已經(jīng)發(fā)展成為網(wǎng)絡(luò)安全領(lǐng)域中的一種常見攻擊方式。CC攻擊的前身為Fatboy攻擊,屬于DDoS (Distribut1n Denialof Service分布式拒絕服務(wù),簡稱DDoS)攻擊中的一種。CC攻擊以網(wǎng)站頁面為主要攻擊目標,能夠藏匿真實的攻擊源IP,借助代理服務(wù)器生成指向目標服務(wù)器的合法請求,在流量上不會產(chǎn)生異常的大流量數(shù)據(jù),但卻能造成服務(wù)器無法正常連接。CC攻擊的攻擊原理來源于著名的木桶理論,即一個木桶所能容納水的最大容量不是由木桶最高的地方?jīng)Q定的,而是由木桶最低的地方?jīng)Q定的。CC攻擊就是借鑒了木桶理論,在對服務(wù)器發(fā)起攻擊時,攻擊者常常向服務(wù)器請求需要占用其較多資源開銷的應(yīng)用,例如訪問需要占用服務(wù)器大量CPU資源進行運算的頁面或者請求需要頻繁訪問數(shù)據(jù)庫的應(yīng)用。基于以上因素,CC攻擊的目標通常為網(wǎng)站服務(wù)器中需要動態(tài)生成的頁面和需要訪問數(shù)據(jù)庫資源的頁面,例如asp、jsp和Php等類型文件的頁面資源。攻擊者主要通過控制大量僵尸主機或代理服務(wù)器,由僵尸主機或代理服務(wù)器自動向服務(wù)器發(fā)送頁面訪問請求。當使用具有一定規(guī)模的僵尸僵尸主機或代理服務(wù)器進行CC攻擊時,將會對服務(wù)器頁面造成巨大的訪問流量,可導(dǎo)致服務(wù)器癱瘓,同時整個攻擊過程模擬了正常客戶端訪問互聯(lián)網(wǎng)資源所發(fā)送的合法數(shù)據(jù)包,具有較強的隱蔽性。CC攻擊主要有2種攻擊方式,即HTTP Get Flood (超文本傳輸協(xié)議泛洪)攻擊和鏈接耗盡型攻擊。
[0003]目前,常見的CC攻擊防護依靠防火墻,通過對訪問服務(wù)器的單個IP連接數(shù)進行控制來限制CC攻擊,在發(fā)起CC攻擊的IP數(shù)量較多的情況下依靠防火墻限制或阻止CC攻擊的效果較差。
【發(fā)明內(nèi)容】
[0004]針對攻擊源IP數(shù)量較多時現(xiàn)有技術(shù)對CC攻擊防護效果較差的問題,本發(fā)明提供了一種HTTP Get Flood攻擊的防護方法,能夠針對CC攻擊中的HTTP Get Flood攻擊提供效果更優(yōu)的防護。
[0005]本發(fā)明的技術(shù)方案為:
一種HTTP Get Flood攻擊的防護方法,其特征在于包括以下步驟:
(a)抓取網(wǎng)絡(luò)數(shù)據(jù)包;
(b)對所述網(wǎng)絡(luò)數(shù)據(jù)包進行HTTP協(xié)議解碼,得到請求訪問服務(wù)器的請求IP;HTTP即 Hyper Text Transfer Protocol超文本傳輸協(xié)議,是目前互聯(lián)網(wǎng)上應(yīng)用最為廣泛的協(xié)議之
Ce)檢測所述請求IP是否含有Proxy服務(wù)的特征字符;ProXy服務(wù)即代理服務(wù),包含Proxy服務(wù)特征字符的請求多為代理服務(wù)器發(fā)送的惡意請求,其請求IP多為HTTP GetFlood攻擊的攻擊源IP。
[0006](d)若步驟(c)中所述請求IP含有Proxy服務(wù)的特征字符,執(zhí)行步驟(dl)?(d3); (dl)向步驟(d)中所述請求IP發(fā)送響應(yīng)請求,并要求步驟(d)中所述請求IP回饋; (d2)若步驟(d)中所述請求IP未回饋符合要求的回饋響應(yīng),則判定步驟(d)中所述請求IP為HTTP Get Flood攻擊的攻擊源IP,阻斷所述攻擊源IP,返回步驟(a);
(d3)若步驟(d)中所述請求IP回饋符合要求的回饋響應(yīng),返回步驟(a);
(e)若步驟(c)中所述請求IP不含Proxy服務(wù)的特征字符,計算所述請求IP為HTTPGet Flood攻擊的攻擊源IP的概率,執(zhí)行步驟(el)?(e3);
(el)若步驟(e)中所述概率小于閾值,返回步驟(a);
(e2)若步驟(e)中所述概率大于等于閾值,向步驟(e)中所述請求IP發(fā)送響應(yīng)請求,并要求步驟(e)中所述請求IP回饋;
(e3)若步驟(e2)中所述請求IP回饋符合要求的回饋響應(yīng),返回步驟(a);
(e4)若步驟(e2)中所述請求IP未回饋符合要求的回饋響應(yīng),則判定步驟(e2)中所述請求IP為HTTP Get Flood攻擊的攻擊源IP,阻斷所述攻擊源IP,返回步驟(a)。
[0007]具體的,步驟(c )中所述Proxy服務(wù)的特征字符包括X_F0RWARDED_F0R、VIA、CLIENT_IP、X0NNECT1N 和 XR0XY_C0NNECT10N。
[0008]具體的,步驟(e)中所述概率根據(jù)服務(wù)器的歷史統(tǒng)計計算。
[0009]具體的,步驟(el)?(e2)中所述閾值由服務(wù)器工作參數(shù)判定,所述服務(wù)器工作參數(shù)包括服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量。
[0010]具體的,步驟(dl)中所述響應(yīng)請求為帶有tag標記的響應(yīng)請求。
[0011]具體的,步驟(e2)中所述響應(yīng)請求為帶有tag標記的響應(yīng)請求。
[0012]本發(fā)明的有益效果:1、執(zhí)行本發(fā)明技術(shù)方案步驟(a廣(e4)能夠識別并阻斷HTTPGet Flood攻擊的IP,實現(xiàn)針對HTTP Get Flood攻擊的防護;2、本發(fā)明技術(shù)方案步驟(a廣(e4)針對隨機抓取的網(wǎng)絡(luò)數(shù)據(jù)包中所有請求IP進行分析和計算以判定其是否為HTTP GetFlood攻擊的攻擊源IP,即使發(fā)起HTTP Get Flood攻擊的IP數(shù)量較多,也能夠逐一識別并阻斷攻擊源IP ;3、步驟(e)中所述概率根據(jù)服務(wù)器的歷史統(tǒng)計計算得出,針對性強、可靠性高,有利于提高針對HTTP Get Flood攻擊的防護效果;4、依據(jù)服務(wù)器工作參數(shù),包括服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量設(shè)定閾值,能夠滿足不同服務(wù)器針對HTTP Get Flood攻擊的防護要求;5、步驟(d2)和步驟(e2)中向請求IP發(fā)送的帶有tag標記的響應(yīng)請求能夠判斷該IP是否為惡意攻擊者。本發(fā)明設(shè)計簡潔,易于實施,與各類服務(wù)器均具有良好的適配性,具有廣闊的應(yīng)用和推廣前景。
【專利附圖】
【附圖說明】
[0013]圖1為本發(fā)明的流程圖。
【具體實施方式】
[0014]下面結(jié)合附圖對本發(fā)明作進一步說明。
[0015]參照圖1,本實施例中針對HTTP Get Flood攻擊的防護過程包括:
(a)抓取網(wǎng)絡(luò)數(shù)據(jù)包;
(b)對網(wǎng)絡(luò)數(shù)據(jù)包進行HTTP協(xié)議解碼,得到請求訪問服務(wù)器的請求IP;HTTP即HyperText Transfer Protocol超文本傳輸協(xié)議,是目前互聯(lián)網(wǎng)上應(yīng)用最為廣泛的協(xié)議之一;
(c)檢測請求IP 是否含有 X_F0RWARDED_F0R、VIA、CLIENT_IP、X0NNECT10N 和 XR0XY_CONNECT1N等Proxy服務(wù)的特征字符;ProXy服務(wù)即代理服務(wù),包含Proxy服務(wù)特征字符的請求多為代理服務(wù)器發(fā)送的惡意請求,其請求IP多為HTTP Get Flood攻擊的攻擊源IP。
[0016](d)若步驟(c)中請求IP含有Proxy服務(wù)的特征字符,執(zhí)行步驟(dl)?(d3); (dl)向步驟(d)中請求IP發(fā)送帶有tag標記的響應(yīng)請求,并要求步驟(d)中請求IP
回饋;
(d2)若步驟(d)中請求IP未回饋符合要求的回饋響應(yīng)則判定步驟(d)中請求IP為HTTP Get Flood攻擊的攻擊源IP,阻斷攻擊源IP,返回步驟(a);
(d3)若步驟(d)中請求IP回饋符合要求的回饋響應(yīng),返回步驟(a);
(e)若步驟(c)中請求IP不含Proxy服務(wù)的特征字符,計算請求IP為HTTP Get Flood攻擊攻擊源IP的概率,執(zhí)行步驟(el)?(e3);
(el)若步驟(e)中概率小于閾值,返回步驟(a);
(e2)若步驟(e)中概率大于等于閾值,向步驟(e)中請求IP發(fā)送帶有tag標記的響應(yīng)請求,并要求步驟(e)中請求IP回饋;
(e3)若步驟(e2)中請求IP回饋符合要求的回饋響應(yīng),返回步驟(a);
(e4)若步驟(e2)中請求IP未回饋符合要求的回饋響應(yīng)則判定步驟(e2)中請求IP為HTTP Get Flood攻擊的攻擊源IP,阻斷攻擊源IP,返回步驟(a)。
[0017]其中,步驟(e)中概率根據(jù)服務(wù)器的歷史統(tǒng)計計算,步驟(el)?(e2)中閾值可通過服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量等服務(wù)器工作參數(shù)判定。
[0018]本實施例中,步驟(e)中概率的計算方法為:
P=歷史正常訪問次數(shù)/(歷史攻擊次數(shù)+歷史正常訪問次數(shù))。
[0019]本實施例中,服務(wù)器為IBM品牌的X3850 M2型服務(wù)器,其正常業(yè)務(wù)流量為500Mbps,步驟(el)?(e2)中閾值為0.01。
[0020]需要說明的是,抓取網(wǎng)絡(luò)數(shù)據(jù)包、對網(wǎng)絡(luò)數(shù)據(jù)包進行HTTP協(xié)議解碼、檢測請求IP是否含有Proxy服務(wù)的特征字符和阻斷攻擊源IP等技術(shù)為本領(lǐng)域(網(wǎng)絡(luò)安全領(lǐng)域)的公知常識,即使本發(fā)明未進行詳細說明,本領(lǐng)域技術(shù)人員也應(yīng)當清楚以上步驟。
[0021]以上所述實施方式僅為本發(fā)明的優(yōu)選實施例,而并非本發(fā)明可行實施的窮舉。對于本領(lǐng)域一般技術(shù)人員而言,在不背離本發(fā)明原理和精神的前提下對其所作出的任何顯而易見的改動,都應(yīng)當被認為包含在本發(fā)明的權(quán)利要求保護范圍之內(nèi)。
【權(quán)利要求】
1.一種HTTP Get Flood攻擊的防護方法,其特征在于包括以下步驟: (a)抓取網(wǎng)絡(luò)數(shù)據(jù)包; (b)對所述網(wǎng)絡(luò)數(shù)據(jù)包進行HTTP協(xié)議解碼,得到請求訪問服務(wù)器的請求IP; (c)檢測所述請求IP是否含有Proxy服務(wù)的特征字符; Cd)若步驟(C)中所述請求IP含有Proxy服務(wù)的特征字符,執(zhí)行步驟(dl)?(d3);(dl)向步驟(d)中所述請求IP發(fā)送響應(yīng)請求,并要求步驟(d)中所述請求IP回饋;(d2)若步驟(d)中所述請求IP未回饋符合要求的回饋響應(yīng),則判定步驟(d)中所述請求IP為HTTP Get Flood攻擊的攻擊源IP,阻斷所述攻擊源IP,返回步驟(a); (d3)若步驟(d)中所述請求IP回饋符合要求的回饋響應(yīng),返回步驟(a); (e)若步驟(c)中所述請求IP不含Proxy服務(wù)的特征字符,計算所述請求IP為HTTPGet Flood攻擊的攻擊源IP的概率,執(zhí)行步驟(el)?(e3); (el)若步驟(e)中所述概率小于閾值,返回步驟(a); (e2)若步驟(e)中所述概率大于等于閾值,向步驟(e)中所述請求IP發(fā)送響應(yīng)請求,并要求步驟(e)中所述請求IP回饋; (e3)若步驟(e2)中所述請求IP回饋符合要求的回饋響應(yīng),返回步驟(a); (e4)若步驟(e2)中所述請求IP未回饋符合要求的回饋響應(yīng),則判定步驟(e2)中所述請求IP為HTTP Get Flood攻擊的攻擊源IP,阻斷所述攻擊源IP,返回步驟(a)。
2.根據(jù)權(quán)利要求1所述的一種HTTPGet Flood攻擊的防護方法,其特征在于步驟(c)中所述 Proxy 服務(wù)的特征字符包括 X_F0RWARDED_F0R、VIA、CLIENT_IP、X0NNECT10N 和XR0XY_C0NNECT10N。
3.根據(jù)權(quán)利要求2所述的一種HTTPGet Flood攻擊的防護方法,其特征在于步驟(e)中所述概率根據(jù)服務(wù)器的歷史統(tǒng)計計算。
4.根據(jù)權(quán)利要求2所述的一種HTTPGet Flood攻擊的防護方法,其特征在于步驟(el)?(e2)中所述閾值由服務(wù)器工作參數(shù)判定,所述服務(wù)器工作參數(shù)包括服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量。
5.根據(jù)權(quán)利要求3或4所述的一種HTTPGet Flood攻擊的防護方法,其特征在于步驟(dl)中所述響應(yīng)請求為帶有tag標記的響應(yīng)請求。
6.根據(jù)權(quán)利要求3或4所述的一種HTTPGet Flood攻擊的防護方法,其特征在于步驟(e2)中所述響應(yīng)請求為帶有tag標記的響應(yīng)請求。
【文檔編號】H04L29/06GK104378357SQ201410567193
【公開日】2015年2月25日 申請日期:2014年10月23日 優(yōu)先權(quán)日:2014年10月23日
【發(fā)明者】左曉軍, 董立勉, 陳澤, 侯波濤, 盧寧, 郗波, 張君艷, 常杰, 王穎, 董娜, 劉偉娜, 王春璞, 劉惠穎 申請人:河北省電力建設(shè)調(diào)整試驗所