本發(fā)明屬于信息安全技術(shù)領(lǐng)域，更具體的說，是涉及一種Web服務(wù)器惡意攻擊的阻斷方法、裝置及防火墻。

背景技術(shù)：

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，越來(lái)越多的用戶需要接入到互聯(lián)網(wǎng)中來(lái)獲取資料、訪問各種網(wǎng)站等活動(dòng)，由于用戶接入互聯(lián)網(wǎng)所使用的都是IPV4地址，而IPV4地址的數(shù)量有限，導(dǎo)致了IPV4的地址枯竭。

為了應(yīng)對(duì)IPV4地址枯竭的問題，大多數(shù)的公司、政府、網(wǎng)吧等具有數(shù)量較多客戶端的場(chǎng)所基本都是將這些客戶端設(shè)置為局域網(wǎng)，然后通過NAT設(shè)備進(jìn)行NAT地址轉(zhuǎn)換后，連接到互聯(lián)網(wǎng)中的。這樣就會(huì)使得局域網(wǎng)內(nèi)的所有客戶端只使用一個(gè)公網(wǎng)IP來(lái)訪問互聯(lián)網(wǎng)。

于此同時(shí)，針對(duì)Web服務(wù)器的惡意攻擊也越來(lái)越猖獗。惡意攻擊主要包括爬蟲攻擊和漏洞掃描攻擊，攻擊者通過掃描探測(cè)工具，自動(dòng)化攻擊工具等攻擊Web服務(wù)器。

為了應(yīng)對(duì)惡意攻擊，網(wǎng)站部署防火墻等網(wǎng)絡(luò)安全設(shè)備來(lái)增強(qiáng)Web服務(wù)器的安全性?，F(xiàn)有防火墻應(yīng)對(duì)Web服務(wù)器惡意攻擊的方法是，一旦識(shí)別出攻擊，就阻斷IP地址的訪問。

但是，由于局域網(wǎng)內(nèi)有大量的用戶，如果只是其中一個(gè)用戶主動(dòng)發(fā)起惡意攻擊或由于中毒、木馬等因素被動(dòng)發(fā)起惡意攻擊，一旦阻斷該用戶所使用IP地址的訪問，就會(huì)造成整個(gè)局域網(wǎng)內(nèi)的所有用戶都無(wú)法訪問Web服務(wù)器。對(duì)不具有惡意攻擊的用戶來(lái)說，也無(wú)法正常訪問Web服務(wù)器。

因此，亟需一種在識(shí)別出攻擊后，仍然可以保證局域網(wǎng)中不具有惡意攻擊的正常用戶可以正常訪問Web服務(wù)器的方法。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明提供了一種Web服務(wù)器惡意攻擊的阻斷方法、裝置及防火墻，以解決現(xiàn)有技術(shù)中由于局域網(wǎng)中有異常用戶而導(dǎo)致整個(gè)局域網(wǎng)中的所有用戶都無(wú)法正常訪問Web服務(wù)器的技術(shù)問題。

為實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

本發(fā)明提供了一種Web服務(wù)器惡意攻擊的阻斷方法，包括：

接收客戶端訪問Web服務(wù)器所發(fā)送的訪問請(qǐng)求；

判斷所述訪問請(qǐng)求是否為惡意攻擊請(qǐng)求，若是，則將所述客戶端標(biāo)記為惡意攻擊客戶端；

丟棄所述訪問請(qǐng)求并阻斷所述惡意攻擊客戶端發(fā)送的后續(xù)訪問請(qǐng)求。

優(yōu)選的，所述將所述客戶端標(biāo)記為惡意攻擊客戶端包括：

解析所述訪問請(qǐng)求，得到所述客戶端的標(biāo)識(shí)信息；

根據(jù)所述標(biāo)識(shí)信息將預(yù)設(shè)模板中與所述標(biāo)識(shí)信息相對(duì)應(yīng)的客戶端標(biāo)記為惡意攻擊客戶端。

優(yōu)選的，所述解析所述訪問請(qǐng)求，得到所述客戶端的標(biāo)識(shí)信息包括：

使用協(xié)議解析的方法解析所述訪問請(qǐng)求，得到解析結(jié)果；

判斷所述解析結(jié)果中是否包含有Cookie；

若是，則將所述Cookie中訪問Web服務(wù)器的會(huì)話信息作為所述客戶端的標(biāo)識(shí)信息；

若否，則根據(jù)所述解析結(jié)果，使用預(yù)設(shè)算法得到包含標(biāo)識(shí)信息的Cookie；

將所述包含標(biāo)識(shí)信息的Cookie作為重定向報(bào)文回復(fù)給所述客戶端，以使所述客戶端存儲(chǔ)該Cookie并在下次訪問請(qǐng)求中攜帶該Cookie。

優(yōu)選的，所述解析所述訪問請(qǐng)求，得到所述客戶端的標(biāo)識(shí)信息后還包括：

解析所述訪問請(qǐng)求，得到所述客戶端的IP地址；

根據(jù)所述客戶端的IP地址以及所述客戶端的標(biāo)識(shí)信息生成預(yù)設(shè)模板。

優(yōu)選的，其中，所述預(yù)設(shè)模板中同一IP地址對(duì)應(yīng)多個(gè)客戶端的標(biāo)識(shí)信息，所述阻斷方法還包括：

將所述預(yù)設(shè)模板中客戶端的IP地址以及該IP地址下的客戶端的標(biāo)識(shí)信息使用報(bào)表和/或日志的方式發(fā)送到顯示模塊進(jìn)行顯示。

本發(fā)明另一方面提供了一種Web服務(wù)器惡意攻擊的阻斷裝置，包括：

接收模塊，用于接收客戶端訪問Web服務(wù)器所發(fā)送的訪問請(qǐng)求；

判斷模塊，用于判斷所述訪問請(qǐng)求是否為惡意攻擊請(qǐng)求，若是，則將所述客戶端標(biāo)記為惡意攻擊客戶端；

處理模塊，用于丟棄所述訪問請(qǐng)求并阻斷所述惡意攻擊客戶端發(fā)送的后續(xù)訪問請(qǐng)求。

優(yōu)選的，所述判斷模塊包括：

解析單元，用于解析所述訪問請(qǐng)求，得到所述客戶端的標(biāo)識(shí)信息；

標(biāo)記單元，用于根據(jù)所述標(biāo)識(shí)信息將預(yù)設(shè)模板中與所述標(biāo)識(shí)信息相對(duì)應(yīng)的客戶端標(biāo)記為惡意攻擊客戶端。

優(yōu)選的，所述解析單元包括：

第一解析子單元，用于使用協(xié)議解析的方法解析所述訪問請(qǐng)求，得到解析結(jié)果；

判斷單元，用于判斷所述解析結(jié)果中是否包含有Cookie；若是，則將所述Cookie中訪問Web服務(wù)器的會(huì)話信息作為所述客戶端的標(biāo)識(shí)信息；若否，則根據(jù)所述解析結(jié)果，使用預(yù)設(shè)算法得到包含標(biāo)識(shí)信息的Cookie；

重定向單元，用于將所述包含標(biāo)識(shí)信息的Cookie作為重定向報(bào)文回復(fù)給所述客戶端，以使所述客戶端存儲(chǔ)該Cookie并在下次訪問請(qǐng)求中攜帶該Cookie。

優(yōu)選的，還包括：

第二解析子單元，用于解析所述訪問請(qǐng)求，得到所述客戶端的IP地址；

生成單元，用于根據(jù)所述客戶端的IP地址以及所述客戶端的標(biāo)識(shí)信息生成預(yù)設(shè)模板。

本發(fā)明另一方面公開了一種防火墻，包括上述所述的阻斷裝置。

經(jīng)由上述的技術(shù)方案可知，與現(xiàn)有技術(shù)相比，本發(fā)明公開了一種Web服務(wù)器惡意攻擊的阻斷方法、裝置及防火墻，所述阻斷方法包括：接收客戶端訪問Web服務(wù)器所發(fā)送的訪問請(qǐng)求；判斷所述訪問請(qǐng)求是否為惡意攻擊請(qǐng)求，若是，則將所述客戶端標(biāo)記為惡意攻擊客戶端；丟棄所述訪問請(qǐng)求并阻斷所述惡意攻擊客戶端發(fā)送的后續(xù)訪問請(qǐng)求。由此可見，本發(fā)明中，不是直接對(duì)IP地址進(jìn)行阻斷，而是僅僅對(duì)發(fā)起惡意攻擊的客戶端進(jìn)行阻斷，保證了局域網(wǎng)中不具有惡意攻擊的正常用戶仍然可以正常訪問Web服務(wù)器。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例提供的一種Web服務(wù)器惡意攻擊的阻斷方法的流程示意圖；

圖2為本發(fā)明實(shí)施例提供的一種Web服務(wù)器惡意攻擊的阻斷方法的另一種流程示意圖；

圖3為本發(fā)明實(shí)施例提供的一種Web服務(wù)器惡意攻擊的阻斷裝置的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

在現(xiàn)有技術(shù)中，對(duì)惡意攻擊的阻斷方法是一旦發(fā)現(xiàn)訪問請(qǐng)求是惡意攻擊，則獲取發(fā)送訪問請(qǐng)求客戶端的IP地址，然后通過阻斷IP地址的方式來(lái)阻斷此客戶端對(duì)Web服務(wù)器的惡意攻擊。

此種針對(duì)IP的阻斷，只記錄了阻斷IP的日志信息，對(duì)于真正攻擊者的調(diào)查取證無(wú)法提供證據(jù)信息。

而且，一旦阻斷該用戶所使用IP地址的訪問，就會(huì)造成整個(gè)局域網(wǎng)內(nèi)的所有用戶都無(wú)法訪問Web服務(wù)器。對(duì)不具有惡意攻擊的用戶來(lái)說，也無(wú)法正常訪問Web服務(wù)器。

為了解決現(xiàn)有技術(shù)中所存在的問題，本發(fā)明實(shí)施例公開了一種Web服務(wù)器惡意攻擊的阻斷方法、裝置及防火墻。下面詳細(xì)說明本發(fā)明的技術(shù)方案。

圖1是本發(fā)明提供的一種Web服務(wù)器惡意攻擊的阻斷方法的流程示意圖。

參見圖1所示，本發(fā)明提供了一種Web服務(wù)器惡意攻擊的阻斷方法，包括：

S101、接收客戶端訪問Web服務(wù)器所發(fā)送的訪問請(qǐng)求；

本發(fā)明實(shí)施例中，所述阻斷方法優(yōu)選應(yīng)用到防火墻中。防火墻架設(shè)在Web服務(wù)器與客戶端之間，作為連接Web服務(wù)器與客戶端的一個(gè)橋梁。

在實(shí)際使用中，通常將防火墻部署為網(wǎng)關(guān)模式，任何需要訪問Web服務(wù)器的流量或請(qǐng)求都需要經(jīng)過防火墻才能通過。

因此，本發(fā)明實(shí)施例中，當(dāng)客戶端需要訪問Web服務(wù)器時(shí)，防火墻會(huì)在訪問請(qǐng)求發(fā)送到Web服務(wù)器之前接收客戶端發(fā)送的訪問請(qǐng)求。

在實(shí)際使用中，此步驟也可以是實(shí)時(shí)檢測(cè)客戶端訪問Web服務(wù)器的流量，所述流量中包括所述客戶端訪問Web服務(wù)器的訪問請(qǐng)求。

S102、判斷所述訪問請(qǐng)求是否為惡意攻擊請(qǐng)求，若是，則將所述客戶端標(biāo)記為惡意攻擊客戶端；

當(dāng)接收到訪問請(qǐng)求時(shí)，使用現(xiàn)有技術(shù)中成熟的檢測(cè)手段來(lái)判斷此請(qǐng)求是否為惡意攻擊請(qǐng)求，例如惡意爬蟲、漏洞掃描等攻擊請(qǐng)求。

若是，則對(duì)發(fā)起攻擊的客戶端進(jìn)行標(biāo)記，將其標(biāo)記為惡意攻擊客戶端。

在實(shí)際使用中可以是識(shí)別出流量中是否存在惡意攻擊請(qǐng)求，若存在，則將所述客戶但標(biāo)記為惡意攻擊客戶端。

若否，可以對(duì)該訪問請(qǐng)求放行，使得客戶端可以正常訪問Web客戶端，當(dāng)然，也可以執(zhí)行其它策略，例如Web服務(wù)器是否到達(dá)訪問上限等，在對(duì)此請(qǐng)求執(zhí)行對(duì)應(yīng)的后續(xù)操作即可，在此不進(jìn)行贅述。

S103、丟棄所述訪問請(qǐng)求并阻斷所述惡意攻擊客戶端發(fā)送的后續(xù)訪問請(qǐng)求。

若此訪問請(qǐng)求為惡意攻擊請(qǐng)求，丟棄訪問請(qǐng)求，即丟棄客戶端發(fā)送的數(shù)據(jù)包或報(bào)文。保護(hù)Web服務(wù)器不受到攻擊。

并且，阻斷惡意攻擊客戶端發(fā)送的后續(xù)請(qǐng)求。也就是將客戶端屏蔽，阻斷其與Web服務(wù)器的通信和連接，并阻止其在后續(xù)的時(shí)間段內(nèi)試圖與Web服務(wù)器進(jìn)行再一次的攻擊。后續(xù)時(shí)間段可以由用戶根據(jù)實(shí)際的情況或參考來(lái)設(shè)定具體值，例如1小時(shí)、1天、一周或永久。

當(dāng)然，當(dāng)標(biāo)記被清除或到達(dá)了限制時(shí)間后，就不會(huì)在對(duì)客戶端進(jìn)行屏蔽，還可以發(fā)出提示請(qǐng)求，來(lái)詢問用戶是否清除標(biāo)記，用戶根據(jù)實(shí)際情況來(lái)對(duì)標(biāo)記進(jìn)行操作，接收用戶對(duì)該惡意客戶端標(biāo)記的操作，對(duì)標(biāo)記進(jìn)行清除或保留操作。

經(jīng)由上述的技術(shù)方案可知，與現(xiàn)有技術(shù)相比，本發(fā)明公開了一種Web服務(wù)器惡意攻擊的阻斷方法，包括：接收客戶端訪問Web服務(wù)器所發(fā)送的訪問請(qǐng)求；判斷所述訪問請(qǐng)求是否為惡意攻擊請(qǐng)求，若是，則將所述客戶端標(biāo)記為惡意攻擊客戶端；丟棄所述訪問請(qǐng)求并阻斷所述惡意攻擊客戶端發(fā)送的后續(xù)訪問請(qǐng)求。由此可見，本發(fā)明中，不是直接對(duì)IP地址進(jìn)行阻斷，而是僅僅對(duì)發(fā)起惡意攻擊的客戶端進(jìn)行阻斷，保證了局域網(wǎng)中不具有惡意攻擊的正常用戶仍然可以正常訪問Web服務(wù)器。

對(duì)訪問請(qǐng)求執(zhí)行解析，來(lái)獲取到客戶端的標(biāo)識(shí)信息。所述標(biāo)識(shí)信息用于表征所述客戶端訪問Web服務(wù)器的記錄。

上述實(shí)施例中，需要判斷所述訪問請(qǐng)求是否為惡意攻擊請(qǐng)求下面對(duì)此過程進(jìn)行進(jìn)一步的介紹。

參照?qǐng)D2所示，圖2是本發(fā)明實(shí)施例中提供的一種Web服務(wù)器惡意攻擊的阻斷方法的另一種流程示意圖。

本發(fā)明提供的一種Web服務(wù)器惡意攻擊的阻斷方法，包括：

S201、接收客戶端訪問Web服務(wù)器所發(fā)送的訪問請(qǐng)求；

S202、解析所述訪問請(qǐng)求，得到所述客戶端的標(biāo)識(shí)信息；

根據(jù)所述標(biāo)識(shí)信息將預(yù)設(shè)模板中與所述標(biāo)識(shí)信息相對(duì)應(yīng)的客戶端標(biāo)記為惡意攻擊客戶端。

S203、丟棄所述訪問請(qǐng)求并阻斷所述惡意攻擊客戶端發(fā)送的后續(xù)訪問請(qǐng)求。

其中，S201與S203與前述S101和103相同，不在此過多贅述。

下面主要對(duì)步驟S202進(jìn)行介紹。

本發(fā)明中的預(yù)設(shè)模板包括多個(gè)客戶端以及各自對(duì)應(yīng)的標(biāo)識(shí)信息，即，在預(yù)設(shè)模板中是包括有每個(gè)訪問Web服務(wù)器的客戶端以及每個(gè)客戶端對(duì)應(yīng)的標(biāo)識(shí)信息。

在分析出訪問請(qǐng)求為惡意攻擊請(qǐng)求后，根據(jù)客戶端的標(biāo)識(shí)信息將預(yù)設(shè)模板中的該客戶端進(jìn)行標(biāo)記，標(biāo)記可以是通過策略表的方式與預(yù)設(shè)模板進(jìn)行關(guān)聯(lián)，策略表中有對(duì)惡意攻擊客戶端的執(zhí)行策略。也可以是在預(yù)設(shè)模板中設(shè)置標(biāo)記數(shù)據(jù)列。當(dāng)然，還可以是其它形式，只要可以將攻擊客戶端標(biāo)記為惡意攻擊客戶端即可，在此不進(jìn)行具體限定。

其中，S202可以分成如下步驟。

所述解析所述訪問請(qǐng)求，得到所述客戶端的標(biāo)識(shí)信息包括：

使用協(xié)議解析的方法解析所述訪問請(qǐng)求，得到解析結(jié)果；

判斷所述解析結(jié)果中是否包含有Cookie；

若是，則將所述Cookie中訪問Web服務(wù)器的會(huì)話信息作為所述客戶端的標(biāo)識(shí)信息；

若否，則根據(jù)所述解析結(jié)果，使用預(yù)設(shè)算法得到包含標(biāo)識(shí)信息的Cookie；

將所述包含標(biāo)識(shí)信息的Cookie作為重定向報(bào)文回復(fù)給所述客戶端，以使所述客戶端存儲(chǔ)該Cookie并在下次訪問請(qǐng)求中攜帶該Cookie。

通常，在本領(lǐng)域中，如果用戶訪問了某網(wǎng)站，即用戶使用的客戶端訪問Web服務(wù)器，通常都會(huì)指示客戶端存儲(chǔ)訪問此網(wǎng)站的記錄，一般是指示客戶端存儲(chǔ)Cookie。在Cookie中，通常都包含有會(huì)話信息即知名會(huì)話標(biāo)識(shí)sessionID，每一個(gè)客戶端的sessionID的具體值是唯一的，因此，每個(gè)會(huì)話信息是不同的。該知名sessionID可以表征客戶端訪問了某Web服務(wù)器。例如新浪、搜狐等，在Cookie文件中都有自己的sessionID。

因此，本發(fā)明實(shí)施例中，獲取客戶端的標(biāo)識(shí)信息，可以理解為獲取Cookie中的知名sessionID。

本發(fā)明實(shí)施例中，使用現(xiàn)有技術(shù)中成熟的協(xié)議解析方法對(duì)訪問請(qǐng)求進(jìn)行解析，得到解析結(jié)果。解析結(jié)果中包客戶端的IP地址，User-Agent(UA，通常包含操作系統(tǒng)、瀏覽器信息)，Accept(瀏覽器接收的文件類型)，Cookie。還可以包括Host(域名)、Accept-Language(瀏覽器接收的語(yǔ)言)、請(qǐng)求方法URL等與客戶端相關(guān)的數(shù)據(jù)。

如果在解析結(jié)果中具有Cookie，則證明此客戶端訪問過Web服務(wù)器，將Cookie中的會(huì)話信息作為所述客戶端的標(biāo)識(shí)信息。

如果否，也就是不包含知名sessionID的情況。則根據(jù)解析結(jié)果，使用預(yù)設(shè)算法生成唯一的標(biāo)識(shí)信息，并將該標(biāo)識(shí)信息攜帶到Cookie中作為重定向報(bào)文回復(fù)給所述客戶端，結(jié)束此次會(huì)話，即斷開與客戶端的連接。

客戶端接收到此Cookie后，存儲(chǔ)此Cookie，作為下一次訪問請(qǐng)求中的數(shù)據(jù)發(fā)送到防火墻。

需要說明的是，如果解析結(jié)果中包括Cookie時(shí)，還可以判斷此Cookie中是否包含有客戶端的會(huì)話信息，如果沒有獲取到，也會(huì)執(zhí)行后續(xù)步驟，生成唯一的標(biāo)識(shí)信息，將所述包含標(biāo)識(shí)信息的Cookie作為重定向報(bào)文回復(fù)給所述客戶端。

計(jì)算出客戶端的標(biāo)識(shí)信息可以根據(jù)IP、User-agent(UA，通常包含操作系統(tǒng)、瀏覽器信息)、Accept(瀏覽器接收的文件類型)、Host(域名)、Accept-Language(瀏覽器接收的語(yǔ)言)、請(qǐng)求方法URL等字段以及時(shí)間計(jì)算所得，具體的計(jì)算方式在此不進(jìn)行限定，只要可以得到唯一的標(biāo)識(shí)信息即可。

上述實(shí)施例中，提到了預(yù)設(shè)模板，下面對(duì)生成預(yù)設(shè)模板的方法進(jìn)行介紹。

所述解析所述訪問請(qǐng)求，得到所述客戶端的標(biāo)識(shí)信息后還包括：

解析所述訪問請(qǐng)求，得到所述客戶端的IP地址；

根據(jù)所述客戶端的IP地址以及所述客戶端的標(biāo)識(shí)信息生成預(yù)設(shè)模板。

在接收到客戶端發(fā)送的訪問請(qǐng)求后，不管此訪問請(qǐng)求是否為惡意攻擊，都會(huì)將客戶端的IP地址以及客戶端的標(biāo)識(shí)信息作為對(duì)應(yīng)關(guān)系存儲(chǔ)在預(yù)設(shè)模板中。預(yù)設(shè)模版可以理解為IP以及標(biāo)識(shí)的對(duì)應(yīng)表。

可選的，所述預(yù)設(shè)模板中同一IP地址對(duì)應(yīng)多個(gè)客戶端的標(biāo)識(shí)信息，所述阻斷方法還包括：

將所述預(yù)設(shè)模板中客戶端的IP地址以及該IP地址下的客戶端的標(biāo)識(shí)信息使用報(bào)表和/或日志的方式發(fā)送到顯示模塊進(jìn)行顯示。

在建立了預(yù)設(shè)模板后，可以根據(jù)IP和客戶端標(biāo)識(shí)，進(jìn)行報(bào)表和日志展示。

按照所述對(duì)應(yīng)關(guān)系將所述預(yù)設(shè)模板中客戶端的IP地址以及該IP地址下的客戶端的標(biāo)識(shí)信息使用報(bào)表和/或日志的方式發(fā)送到顯示模塊進(jìn)行顯示。

當(dāng)識(shí)別出所述訪問請(qǐng)求為惡意攻擊或者檢測(cè)流量里的具有惡意攻擊時(shí)，將包含有該客戶端歷史訪問文件、攻擊碎片、訪問時(shí)間等信息上傳到事件日志中，同時(shí)在事件日志中記錄該客戶端標(biāo)識(shí)信息，存儲(chǔ)在數(shù)據(jù)庫(kù)中。

根據(jù)上述的介紹可以看出，本發(fā)明具有如下效果：

1)識(shí)別客戶端標(biāo)示和NAT轉(zhuǎn)換IP，可以用于攻擊溯源的跟蹤，根據(jù)客戶端信息，定位攻擊者設(shè)備。

2)不阻斷IP，根據(jù)客戶端標(biāo)示阻斷，避免在NAT轉(zhuǎn)換的環(huán)境里，對(duì)整個(gè)局域網(wǎng)的阻斷。

3)攻擊IP和客戶端標(biāo)示對(duì)應(yīng)模板，可以用來(lái)進(jìn)行攻擊的溯源，通過IP定位到攻擊者所在的局域網(wǎng)，通過客戶端標(biāo)識(shí)信息，區(qū)分局域網(wǎng)里的設(shè)備。追蹤客戶端標(biāo)示的攻擊事件，可以從同一個(gè)IP但不同客戶端的維度，進(jìn)行報(bào)表展示。報(bào)表中記錄不同客戶端的訪問行為，攻擊行為，統(tǒng)計(jì)同一個(gè)IP局域網(wǎng)內(nèi)客戶端的數(shù)量，對(duì)比不同客戶端的行為，對(duì)可疑客戶端行為進(jìn)行展示。

與上述方法實(shí)施例相對(duì)應(yīng)的，本發(fā)明實(shí)施例中提供了一種Web服務(wù)器惡意攻擊的阻斷裝置。

參見圖3，本發(fā)明提供的一種Web服務(wù)器惡意攻擊的阻斷裝置包括：

一種Web服務(wù)器惡意攻擊的阻斷裝置，其特征在于，包括：

接收模塊301，用于接收客戶端訪問Web服務(wù)器所發(fā)送的訪問請(qǐng)求；

判斷模塊302，用于判斷所述訪問請(qǐng)求是否為惡意攻擊請(qǐng)求，若是，則將所述客戶端標(biāo)記為惡意攻擊客戶端；

處理模塊303，用于丟棄所述訪問請(qǐng)求并阻斷所述惡意攻擊客戶端發(fā)送的后續(xù)訪問請(qǐng)求。

可選的，所述判斷模塊包括：

解析單元，用于解析所述訪問請(qǐng)求，得到所述客戶端的標(biāo)識(shí)信息；

標(biāo)記單元，用于根據(jù)所述標(biāo)識(shí)信息將預(yù)設(shè)模板中與所述標(biāo)識(shí)信息相對(duì)應(yīng)的客戶端標(biāo)記為惡意攻擊客戶端。

可選的，所述解析單元包括：

第一解析子單元，用于使用協(xié)議解析的方法解析所述訪問請(qǐng)求，得到解析結(jié)果；

判斷單元，用于判斷所述解析結(jié)果中是否包含有Cookie；若是，則將所述Cookie中訪問Web服務(wù)器的會(huì)話信息作為所述客戶端的標(biāo)識(shí)信息；若否，則根據(jù)所述解析結(jié)果，使用預(yù)設(shè)算法得到包含標(biāo)識(shí)信息的Cookie；

重定向單元，用于將所述包含標(biāo)識(shí)信息的Cookie作為重定向報(bào)文回復(fù)給所述客戶端，以使所述客戶端存儲(chǔ)該Cookie并在下次訪問請(qǐng)求中攜帶該Cookie。

可選的，還包括：

第二解析子單元，用于解析所述訪問請(qǐng)求，得到所述客戶端的IP地址；

生成單元，用于根據(jù)所述客戶端的IP地址以及所述客戶端的標(biāo)識(shí)信息生成預(yù)設(shè)模板。

需要說明的是，本實(shí)施例的一種Web服務(wù)器惡意攻擊的阻斷裝置可以采用上述方法實(shí)施例中的一種Web服務(wù)器惡意攻擊的阻斷方法，用于實(shí)現(xiàn)上述方法實(shí)施例中的全部技術(shù)方案，其各個(gè)模塊的功能可以根據(jù)上述方法實(shí)施例中的方法具體實(shí)現(xiàn)，其具體實(shí)現(xiàn)過程可參照上述實(shí)施例中的相關(guān)描述，此處不再贅述。

本發(fā)明另一方面公開了一種防火墻，包括上述所述的阻斷裝置。

經(jīng)由上述的技術(shù)方案可知，與現(xiàn)有技術(shù)相比，經(jīng)由上述的技術(shù)方案可知，與現(xiàn)有技術(shù)相比，本發(fā)明公開了一種Web服務(wù)器惡意攻擊的阻斷方法、裝置及防火墻，所述阻斷裝置接收客戶端訪問Web服務(wù)器所發(fā)送的訪問請(qǐng)求；判斷所述訪問請(qǐng)求是否為惡意攻擊請(qǐng)求，若是，則將所述客戶端標(biāo)記為惡意攻擊客戶端；丟棄所述訪問請(qǐng)求并阻斷所述惡意攻擊客戶端發(fā)送的后續(xù)訪問請(qǐng)求。由此可見，本發(fā)明中，不是直接對(duì)IP地址進(jìn)行阻斷，而是僅僅對(duì)發(fā)起惡意攻擊的客戶端進(jìn)行阻斷，保證了局域網(wǎng)中不具有惡意攻擊的正常用戶仍然可以正常訪問Web服務(wù)器。

當(dāng)然，防火墻也可以實(shí)現(xiàn)上述阻斷裝置相同的功能。

需要說明的是，本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同相似的部分互相參見即可。

以上結(jié)合附圖對(duì)本發(fā)明所提出的方法進(jìn)行了示例性描述，以上實(shí)施例的說明只是用于幫助理解本發(fā)明的核心思想。對(duì)于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在具體實(shí)施方式及應(yīng)用范圍上均會(huì)有改變之處。綜上所述，本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。

對(duì)所公開的實(shí)施例的上述說明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來(lái)說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實(shí)施例中實(shí)現(xiàn)。因此，本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例，而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。