防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法����、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域,具體而言�,涉及一種防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法、裝置及系統(tǒng)�����。
【背景技術(shù)】
[0002]目前���,各種組織的業(yè)務(wù)系統(tǒng)都是基于瀏覽器/服務(wù)器架構(gòu)���,作為提供業(yè)務(wù)系統(tǒng)支撐的Web服務(wù)器,受到的各種網(wǎng)絡(luò)攻擊日益增多��。
[0003]例如��,有一種網(wǎng)絡(luò)攻擊名為“挑戰(zhàn)黑洞”(challenge collapsar�����,簡(jiǎn)稱為CC),CC攻擊利用代理的服務(wù)器向Web服務(wù)器通過(guò)三次握手后建立連接��,發(fā)送HTTP請(qǐng)求某一個(gè)計(jì)算資源較大的URL���,然后以不做任何ACK或FIN包回應(yīng)�。重復(fù)上述過(guò)程�,不斷消耗服務(wù)器資源,使服務(wù)器連接池和資源池耗盡�����,無(wú)法響應(yīng)正常的用戶請(qǐng)求���,從而使業(yè)務(wù)系統(tǒng)癱瘓。
[0004]針對(duì)現(xiàn)有技術(shù)中網(wǎng)絡(luò)攻擊Web服務(wù)器�����,消耗Web服務(wù)器資源的問(wèn)題�����,目前尚未提出有效的解決方案�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的主要目的在于提供一種防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法、裝置及系統(tǒng)�,以解決現(xiàn)有技術(shù)中網(wǎng)絡(luò)攻擊Web服務(wù)器,消耗Web服務(wù)器資源的問(wèn)題�����。
[0006]為了實(shí)現(xiàn)上述目的����,根據(jù)本發(fā)明的一個(gè)方面,提供了一種防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法�。該方法包括:安全網(wǎng)關(guān)接收訪問(wèn)請(qǐng)求,其中�,訪問(wèn)請(qǐng)求是客戶端請(qǐng)求訪問(wèn)Web服務(wù)器的請(qǐng)求,訪問(wèn)請(qǐng)求包括客戶端的標(biāo)識(shí)信息����;安全網(wǎng)關(guān)檢測(cè)標(biāo)識(shí)信息中是否包括有效的訪問(wèn)令牌,訪問(wèn)令牌用于驗(yàn)證客戶端請(qǐng)求訪問(wèn)Web服務(wù)器的合法性�����;如果安全網(wǎng)關(guān)檢測(cè)標(biāo)識(shí)信息中包括有效的訪問(wèn)令牌�,則允許客戶端對(duì)Web服務(wù)器執(zhí)行訪問(wèn)�����;以及如果安全網(wǎng)關(guān)檢測(cè)標(biāo)識(shí)信息中不包括有效的訪問(wèn)令牌�����,則拒絕客戶端訪問(wèn)Web服務(wù)器�����。
[0007]進(jìn)一步地����,訪問(wèn)請(qǐng)求包括第一訪問(wèn)請(qǐng)求�,第一訪問(wèn)請(qǐng)求標(biāo)識(shí)信息中不包括有效的訪問(wèn)令牌���,安全網(wǎng)關(guān)在判斷出標(biāo)識(shí)信息中不包括有效的訪問(wèn)令牌之后����,該方法還包括:安全網(wǎng)關(guān)發(fā)送有效的訪問(wèn)令牌至客戶端��;安全網(wǎng)關(guān)檢測(cè)是否接收到客戶端發(fā)出的第二訪問(wèn)請(qǐng)求�,其中�,第二訪問(wèn)請(qǐng)求是客戶端在接收到有效的訪問(wèn)令牌之后����,再次請(qǐng)求訪問(wèn)Web服務(wù)器的請(qǐng)求;如果安全網(wǎng)關(guān)接收到客戶端發(fā)出的第二訪問(wèn)請(qǐng)求��,則允許客戶端對(duì)Web服務(wù)器執(zhí)行訪問(wèn)���;以及如果安全網(wǎng)關(guān)沒(méi)有接收到客戶端發(fā)出的第二訪問(wèn)請(qǐng)求��,則拒絕客戶端訪問(wèn)Web服務(wù)器�����。
[0008]進(jìn)一步地����,安全網(wǎng)關(guān)發(fā)送有效的訪問(wèn)令牌至客戶端包括:安全網(wǎng)關(guān)生成請(qǐng)求響應(yīng)信息����,其中,請(qǐng)求響應(yīng)信息是安全網(wǎng)關(guān)根據(jù)接收到的第一訪問(wèn)請(qǐng)求生成的信息����;安全網(wǎng)關(guān)生成有效的訪問(wèn)令牌����;安全網(wǎng)關(guān)根據(jù)有效的訪問(wèn)令牌和請(qǐng)求響應(yīng)信息生成請(qǐng)求響應(yīng)包���;以及安全網(wǎng)關(guān)發(fā)送請(qǐng)求響應(yīng)包至客戶端��。
[0009]進(jìn)一步地��,安全網(wǎng)關(guān)檢測(cè)標(biāo)識(shí)信息中是否包括有效的訪問(wèn)令牌包括:檢測(cè)標(biāo)識(shí)信息中是否包括訪問(wèn)令牌�����;如果檢測(cè)出標(biāo)識(shí)信息中包括訪問(wèn)令牌�,判斷訪問(wèn)令牌是否符合預(yù)設(shè)的合法性條件��;以及如果訪問(wèn)令牌符合預(yù)設(shè)的合法性條件�,判斷訪問(wèn)令牌是否超過(guò)預(yù)設(shè)時(shí)間;其中���,如果判斷出標(biāo)識(shí)信息中訪問(wèn)令牌沒(méi)有超過(guò)預(yù)設(shè)時(shí)間,則確定標(biāo)識(shí)信息中訪問(wèn)令牌為有效的訪問(wèn)令牌���,如果判斷出標(biāo)識(shí)信息中訪問(wèn)令牌不符合預(yù)設(shè)的合法性條件或標(biāo)識(shí)信息中訪問(wèn)令牌超過(guò)預(yù)設(shè)時(shí)間����,則確定標(biāo)識(shí)信息中訪問(wèn)令牌不是有效的訪問(wèn)令牌。
[0010]進(jìn)一步地�����,在安全網(wǎng)關(guān)接收訪問(wèn)請(qǐng)求之前����,該方法還包括:安全網(wǎng)關(guān)接收握手信號(hào),其中��,握手信號(hào)為客戶端向Web服務(wù)器發(fā)出建立連接的信號(hào)���;安全網(wǎng)關(guān)轉(zhuǎn)發(fā)握手信號(hào)至Web服務(wù)器��;安全網(wǎng)關(guān)接收應(yīng)答信號(hào)����,其中��,應(yīng)答信號(hào)為Web服務(wù)器接收到握手信號(hào)后向客戶端發(fā)出的信號(hào)�;安全網(wǎng)關(guān)轉(zhuǎn)發(fā)應(yīng)答信號(hào)至客戶端;安全網(wǎng)關(guān)接收響應(yīng)信號(hào),其中�,響應(yīng)信號(hào)為客戶端接收到應(yīng)答信號(hào)后向Web服務(wù)器返回的響應(yīng)信號(hào);以及安全網(wǎng)關(guān)轉(zhuǎn)發(fā)響應(yīng)信號(hào)至Web服務(wù)器�����。
[0011]進(jìn)一步地���,在安全網(wǎng)關(guān)發(fā)送有效的訪問(wèn)令牌至客戶端之后����,在安全網(wǎng)關(guān)檢測(cè)是否接收到客戶端發(fā)出的第二訪問(wèn)請(qǐng)求之前����,該方法還包括:接收請(qǐng)求響應(yīng)包;根據(jù)請(qǐng)求響應(yīng)包關(guān)閉客戶端與Web服務(wù)器之間建立的連接���;解析請(qǐng)求響應(yīng)包����,其中�,解析出的請(qǐng)求響應(yīng)包包括標(biāo)識(shí)信息和訪問(wèn)Web服務(wù)器的鏈接;以及根據(jù)標(biāo)識(shí)信息和訪問(wèn)Web服務(wù)器的鏈接重新發(fā)出第二訪問(wèn)請(qǐng)求���。
[0012]進(jìn)一步地�,如果安全網(wǎng)關(guān)檢測(cè)標(biāo)識(shí)信息中包括有效的訪問(wèn)令牌��,則允許客戶端對(duì)Web服務(wù)器執(zhí)行訪問(wèn)包括:安全網(wǎng)關(guān)接收第二訪問(wèn)請(qǐng)求�����,其中����,第二訪問(wèn)請(qǐng)求包括標(biāo)識(shí)信息;安全網(wǎng)關(guān)檢測(cè)標(biāo)識(shí)信息中是否含有有效的訪問(wèn)令牌�����;以及如果標(biāo)識(shí)信息中含有有效的訪問(wèn)令牌��,安全網(wǎng)關(guān)轉(zhuǎn)發(fā)第二訪問(wèn)請(qǐng)求至Web服務(wù)器對(duì)Web服務(wù)器進(jìn)行訪問(wèn)���。
[0013]為了實(shí)現(xiàn)上述目的���,根據(jù)本發(fā)明的另一方面,提供了一種防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理裝置�。該裝置包括:第一接收單元,用于接收訪問(wèn)請(qǐng)求,其中����,訪問(wèn)請(qǐng)求是客戶端請(qǐng)求訪問(wèn)Web服務(wù)器的請(qǐng)求,訪問(wèn)請(qǐng)求包括客戶端的標(biāo)識(shí)信息�����;第一檢測(cè)單元���,用于檢測(cè)標(biāo)識(shí)信息中是否包括有效的訪問(wèn)令牌��,訪問(wèn)令牌用于驗(yàn)證客戶端請(qǐng)求訪問(wèn)Web服務(wù)器的合法性�;第一訪問(wèn)單元�����,用于在檢測(cè)標(biāo)識(shí)信息中包括有效的訪問(wèn)令牌的情況下�,則允許客戶端對(duì)Web服務(wù)器執(zhí)行訪問(wèn);以及第一處理單元���,用于在檢測(cè)標(biāo)識(shí)信息中不包括有效的訪問(wèn)令牌的情況下�,則拒絕客戶端訪問(wèn)Web服務(wù)器����。
[0014]進(jìn)一步地�����,訪問(wèn)請(qǐng)求包括第一訪問(wèn)請(qǐng)求,第一訪問(wèn)請(qǐng)求標(biāo)識(shí)信息中不包括有效的訪問(wèn)令牌����,該裝置還包括:發(fā)送單元,用于發(fā)送有效的訪問(wèn)令牌至客戶端���;第二檢測(cè)單元�,用于檢測(cè)是否接收到客戶端發(fā)出的第二訪問(wèn)請(qǐng)求����,其中,第二訪問(wèn)請(qǐng)求是客戶端在接收到有效的訪問(wèn)令牌之后�,再次請(qǐng)求訪問(wèn)Web服務(wù)器的請(qǐng)求;第二訪問(wèn)單元���,用于在接收到客戶端發(fā)出的第二訪問(wèn)請(qǐng)求的情況下����,則允許客戶端對(duì)Web服務(wù)器執(zhí)行訪問(wèn);以及第二處理單元��,用于在沒(méi)有接收到客戶端發(fā)出的第二訪問(wèn)請(qǐng)求的情況下����,則拒絕客戶端訪問(wèn)Web服務(wù)器。
[0015]進(jìn)一步地����,發(fā)送單元包括:第一生成模塊,用于生成請(qǐng)求響應(yīng)信息���,其中��,請(qǐng)求響應(yīng)信息是根據(jù)接收到的第一訪問(wèn)請(qǐng)求生成的信息���;第二生成模塊,用于生成有效的訪問(wèn)令牌��;第三生成模塊�,用于根據(jù)有效的訪問(wèn)令牌和請(qǐng)求響應(yīng)信息生成請(qǐng)求響應(yīng)包;以及發(fā)送模塊�,用于發(fā)送請(qǐng)求響應(yīng)包至客戶端。
[0016]進(jìn)一步地�����,該裝置還包括:第二接收單元,用于接收握手信號(hào)���,其中�,握手信號(hào)為客戶端向Web服務(wù)器發(fā)出建立連接的信號(hào)���;第一轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)握手信號(hào)至Web服務(wù)器����;第三接收單元,用于接收應(yīng)答信號(hào)����,其中,應(yīng)答信號(hào)為Web服務(wù)器接收到握手信號(hào)后向客戶端發(fā)出的信號(hào)�;第二轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)應(yīng)答信號(hào)至客戶端�;第四接收單元,用于接收響應(yīng)信號(hào)�����,其中,響應(yīng)信號(hào)為客戶端接收到應(yīng)答信號(hào)后向Web服務(wù)器返回的響應(yīng)信號(hào)���;以及第三轉(zhuǎn)發(fā)單元�,用于轉(zhuǎn)發(fā)響應(yīng)信號(hào)至Web服務(wù)器����。
[0017]進(jìn)一步地,第一訪問(wèn)單元包括:接收模塊����,用于接收第二訪問(wèn)請(qǐng)求,其中����,第二訪問(wèn)請(qǐng)求包括標(biāo)識(shí)信息;檢測(cè)模塊�����,用于檢測(cè)標(biāo)識(shí)信息中是否含有有效的訪問(wèn)令牌���;以及訪問(wèn)模塊�����,用于如果標(biāo)識(shí)信息中含有有效的訪問(wèn)令牌��,轉(zhuǎn)發(fā)第二訪問(wèn)請(qǐng)求至Web服務(wù)器對(duì)Web服務(wù)器進(jìn)行訪問(wèn)�。
[0018]為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明的另一方面�����,提供了一種防止網(wǎng)絡(luò)攻擊WEB服務(wù)器的處理系統(tǒng)��。該系統(tǒng)包括:客戶端�;安全網(wǎng)關(guān)���;以及Web服務(wù)器��;其中���,安全網(wǎng)關(guān)接收訪問(wèn)請(qǐng)求,安全網(wǎng)關(guān)檢測(cè)標(biāo)識(shí)信息中是否包括有效的訪問(wèn)令牌��,如果安全網(wǎng)關(guān)檢測(cè)標(biāo)識(shí)信息中包括有效的訪問(wèn)令牌�����,則允許客戶端對(duì)Web服務(wù)器執(zhí)行訪問(wèn),以及如果安全網(wǎng)關(guān)檢測(cè)標(biāo)識(shí)信息中不包括有效的訪問(wèn)令牌�����,則拒絕客戶端訪問(wèn)Web服務(wù)器����,其中,訪問(wèn)請(qǐng)求是客戶端請(qǐng)求訪問(wèn)Web服務(wù)器的請(qǐng)求���,訪問(wèn)請(qǐng)求包括客戶端的標(biāo)識(shí)信息�����,訪問(wèn)令牌用于驗(yàn)證客戶端請(qǐng)求訪問(wèn)Web服務(wù)器的合法性�����。
[0019]在本發(fā)明中��,安全網(wǎng)關(guān)檢測(cè)接收到的訪問(wèn)請(qǐng)求中的標(biāo)識(shí)信息是否包括有效的訪問(wèn)令牌����,如果安全網(wǎng)關(guān)檢測(cè)到該標(biāo)識(shí)信息中包括有效的訪問(wèn)令牌,則允許客戶端對(duì)Web服務(wù)器執(zhí)行訪問(wèn)����;如果安全網(wǎng)關(guān)檢測(cè)到該標(biāo)識(shí)信息中不包括有效的訪問(wèn)令牌,則拒絕客戶端訪問(wèn)Web服務(wù)器��。通過(guò)本發(fā)明�,解決了現(xiàn)有技術(shù)中網(wǎng)絡(luò)攻擊Web服務(wù)器,消耗Web服務(wù)器資源的問(wèn)題�����,進(jìn)而達(dá)到有效的防范網(wǎng)絡(luò)攻擊Web服務(wù)器�����,保證Web服務(wù)器的正常運(yùn)行的效果���。
【附圖說(shuō)明】
[0020]構(gòu)成本申請(qǐng)的一部分的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明�����,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定��。在附圖中:
[0021]圖1是根據(jù)本發(fā)明實(shí)施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理系統(tǒng)的示意圖;