[0022]圖2是根據(jù)本發(fā)明實(shí)施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理系統(tǒng)中交互過程的流程圖�����;
[0023]圖3是根據(jù)本發(fā)明實(shí)施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理方法的流程圖�;以及
[0024]圖4是根據(jù)本發(fā)明實(shí)施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理裝置的示意圖����。
【具體實(shí)施方式】
[0025]需要說(shuō)明的是,在不沖突的情況下�����,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合����。下面將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明。
[0026]為了使本技術(shù)領(lǐng)域的人員更好地理解本申請(qǐng)方案�,下面將結(jié)合本申請(qǐng)實(shí)施例中的附圖,對(duì)本申請(qǐng)實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述,顯然����,所描述的實(shí)施例僅僅是本申請(qǐng)一部分的實(shí)施例,而不是全部的實(shí)施例���?��;诒旧暾?qǐng)中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都應(yīng)當(dāng)屬于本申請(qǐng)保護(hù)的范圍�。
[0027]需要說(shuō)明的是,本申請(qǐng)的說(shuō)明書和權(quán)利要求書及上述附圖中的術(shù)語(yǔ)“第一”���、“第二”等是用于區(qū)別類似的對(duì)象�,而不必用于描述特定的順序或先后次序��。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換�,以便這里描述的本申請(qǐng)的實(shí)施例。此外���,術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形��,意圖在于覆蓋不排他的包含��,例如�,包含了一系列步驟或單元的過程、方法�、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元�����,而是可包括沒有清楚地列出的或?qū)τ谶@些過程���、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元�。
[0028]根據(jù)本發(fā)明的實(shí)施例,提供了一種防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理系統(tǒng)�。
[0029]圖1是根據(jù)本發(fā)明實(shí)施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理系統(tǒng)的示意圖。如圖1所示���,該系統(tǒng)包括:客戶端100��、安全網(wǎng)關(guān)200和Web服務(wù)器300�����。
[0030]安全網(wǎng)關(guān)200接收訪問請(qǐng)求��,安全網(wǎng)關(guān)200檢測(cè)標(biāo)識(shí)信息中是否包括有效的訪問令牌���,如果安全網(wǎng)關(guān)200檢測(cè)標(biāo)識(shí)信息中包括有效的訪問令牌���,則允許客戶端100對(duì)Web服務(wù)器300執(zhí)行訪問;如果安全網(wǎng)關(guān)200檢測(cè)標(biāo)識(shí)信息中不包括有效的訪問令牌����,則拒絕客戶端100訪問Web服務(wù)器300,其中��,訪問請(qǐng)求是客戶端100請(qǐng)求訪問Web服務(wù)器300的請(qǐng)求�����,訪問請(qǐng)求包括客戶端100的標(biāo)識(shí)信息�����,訪問令牌用于驗(yàn)證客戶端100請(qǐng)求訪問Web服務(wù)器300的合法性����。
[0031]通過檢測(cè)安全網(wǎng)關(guān)200接收到的訪問請(qǐng)求中的標(biāo)識(shí)信息是否包括有效的訪問令牌��,來(lái)決定是否允許客戶端100訪問Web服務(wù)器300��。從而有效的防范網(wǎng)絡(luò)攻擊Web服務(wù)器����,保證Web服務(wù)器的正常運(yùn)行的效果��。
[0032]圖2是根據(jù)本發(fā)明實(shí)施例的防止網(wǎng)絡(luò)攻擊Web服務(wù)器的處理系統(tǒng)中交互過程的流程圖���。具體地�����,如圖2所示,包括步驟S201至步驟S213�。
[0033]步驟S201,客戶端100發(fā)送握手信號(hào)(由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā))�����。
[0034]為了與Web服務(wù)器建立連接����,客戶端100發(fā)送握手信號(hào)��。例如�����,客戶端100發(fā)送SYN�����,其中��,SYN(synchronous)是TCP/IP建立連接時(shí)使用的握手信號(hào)��。由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā)SYN包至Web服務(wù)器300��。
[0035]步驟S202�,Web服務(wù)器300發(fā)送應(yīng)答信號(hào)(由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā))�����。
[0036]在Web服務(wù)器300接收到客戶端100發(fā)送的握手信號(hào)之后�����,Web服務(wù)器300發(fā)送應(yīng)答信號(hào),由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā)應(yīng)答信號(hào)至Web服務(wù)器300�����。
[0037]步驟S203�����,客戶端100發(fā)送響應(yīng)信號(hào)(由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā))���。
[0038]在客戶端100接收到Web服務(wù)器300發(fā)送的應(yīng)答信號(hào)之后��,客戶端100發(fā)送響應(yīng)信號(hào)�����,由安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā)響應(yīng)信號(hào)至Web服務(wù)器300�。從而客戶端100與Web服務(wù)器300建立連接關(guān)系�。
[0039]整個(gè)過程具體如下,SYN (synchronous)是TCP/IP建立連接時(shí)使用的握手信號(hào)�。在客戶端100和Web服務(wù)器300之間建立正常的TCP網(wǎng)絡(luò)連接時(shí)����,客戶端100首先發(fā)出一個(gè)SYN消息,Web服務(wù)器300使用SYN+ACK應(yīng)答表示接收到了這個(gè)消息,最后客戶端100再以ACK消息響應(yīng)��。這樣在客戶端100和Web服務(wù)器300之間才能建立起可靠的TCP連接�,數(shù)據(jù)才可以在客戶端100和Web服務(wù)器300之間傳遞。
[0040]步驟S204����,客戶端100發(fā)送訪問請(qǐng)求。
[0041]客戶端100發(fā)送訪問請(qǐng)求����。具體地,正常和異常的訪問都通過發(fā)送訪問請(qǐng)求給Web服務(wù)器300����。中間路過安全網(wǎng)關(guān)200。
[0042]步驟S205����,安全網(wǎng)關(guān)200檢測(cè)訪問請(qǐng)求中標(biāo)識(shí)信息里是否含有有效的訪問令牌。
[0043]正常和異常的訪問都通過發(fā)送訪問請(qǐng)求給Web服務(wù)器300��。中間路過安全網(wǎng)關(guān)200�����。安全網(wǎng)關(guān)200截獲該訪問請(qǐng)求,對(duì)其進(jìn)行檢查�。安全網(wǎng)關(guān)200檢測(cè)訪問請(qǐng)求中標(biāo)識(shí)信息里是否含有有效的訪問令牌。需要說(shuō)明的是�����,上述的標(biāo)識(shí)信息�����,在本發(fā)明的實(shí)施例中為客戶端本地站點(diǎn)的Cookie���。S卩��,安全網(wǎng)關(guān)200檢測(cè)訪問請(qǐng)求中Cookie里是否含有有效的訪問令牌����。例如�,客戶端存儲(chǔ)的本地站點(diǎn)的Cookie的形式可以為BAIDHD = 6F42E7D88F4EF309B709DBAB1323D3BD ;BAIDUPSID = 4AC03124061673D77D35DC2BE3A3072A�。
[0044]步驟S206,如果安全網(wǎng)關(guān)200檢測(cè)出訪問請(qǐng)求中標(biāo)識(shí)信息里含有有效的訪問令牌��,允許客戶端100對(duì)Web服務(wù)器300執(zhí)行訪問�����。
[0045]合法的訪問請(qǐng)求包含安全網(wǎng)關(guān)200傳遞的有效訪問令牌�,安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā)該訪問請(qǐng)求,直接對(duì)Web服務(wù)器300執(zhí)行訪問���。
[0046]步驟S207���,Web服務(wù)器300發(fā)送響應(yīng)消息(正常訪問結(jié)束)。
[0047]安全網(wǎng)關(guān)200直接轉(zhuǎn)發(fā)該訪問請(qǐng)求�����,直接對(duì)Web服務(wù)器300執(zhí)行訪問之后���,Web服務(wù)器300發(fā)送響應(yīng)消息(正常訪問結(jié)束)�。
[0048]步驟S208����,生成請(qǐng)求響應(yīng)包。
[0049]異常的訪問請(qǐng)求和正常的訪問請(qǐng)求在第一次訪問時(shí)不包含安全網(wǎng)關(guān)200傳遞的有效的訪問令牌���,因此���,安全網(wǎng)關(guān)200生成請(qǐng)求響應(yīng)包����。具體地���,安全網(wǎng)關(guān)200生成請(qǐng)求響應(yīng)信息��,其中����,請(qǐng)求響應(yīng)信息是安全網(wǎng)關(guān)200根據(jù)接收到的第一訪問請(qǐng)求生成的信息�,安全網(wǎng)關(guān)200生成有效的訪問令牌,安全網(wǎng)關(guān)200根據(jù)有效的訪問令牌和請(qǐng)求響應(yīng)信息生成請(qǐng)求響應(yīng)包��。
[0050]步驟S209��,發(fā)送請(qǐng)求響應(yīng)包至客戶端100���。
[0051]在安全網(wǎng)關(guān)200生成請(qǐng)求響應(yīng)包之后�,安全網(wǎng)關(guān)200發(fā)送請(qǐng)求響應(yīng)包至客戶端100��。
[0052]步驟S210��,客戶端100解析該請(qǐng)求響應(yīng)包。
[0053]在客戶端100接收到安全網(wǎng)關(guān)200發(fā)送的請(qǐng)求響應(yīng)包之后���,客戶端100解析該請(qǐng)求響應(yīng)包。
[0054]步驟S211����,客戶端100根據(jù)該請(qǐng)求響應(yīng)包終止與Web服務(wù)器300之間的連接。
[0055]客戶端100根據(jù)該請(qǐng)求響應(yīng)包中指示���,立即關(guān)閉客戶端100與Web服務(wù)器300之間的連接���。
[0056]步驟S212,客戶端100根據(jù)該請(qǐng)求響應(yīng)包從步驟S201開始重復(fù)執(zhí)行上述步驟��。
[0057]需要說(shuō)明的是�����,上述的標(biāo)識(shí)信息�,在本發(fā)明的實(shí)施例中為客戶端本地站點(diǎn)的Cookie?具體地,安全網(wǎng)關(guān)200生成訪問令牌T�����,令牌T為32位隨機(jī)數(shù),此訪問令牌在安全網(wǎng)關(guān)200中記錄生成時(shí)間�,并設(shè)定有效期X秒;X值可以根據(jù)網(wǎng)絡(luò)負(fù)載情況進(jìn)行調(diào)節(jié)��;安全網(wǎng)關(guān)200偽造請(qǐng)求響應(yīng)包��,在本發(fā)明的實(shí)施例中即為HTTP 302響應(yīng)包���,在HTTP 302響應(yīng)包的 Set-Cookie 字段中���,放入訪問令牌 T,形式如:Set-Cookie:GATEUSERID = 123456789 �;Max-Age = 30 ;path = / ;并在HTTP 302響應(yīng)包中指示客戶端立即關(guān)閉與Web服務(wù)器的連接�����;并在HTTP 302響應(yīng)包中設(shè)定重新訪問Web服務(wù)器的鏈接為前一次訪問Web服務(wù)器的鏈接�。從步驟S201開始重復(fù)執(zhí)行上述步驟。即與Web服務(wù)器建立連接關(guān)系�����,安全網(wǎng)關(guān)200檢測(cè)訪問請(qǐng)求中標(biāo)識(shí)信息里是否含有有效的訪問令牌。
[0058]需要說(shuō)明的是��,例如��,上述前一次訪問Web服務(wù)器的鏈接為http://www.baidu.com���,客戶端100根據(jù)該請(qǐng)求響應(yīng)包重新向http://www