CN104378358A - 一种基于服务器日志的HTTP Get Flood攻击防护方法 - Google Patents

一种基于服务器日志的HTTP Get Flood攻击防护方法 Download PDF

Info

Publication number
CN104378358A
CN104378358A CN201410569022.XA CN201410569022A CN104378358A CN 104378358 A CN104378358 A CN 104378358A CN 201410569022 A CN201410569022 A CN 201410569022A CN 104378358 A CN104378358 A CN 104378358A
Authority
CN
China
Prior art keywords
http
attack
flood
server
same request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410569022.XA
Other languages
English (en)
Inventor
董立勉
左晓军
陈泽
侯波涛
卢宁
郗波
张君艳
常杰
王颖
董娜
刘伟娜
王春璞
刘惠颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hebei Electric Power Construction Adjustment Test Institute
Original Assignee
Hebei Electric Power Construction Adjustment Test Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hebei Electric Power Construction Adjustment Test Institute filed Critical Hebei Electric Power Construction Adjustment Test Institute
Priority to CN201410569022.XA priority Critical patent/CN104378358A/zh
Publication of CN104378358A publication Critical patent/CN104378358A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及计算机网络技术学科中网络安全领域,特别涉及一种基于服务器日志的HTTPGetFlood攻击防护方法。针对攻击源IP数量较多时现有技术对CC攻击防护效果较差的问题,本发明提供了一种基于服务器日志的HTTPGetFlood攻击防护方法,能够针对CC攻击中的HTTPGetFlood攻击提供效果更优的防护。通过统计和分析服务器日志中指定时长内相同请求IP的数量是否超出阈值,结合该相同请求IP能否反馈符合要求的回馈响应,判定该IP是否为HTTPGetFlood攻击的攻击源IP,对攻击源IP进行阻断。本发明设计简洁,易于实施,与现有的各类服务器均具有良好的适配性,具有广阔的应用和推广前景。

Description

一种基于服务器日志的HTTP Get Flood攻击防护方法
技术领域
本发明涉及计算机网络技术学科中网络安全领域,特别涉及一种基于服务器日志的HTTP Get Flood攻击防护方法。 
背景技术
近年来中国网络规模呈现膨胀式增长,随着网络活动,特别是网络电商的活跃,网络交互发展迅速。而与此同时,针对网络的攻击形式也在巨大的利益推动下开始向新的方向改变。目前,CC(Challenge Collapsar)攻击已经成为一种被广泛使用的典型攻击方式,由于其实施的技术难度较低并且攻击效果显著,CC攻击已经发展成为网络安全领域中的一种常见攻击方式。CC攻击的前身为Fatboy攻击,属于DDoS(Distribution Denial of Service分布式拒绝服务,简称DDoS)攻击中的一种。CC攻击以网站页面为主要攻击目标,能够藏匿真实的攻击源IP,借助代理服务器生成指向目标服务器的合法请求,在流量上不会产生异常的大流量数据,但却能造成服务器无法正常连接。CC攻击的攻击原理来源于著名的木桶理论,即一个木桶所能容纳水的最大容量不是由木桶最高的地方决定的,而是由木桶最低的地方决定的。CC攻击就是借鉴了木桶理论,在对服务器发起攻击时,攻击者常常向服务器请求需要占用其较多资源开销的应用,例如访问需要占用服务器大量CPU资源进行运算的页面或者请求需要频繁访问数据库的应用。基于以上因素,CC攻击的目标通常为网站服务器中需要动态生成的页面和需要访问数据库资源的页面,例如asp、jsp和php等类型文件的页面资源。攻击者主要通过控制大量僵尸主机或代理服务器,由僵尸主机或代理服务器自动向服务器发送页面访问请求。当使用具有一定规模的僵尸僵尸主机或代理服务器进行CC攻击时,将会对服务器页面造成巨大的访问流量,可导致服务器瘫痪,同时整个攻击过程模拟了正常客户端访问互联网资源所发送的合法数据包,具有较强的隐蔽性。CC攻击主要有2种攻击方式,即HTTP Get Flood(超文本传输协议泛洪)攻击和链接耗尽型攻击。
目前,常见的CC攻击防护依靠防火墙,通过对访问服务器的单个IP连接数进行控制来限制CC攻击,在发起CC攻击的IP数量较多的情况下依靠防火墙限制或阻止CC攻击的效果较差。 
发明内容
针对攻击源IP数量较多时现有技术对CC攻击防护效果较差的问题,本发明提供了一种基于服务器日志的HTTP Get Flood攻击防护方法,能够针对CC攻击中的HTTP Get Flood攻击提供效果更优的防护。
本发明的技术方案为:
一种基于服务器日志的HTTP Get Flood攻击防护方法,其特征在于包括以下步骤:
(a)查看服务器日志;
(b)判断指定时长内相同请求IP的数量是否超过阈值;
(c)若步骤b中相同请求IP的数量超过阈值则判定相同请求IP为HTTP Get Flood攻击的攻击源IP,阻断攻击源IP,返回步骤a;
(d)若步骤b中相同请求IP的数量未超过阈值则向相同请求IP发送响应请求,并要求相同请求IP回馈相应的回馈响应;
(e)若步骤d中相同请求IP未回馈符合要求的回馈响应则判定相同请求IP为HTTP Get Flood攻击的攻击源IP,阻断攻击源IP,返回步骤a;
(f)若步骤d中相同请求IP回馈符合要求的回馈响应则返回步骤a。
具体的,步骤b中阈值由服务器工作参数判定,服务器工作参数包括服务器性能和服务器正常业务流量。
具体的,步骤d中向相同请求IP发送的响应请求为带有tag标记的响应请求。
本发明的有益效果:1、执行本发明技术方案步骤a~f能够识别并阻断HTTP Get Flood攻击的IP,实现针对HTTP Get Flood攻击的防护;2、本发明技术方案步骤b针对相同IP发出访问请求的数量设定阈值,以该阈值为基准判定该IP是否为HTTP Get Flood攻击的攻击源IP,即使发起HTTP Get Flood攻击的IP数量较多,也能够逐一识别并阻断攻击源IP;3、依据服务器工作参数,包括服务器性能和服务器正常业务流量设定该阈值,能够满足不同服务器针对HTTP Get Flood攻击的防护要求;4、步骤d中向相同请求IP发送的带有tag标记的响应请求能够判断该IP是否为恶意攻击者。本发明设计简洁,易于实施,与各类服务器均具有良好的适配性,具有广阔的应用和推广前景。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合附图对本发明作进一步说明。
参照图1,本实施例中针对HTTP Get Flood攻击的防护过程包括:
1.查看服务器日志;
2.判断指定时长内相同请求IP的数量是否超过阈值,该阈值由服务器工作参数判定,服务器工作参数包括服务器性能和服务器正常业务流量;
3.若步骤2中相同请求IP的数量超过阈值则判定该相同请求IP为HTTP Get Flood攻击的攻击源IP,阻断攻击源IP,返回步骤1;
4.若步骤2中相同请求IP的数量未超过阈值则向相同请求IP发送带有tag标记的响应请求,并要求该相同请求IP回馈相应的回馈响应;
5.若步骤4中相同请求IP未回馈符合要求的回馈响应则判定该相同请求IP为HTTP Get Flood攻击的攻击源IP,阻断相同请求IP,返回步骤1;
6.若步骤4中相同请求IP回馈符合要求的回馈响应则返回步骤1。
本实施例中,服务器为IBM品牌的X3850 M2型服务器,其正常业务流量为500Mbps,步骤2中指定时长为60秒,阈值为30次。
需要说明的是,阻断攻击源IP为本领域(网络安全领域)的公知常识,即使本发明未进行详细说明,本领域技术人员也应当清楚这一步骤。
以上所述实施方式仅为本发明的优选实施例,而并非本发明可行实施的穷举。对于本领域一般技术人员而言,在不背离本发明原理和精神的前提下对其所作出的任何显而易见的改动,都应当被认为包含在本发明的权利要求保护范围之内。 

Claims (3)

1.一种基于服务器日志的HTTP Get Flood攻击防护方法,其特征在于包括以下步骤:
(a)查看服务器日志;
(b)判断指定时长内相同请求IP的数量是否超过阈值;
(c)若步骤(b)中所述相同请求IP的数量超过阈值则判定相同请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a);
(d)若步骤(b)中所述相同请求IP的数量未超过阈值则向所述相同请求IP发送响应请求,并要求所述相同请求IP回馈相应的回馈响应;
(e)若步骤(d)中所述相同请求IP未回馈符合要求的回馈响应则判定相同请求IP为HTTP Get Flood攻击的攻击源IP,阻断所述攻击源IP,返回步骤(a);
(f)若步骤(d)中所述相同请求IP回馈符合要求的回馈响应则返回步骤(a)。
2.根据权利要求1所述的一种基于服务器日志的HTTP Get Flood攻击防护方法,其特征在于步骤(b)中所述阈值由服务器工作参数判定,所述服务器工作参数包括服务器性能和服务器正常业务流量。
3.根据权利要求2所述的一种基于服务器日志的HTTP Get Flood攻击防护方法,其特征在于步骤(d)中向所述相同请求IP发送的响应请求为带有tag标记的响应请求。 
CN201410569022.XA 2014-10-23 2014-10-23 一种基于服务器日志的HTTP Get Flood攻击防护方法 Pending CN104378358A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410569022.XA CN104378358A (zh) 2014-10-23 2014-10-23 一种基于服务器日志的HTTP Get Flood攻击防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410569022.XA CN104378358A (zh) 2014-10-23 2014-10-23 一种基于服务器日志的HTTP Get Flood攻击防护方法

Publications (1)

Publication Number Publication Date
CN104378358A true CN104378358A (zh) 2015-02-25

Family

ID=52557015

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410569022.XA Pending CN104378358A (zh) 2014-10-23 2014-10-23 一种基于服务器日志的HTTP Get Flood攻击防护方法

Country Status (1)

Country Link
CN (1) CN104378358A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105262760A (zh) * 2015-10-30 2016-01-20 北京奇虎科技有限公司 一种防止恶意访问登录/注册接口的行为的方法和装置
WO2017084529A1 (zh) * 2015-11-19 2017-05-26 阿里巴巴集团控股有限公司 识别网络攻击的方法和装置
CN106953833A (zh) * 2016-01-07 2017-07-14 无锡聚云科技有限公司 一种DDoS攻击检测***
CN107682341A (zh) * 2017-10-17 2018-02-09 北京奇安信科技有限公司 Cc攻击的防护方法及装置
CN113452647A (zh) * 2020-03-24 2021-09-28 百度在线网络技术(北京)有限公司 特征鉴定方法、装置、电子设备及计算机可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101827081A (zh) * 2010-02-09 2010-09-08 蓝盾信息安全技术股份有限公司 检测请求安全性的方法及***
US20110107412A1 (en) * 2009-11-02 2011-05-05 Tai Jin Lee Apparatus for detecting and filtering ddos attack based on request uri type
CN103379099A (zh) * 2012-04-19 2013-10-30 阿里巴巴集团控股有限公司 恶意攻击识别方法及***
CN103685293A (zh) * 2013-12-20 2014-03-26 北京奇虎科技有限公司 拒绝服务攻击的防护方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110107412A1 (en) * 2009-11-02 2011-05-05 Tai Jin Lee Apparatus for detecting and filtering ddos attack based on request uri type
CN101827081A (zh) * 2010-02-09 2010-09-08 蓝盾信息安全技术股份有限公司 检测请求安全性的方法及***
CN103379099A (zh) * 2012-04-19 2013-10-30 阿里巴巴集团控股有限公司 恶意攻击识别方法及***
CN103685293A (zh) * 2013-12-20 2014-03-26 北京奇虎科技有限公司 拒绝服务攻击的防护方法和装置

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105262760A (zh) * 2015-10-30 2016-01-20 北京奇虎科技有限公司 一种防止恶意访问登录/注册接口的行为的方法和装置
WO2017071551A1 (zh) * 2015-10-30 2017-05-04 北京奇虎科技有限公司 一种防止恶意访问登录/注册接口的行为的方法和装置
WO2017084529A1 (zh) * 2015-11-19 2017-05-26 阿里巴巴集团控股有限公司 识别网络攻击的方法和装置
US11240258B2 (en) 2015-11-19 2022-02-01 Alibaba Group Holding Limited Method and apparatus for identifying network attacks
CN106953833A (zh) * 2016-01-07 2017-07-14 无锡聚云科技有限公司 一种DDoS攻击检测***
CN107682341A (zh) * 2017-10-17 2018-02-09 北京奇安信科技有限公司 Cc攻击的防护方法及装置
CN113452647A (zh) * 2020-03-24 2021-09-28 百度在线网络技术(北京)有限公司 特征鉴定方法、装置、电子设备及计算机可读存储介质
CN113452647B (zh) * 2020-03-24 2022-11-29 百度在线网络技术(北京)有限公司 特征鉴定方法、装置、电子设备及计算机可读存储介质

Similar Documents

Publication Publication Date Title
Liu et al. Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things
CN102291390B (zh) 一种基于云计算平台的防御拒绝服务攻击的方法
US10015193B2 (en) Methods and devices for identifying the presence of malware in a network
US8561188B1 (en) Command and control channel detection with query string signature
CN103856470B (zh) 分布式拒绝服务攻击检测方法及检测装置
Carlin et al. Defence for distributed denial of service attacks in cloud computing
CN104378358A (zh) 一种基于服务器日志的HTTP Get Flood攻击防护方法
CN110213208B (zh) 一种处理请求的方法和装置以及存储介质
CN103916379B (zh) 一种基于高频统计的cc攻击识别方法及***
Kumar et al. Classification of DDoS attack tools and its handling techniques and strategy at application layer
KR101250899B1 (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
KR100973076B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 그 방법
Arafat et al. A practical approach and mitigation techniques on application layer DDoS attack in web server
Huang et al. An authentication scheme to defend against UDP DrDoS attacks in 5G networks
CN104378359A (zh) 一种链接耗尽型cc攻击的防护方法
KR20100072975A (ko) 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법
KR20090093187A (ko) 네트워크 장치를 이용한 유해자료 원천차단 시스템 및 방법
CN104378357A (zh) 一种HTTP Get Flood攻击的防护方法
Ismail et al. New framework to detect and prevent denial of service attack in cloud computing environment
CN102143173A (zh) 防御分布式拒绝服务攻击的方法、***以及网关设备
Hu et al. Research of DDoS attack mechanism and its defense frame
Rawal et al. Emergence of DDoS resistant augmented Split architecture
Luo et al. DDOS Defense Strategy in Software Definition Networks
Gupta et al. Profile and back off based distributed NIDS in cloud
Xiao et al. Defend against application-layer distributed denial-of-service attacks based on session suspicion probability model

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20150225

RJ01 Rejection of invention patent application after publication