CN108400955A - 一种网络攻击的防护方法及*** - Google Patents
一种网络攻击的防护方法及*** Download PDFInfo
- Publication number
- CN108400955A CN108400955A CN201710067267.6A CN201710067267A CN108400955A CN 108400955 A CN108400955 A CN 108400955A CN 201710067267 A CN201710067267 A CN 201710067267A CN 108400955 A CN108400955 A CN 108400955A
- Authority
- CN
- China
- Prior art keywords
- information
- client
- network request
- address
- address information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了网络攻击的防护方法及***,应用于信息处理技术领域。在本实施例的方法中,网络攻击的防护设备会解析代理机器转发的客户端的网络请求得到客户端的地址信息,然后根据客户端的地址信息计算第一校验信息,并根据第一校验信息确定基于客户端的地址信息的信任名单。这样在网络攻击的防护过程中,可以根据发起网络请求的客户端的地址信息及信任名单直接确认客户端是否是正常客户端,和现有技术中基于源IP信息的信任名单相比,可以防止在***中部署有代理机器的情况下,因代理机器的IP信息命中信任名单而引起的对于肉鸡的网络请求的透传。
Description
技术领域
本发明涉及信息处理技术领域,特别涉及一种网络攻击的防护方法及***。
背景技术
攻击者借助代理服务器或者肉鸡生成指向受害主机的合法请求,实现分布式拒绝服务(Distributed Denial of Service,DDOS)和伪装就叫挑战黑洞(ChallengeCollapsar,CC)攻击。这里肉鸡也称傀儡机,是指可以被黑客远程控制的机器,比如用"灰鸽子"等诱导用户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马,黑客可以随意操纵它并利用它做任何事情。
现有技术中,在网络中部署CC防护设备,当CC防护设备检测到服务器遭受CC攻击时,会对客户端发送的网络请求进行分析,提取出网络层的源网络协议(InternetProtocol,IP)信息,利用该源IP信息进行一定的计算得到校验信息,然后根据校验信息得到基于源IP信息的信任名单。这样在网络攻击的防护过程中,如果某个客户端的网络请求中网络层的源IP信息不属于信任名单,则该客户端为肉鸡。但是,对于在网络中部署代理机器的情况,采用现有的网络防护方法,会出现肉鸡发来的大量网络请求会因命中信任名单而透传到服务器。
发明内容
本发明实施例提供一种网络攻击的防护方法及***,实现了根据客户端发起的网络请求中客户端的地址信息确定信任名单。
本发明实施例提供一种网络攻击的防护方法,包括:
获取至少一级代理机器转发的客户端的网络请求,解析所述网络请求得到所述客户端的地址信息;
根据所述客户端的地址信息计算第一校验信息;
如果所述网络请求中还包括第二校验信息,且所述第二校验信息与所述第一校验信息一致,将所述客户端的地址信息加入信任名单,将所述网络请求转发给服务器。
本发明实施例提供一种网络攻击的防护***,包括:
第一地址获取单元,用于获取至少一级代理机器转发的客户端的网络请求,解析所述网络请求得到所述客户端的地址信息;
校验计算单元,用于根据所述客户端的地址信息计算第一校验信息;
第一处理单元,用于如果所述网络请求中还包括第二校验信息,且所述第二校验信息与所述第一校验信息一致,将所述客户端的地址信息加入信任名单,将所述网络请求转发给服务器。
可见,在本实施例的方法中,网络攻击的防护设备会解析代理机器转发的客户端的网络请求得到客户端的地址信息,然后根据客户端的地址信息计算第一校验信息,并根据第一校验信息确定基于客户端的地址信息的信任名单。这样在网络攻击的防护过程中,可以根据发起网络请求的客户端的地址信息及信任名单直接确认客户端是否是正常客户端,和现有技术中基于源IP信息的信任名单相比,可以防止在***中部署有代理机器的情况下,因代理机器的IP信息命中信任名单而引起的对于肉鸡的网络请求的透传。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络攻击的防护方法所应用的***的结构示意图;
图2是本发明实施例提供的一种网络攻击的防护方法的流程图;
图3是本发明实施例提供的另一种网络攻击的防护方法的流程图;
图4是本发明应用实施例提供的一种网络攻击的防护方法的示意图;
图5是本发明实施例提供的一种网络攻击的防护***的结构示意图;
图6是本发明实施例提供的另一种网络攻击的防护***的结构示意图;
图7是本发明实施例提供的一种网络设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排它的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供一种网络攻击的防护方法,主要可以应用于如图1所示的***中,在该***中包括客户端,至少一级代理机器(图1中以多级为例来说明),网络攻击的防护设备和服务器,其中:客户端主要用于发起到服务器的网络请求,比如超文本传输协议(HyperText Transfer Protocol,HTTP)请求等;代理机器主要用于转发客户端发起的网络请求;网络攻击的防护设备主要用于根据客户端的网络请求确定客户端是否是肉鸡,从而避免服务器遭受网络攻击,比如CC攻击。
本实施例的方法是图1中的网络攻击的防护设备所执行的方法,流程图如图2所示,包括:
步骤101,获取至少一级代理机器转发的客户端的网络请求,解析网络请求得到客户端的地址信息。
可以理解,用户可以操作客户端使得客户端发起网络请求,比如HTTP请求,网络攻击的防护设备获取经过至少一级代理机器的转发后的网络请求,解析该网络请求得到客户端的地址信息。
其中,当网络请求任一级代理机器时,该代理机器会将网络请求的消息头中源设备地址字段的信息(具体为该代理机器上一网络节点的地址信息)放置到网络请求的消息体中某一字段,具体地,在HTTP请求中是转发(X-Forwarded-For)字段,并将该代理机器的地址信息添加到网络请求的消息头中源设备地址字段,然后转发给下一网络节点。如果***中有多级代理机器,网络攻击的防护设备会获取到最后一级代理机器转发的网络请求,这样在网络请求的特定字段(比如转发字段)就包括了该网络请求所经过的网络节点(包括客户端和代理机器)的地址信息,则在执行本步骤101时,网络攻击的防护设备会解析网络请求中特定字段(比如转发字段)的内容,将转发字段中的第一项内容作为客户端的地址信息;如果***中只有一级代理机器,则网络攻击的防护设备会获取到一级代理机器转发的网络请求,在执行本步骤101时,会解析网络请求中特定字段(比如转发字段)的内容,直接将转发字段的内容作为客户端的地址信息。
另外,如果***中没有部署代理机器,则网络消息的特定字段(比如转发字段)的内容为空,在网络消息的消息头中源设备地址字段包括客户端的地址信息。
需要说明的是,本实施例的方法可以是当网络攻击的防护设备在检测到服务器遭受了CC攻击时启动执行的方法,也可以是在客户端与服务器之间通信的任意时刻启动执行的方法。
步骤102,根据客户端的地址信息计算第一校验信息,具体地,网络攻击的防护设备可以将客户端的地址信息及其它信息,比如目的设备的地址信息等组成信息组,并对信息组进行哈希计算得到第一校验信息。
步骤103,如果网络请求中还包括第二校验信息,且第二校验信息与第一校验信息一致,说明将客户端是正常客户端,则将客户端的地址信息加入信任名单,将网络请求转发给服务器。进一步地,如果网络请求中未包括第二校验信息,或第二校验信息与第一校验信息不一致,将第一校验信息返回给客户端,以便客户端发起携带第一校验信息的网络请求。
其中,第二校验信息是客户端首次发起网络请求的过程中,网络攻击的防护设备根据客户端首次发起的网络请求中客户端的地址信息计算并返回给客户端的校验信息。这样正常客户端重新发起网络请求,并在网络请求中携带第二校验信息,而对于肉鸡来说,是不会解析网络攻击的防护设备返回的第二校验信息,这样肉鸡重新发起的网络请求中不会携带第二校验信息。
需要说明的是,当网络攻击的防护设备在得到信任名单后,如果该信任名单对应的客户端再次发起网络请求,网络攻击的防护设备可以根据该信任名单直接确认该客户端为正常客户端,直接将再次发起的网络请求转发给服务器。
可见,在本实施例的方法中,网络攻击的防护设备会解析代理机器转发的客户端的网络请求得到客户端的地址信息,然后根据客户端的地址信息计算第一校验信息,并根据第一校验信息确定基于客户端的地址信息的信任名单。这样在网络攻击的防护过程中,可以根据发起网络请求的客户端的地址信息及信任名单直接确认客户端是否是正常客户端,和现有技术中基于源IP信息的信任名单相比,可以防止在***中部署有代理机器的情况下,因代理机器的IP信息命中信任名单而引起的对于肉鸡的网络请求的透传。
参考图3所示,在一个具体的实施例中,网络攻击的防护设备在执行上述步骤101之后,可以先执行如下步骤104:
步骤104,将客户端的地址信息与本地储存的信任名单进行匹配,如果相匹配,则说明发起网络请求的客户端是正常客户端,执行步骤105;如果不相匹配,再执行上述步骤102和103,即需要通过客户端的地址信息计算第一校验信息,然后根据第一校验信息确认客户端是否是正常客户端,进而加入信任名单。
步骤105,将网络请求转发给服务器。
在另一个具体的实施例中,网络攻击的防护设备在执行步骤102之前,还可以解析网络请求得到至少一级代理机器的地址信息,这样在执行步骤102时,根据客户端的地址信息和至少一级代理机器的地址信息计算第一校验信息。在这种情况下,网络攻击的防护设备在执行上述步骤103中将客户端的地址信息加入时,还可以将至少一级代理机器的地址信息与客户端的地址信息一同对应的加入信任名单。
具体地,网络攻击的防护设备在解析网络请求得到至少一级代理机器的地址信息时,可以解析网络请求的转发字段的内容,直接将转发字段中除第一项之外的至少一项内容作为至少一级代理机器的地址信息。或者,解析网络请求的转发字段及消息头中源设备地址字段的内容,将转发字段中除第一项之外的其它项内容及源设备地址字段的内容作为至少一级代理机器的地址信息。这里,转发字段中第一项内容为客户端的地址信息。
在又一个具体的实施例中,为了避免黑客抓取并伪造校验信息,网络攻击的防护设备在客户端首次发起网络请求时生成第二校验信息的过程中,加入按照预置的周期(比如半个小时)更新的更新参数值,则网络攻击的防护设备生成的第二校验信息是有一定的有效期的。
这样,如果客户端根据第二校验信息发起网络请求这个过程所用时长超过上述预置的周期,且网络攻击的防护设备在执行上述步骤102中计算第一校验信息时,具体是根据客户端的地址信息及按照预置的周期更新的更新参数值计算第一校验信息,即将客户端的地址信息及按照预置的周期更新的更新参数值及其它信息组成信息组,对信息组进行哈希计算得到第一校验信息。由于更新参数值发生变更,则网络攻击的防护设备计算的第一校验信息与网络请求中的第二校验信息不一致,需要将第一校验信息返回给客户端,以便客户端在上述预置的周期内发起携带第一校验信息的网络请求。
需要说明的是,所述的按照预置的周期更新的更新参数值可以任意参数的参数值,只要该参数的参数值会按照预置的周期更新即可。
以下以一个具体的应用实例来说明本实施例的方法,本实施例的方法主要应用于如图1所示的***中,以代理机器为一级和两级为例来说明,且客户端发起的网络请求为HTTP请求,客户端和代理机器的地址信息分别为客户端和代理机器的IP信息。则在本实施例中:
(1)对于如图1所示的***中部署一级代理机器的情况,网络攻击的防护方法流程图如图4所示,包括:
步骤201,当客户端发起HTTP请求时,在HTTP请求的消息头的源设备地址字段添加客户端的IP信息,将HTTP请求发送给代理机器;代理机器将HTTP请求的消息头中客户端的IP信息放置到HTTP请求的消息体的X-Forwarded-For字段中,且在消息头的源设备地址字段添加代理机器的IP信息,然后将HTTP请求进行转发。
步骤202,网络攻击的防护设备获取代理机器转发的HTTP请求,解析HTTP请求中X-Forwarded-For字段的内容得到客户端的IP信息。如果客户端的IP信息命中网络攻击的防护设备储存的信任名单,则说明该客户端为正常客户端,将获取的HTTP请求转发给服务器;如果没有命中,执行步骤203。
步骤203,网络攻击的防护设备将客户端的IP信息及其它信息(比如目的设备的IP信息)组成信息组,可以根据循环冗余校验码(Cyclic Redundancy Check,CRC)算法及信息组计算得到一个32位的哈希值,将该哈希值作为第一校验信息。
步骤204,网络攻击的防护设备解析上述代理机器转发的HTTP请求中的Cookie字段的内容,如果该字段中包括第二校验信息,且第二校验信息与第一校验信息一致,则将客户端的IP信息加入信任名单,且将该HTTP请求转发给服务器。如果该字段不包括第二校验信息或第二校验信息与第一校验信息不一致,则执行步骤205。
步骤205,网络攻击的防护设备将第一校验信息返回给客户端,具体可以将第一校验信息封装到一段JavaScript程序中,原路返回给客户端即通过代理机器返回给客户端。
步骤206,对于正常客户端来说,会执行该JavaScript程序,解析得到第一校验信息,然后将第一校验信息填充到网络请求的Cookie字段,重新发起网络请求。当网络攻击的防护设备接收到正常客户端发起的网络请求,会按照上述步骤201到204的方法进行防护。
对于肉鸡来说,则不会执行JavaScript程序,而是直接重新发起网络请求,在网络请求中不会携带任何校验信息,这样当网络攻击的防护设备接收到肉鸡发起的网络请求,会按照上述步骤201到203,及步骤205的方法进行防护。
进一步地,在其它具体的实施例中,网络攻击的防护设备在执行上述步骤203时,还需要解析HTTP请求中消息头的源设备地址字段的内容,其中包括代理机器的IP信息,将代理机器的IP信息及客户端的IP信息及其它信息组成信息组,然后根据信息组计算第一校验信息。
另外,网络攻击的防护设备在执行上述步骤203中计算第一校验信息时,可以根据客户端的IP信息,按照预置的周期更新的更新参数值及其它信息计算第一校验信息。
(2)对于如图1所示的***中部署两级代理机器的情况与上述部署一级代理机器的情况下,网络攻击的防护设备所执行的方法类似,不同的是,一级代理机器在转发HTTP请求后,二级代理机器接收一级代理机器转发的HTTP请求,会将HTTP请求的消息头中一级代理机器的IP信息放置到HTTP请求的消息体的X-Forwarded-For字段中,这样在X-Forwarded-For字段中就包括客户端和一级代理机器的IP信息,且在消息头的源设备地址字段添加二级代理机器的IP信息,然后将HTTP请求进行转发。且网络攻击的防护设备获取第二代理机器转发的HTTP请求后,解析HTTP请求中X-Forwarded-For字段的第一项内容作为客户端的IP信息。
本发明实施例还提供一种网络攻击的防护***,其结构示意图如图5所示,具体可以包括:
第一地址获取单元10,用于获取至少一级代理机器转发的客户端的网络请求,解析所述网络请求得到所述客户端的地址信息;
所述第一地址获取单元10,具体用于解析所述网络请求的转发字段的内容,将所述转发字段的内容作为所述客户端的地址信息,或,将所述转发字段中的第一项内容作为所述客户端的地址信息。
校验计算单元11,用于根据所述第一地址获取单元10获取的客户端的地址信息计算第一校验信息。校验计算单元11具体可以用于根据所述客户端的地址信息及按照预置的周期更新的更新参数值计算所述第一校验信息。
第一处理单元12,用于如果所述网络请求中还包括第二校验信息,且所述第二校验信息与所述校验计算单元11计算的第一校验信息一致,将所述客户端的地址信息加入信任名单,将所述网络请求转发给服务器。
可见,在本实施例的网络攻击的防护***中,第一地址获取单元10会解析代理机器转发的客户端的网络请求得到客户端的地址信息,然后校验计算单元11根据客户端的地址信息计算第一校验信息,然后第一处理单元12根据第一校验信息确定基于客户端的地址信息的信任名单。这样在网络攻击的防护过程中,可以根据发起网络请求的客户端的地址信息及信任名单直接确认客户端是否是正常客户端,和现有技术中基于源IP信息的信任名单相比,可以防止在***中部署有代理机器的情况下,因代理机器的IP信息命中信任名单而引起的对于肉鸡的网络请求的透传。
参考图6所示,在一个具体的实施例中,网络攻击的防护***除了可以包括如图5所示的结构外,还可以包括第二地址获取单元13和第二处理单元14,其中:
第二地址获取单元13,用于解析所述网络请求得到所述至少一级代理机器的地址信息;这样校验计算单元11就会根据所述第一地址获取单元10获取的客户端的地址信息和第二地址获取单元13获取的至少一级代理机器的地址信息计算所述第一校验信息。
其中,第二地址获取单元13,具体用于解析所述网络请求的转发字段的内容,将所述转发字段中除第一项之外的至少一项内容作为所述至少一级代理机器的地址信息;或,解析所述网络请求的转发字段及消息头中源设备地址字段的内容,将所述转发字段中除第一项之外的其它项内容及所述源设备地址字段的内容作为所述至少一级代理机器的地址信息。
本实施例中,第一处理单元12,还用于将所述第一地址获取单元10获取的客户端的地址信息与本地储存的信任名单进行匹配,如果相匹配,则将所述网络请求转发给所述服务器,如果不匹配,通知所述校验计算单元11计算第一校验信息。
第二处理单元14,用于如果所述网络请求中未包括所述第二校验信息,或,第二校验信息与第一校验信息不一致时,将所述第一校验信息返回给所述客户端,以便所述客户端发起携带所述第一校验信息的网络请求。
在本实施例中,当第一地址获取单元10获取客户端的地址信息后,会先通过第二处理单元14进行匹配本地处理的信任名单,如果不相匹配,才会通知校验计算单元11计算第一校验信息。
本发明实施例还提供一种网络设备,其结构示意图如图7所示,该网络设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以***处理器(centralprocessing units,CPU)20(例如,一个或一个以上处理器)和存储器21,一个或一个以上存储应用程序221或数据222的存储介质22(例如一个或一个以上海量存储设备)。其中,存储器21和存储介质22可以是短暂存储或持久存储。存储在存储介质22的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对网络设备中的一系列指令操作。更进一步地,中央处理器20可以设置为与存储介质22通信,在网络设备上执行存储介质22中的一系列指令操作。
具体地,在存储介质22中储存的应用程序221包括网络攻击的防护应用程序,且该程序可以包括上述网络攻击的防护***中的第一地址获取单元10,校验计算单元11,第一处理单元12,第二地址获取单元13和第二处理单元14,在此不进行赘述。更进一步地,中央处理器20可以设置为与存储介质22通信,在网络设备上执行存储介质22中储存的网络攻击的防护应用程序对应的一系列操作。
网络设备还可以包括一个或一个以上电源23,一个或一个以上有线或无线网络接口24,一个或一个以上输入输出接口25,和/或,一个或一个以上操作***223,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述方法实施例中所述的由网络攻击的防护***所执行的步骤可以基于该图7所示的网络设备的结构。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM)、随机存取存储器RAM)、磁盘或光盘等。
以上对本发明实施例所提供的网络攻击的防护方法及***进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种网络攻击的防护方法,其特征在于,包括:
获取至少一级代理机器转发的客户端的网络请求,解析所述网络请求得到所述客户端的地址信息;
根据所述客户端的地址信息计算第一校验信息;
如果所述网络请求中还包括第二校验信息,且所述第二校验信息与所述第一校验信息一致,将所述客户端的地址信息加入信任名单,将所述网络请求转发给服务器。
2.如权利要求1所述的方法,其特征在于,所述解析所述网络请求得到所述客户端的地址信息,具体包括:
解析所述网络请求的转发字段的内容,将所述转发字段的内容作为所述客户端的地址信息,或,将所述转发字段中的第一项内容作为所述客户端的地址信息。
3.如权利要求1所述的方法,其特征在于,所述获取代理机器转发的客户端的网络请求之后,所述方法还包括:
解析所述网络请求得到所述至少一级代理机器的地址信息;
所述根据所述客户端的地址信息计算第一校验信息具体包括:根据所述客户端的地址信息和至少一级代理机器的地址信息计算所述第一校验信息。
4.如权利要求3所述的方法,其特征在于,所述解析所述网络请求得到所述至少一级代理机器的地址信息,具体包括:
解析所述网络请求的转发字段的内容,将所述转发字段中除第一项之外的至少一项内容作为所述至少一级代理机器的地址信息;或,
解析所述网络请求的转发字段及消息头中源设备地址字段的内容,将所述转发字段中除第一项之外的其它项内容及所述源设备地址字段的内容作为所述至少一级代理机器的地址信息。
5.如权利要求1所述的方法,其特征在于,所述根据所述客户端的地址信息计算第一校验信息,具体包括:
根据所述客户端的地址信息及按照预置的周期更新的更新参数值计算所述第一校验信息。
6.如权利要求1至5任一项所述的方法,其特征在于,所述根据所述客户端的地址信息计算第一校验信息之前,所述方法还包括:
将所述客户端的地址信息与本地储存的信任名单进行匹配,如果相匹配,则将所述网络请求转发给所述服务器,如果不匹配,执行所述计算第一校验信息的步骤。
7.如权利要求1至5任一项所述的方法,其特征在于,所述方法还包括:
如果所述网络请求中未包括所述第二校验信息,或所述第二校验信息与第一校验信息不一致,将所述第一校验信息返回给所述客户端,以便所述客户端发起携带所述第一校验信息的网络请求。
8.一种网络攻击的防护***,其特征在于,包括:
第一地址获取单元,用于获取至少一级代理机器转发的客户端的网络请求,解析所述网络请求得到所述客户端的地址信息;
校验计算单元,用于根据所述客户端的地址信息计算第一校验信息;
第一处理单元,用于如果所述网络请求中还包括第二校验信息,且所述第二校验信息与所述第一校验信息一致,将所述客户端的地址信息加入信任名单,将所述网络请求转发给服务器。
9.如权利要求8所述的***,其特征在于,
所述第一地址获取单元,具体用于解析所述网络请求的转发字段的内容,将所述转发字段的内容作为所述客户端的地址信息,或,将所述转发字段中的第一项内容作为所述客户端的地址信息。
10.如权利要求8所述的***,其特征在于,还包括:
第二地址获取单元,用于解析所述网络请求得到所述至少一级代理机器的地址信息;
所述校验计算单元,具体用于根据所述客户端的地址信息和至少一级代理机器的地址信息计算所述第一校验信息。
11.如权利要求10所述的***,其特征在于,
所述第二地址获取单元,具体用于解析所述网络请求的转发字段的内容,将所述转发字段中除第一项之外的至少一项内容作为所述至少一级代理机器的地址信息;或,解析所述网络请求的转发字段及消息头中源设备地址字段的内容,将所述转发字段中除第一项之外的其它项内容及所述源设备地址字段的内容作为所述至少一级代理机器的地址信息。
12.如权利要求8所述的***,其特征在于,
所述校验计算单元,具体用于根据所述客户端的地址信息及按照预置的周期更新的更新参数值计算所述第一校验信息。
13.如权利要求8至12任一项所述的***,其特征在于,
所述第一处理单元,还用于将所述客户端的地址信息与本地储存的信任名单进行匹配,如果相匹配,则将所述网络请求转发给所述服务器,如果不匹配,通知所述校验计算单元计算第一校验信息。
14.如权利要求13所述的***,其特征在于,还包括:
第二处理单元,用于如果所述网络请求中未包括所述第二校验信息,或所述第二校验信息与第一校验信息不一致,将所述第一校验信息返回给所述客户端,以便所述客户端发起携带所述第一校验信息的网络请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710067267.6A CN108400955B (zh) | 2017-02-06 | 2017-02-06 | 一种网络攻击的防护方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710067267.6A CN108400955B (zh) | 2017-02-06 | 2017-02-06 | 一种网络攻击的防护方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108400955A true CN108400955A (zh) | 2018-08-14 |
| CN108400955B CN108400955B (zh) | 2020-12-22 |
Family
ID=63094508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710067267.6A Active CN108400955B (zh) | 2017-02-06 | 2017-02-06 | 一种网络攻击的防护方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108400955B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110636068A (zh) * | 2019-09-24 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 在cc攻击防护中识别未知cdn节点的方法以及装置 |
| CN112272164A (zh) * | 2020-09-30 | 2021-01-26 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
| CN112953921A (zh) * | 2021-02-02 | 2021-06-11 | 深信服科技股份有限公司 | 一种扫描行为识别方法、装置、设备及存储介质 |
| CN114237179A (zh) * | 2021-12-16 | 2022-03-25 | 常熟华庆汽车部件有限公司 | 一种基于工业物联网的柔性涂装自动控制***的实现方法 |
| CN114640704A (zh) * | 2022-05-18 | 2022-06-17 | 山东云天安全技术有限公司 | 通讯数据获取方法、***、计算机设备及可读存储介质 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050166049A1 (en) * | 2004-01-26 | 2005-07-28 | Cisco Technologies, Inc. | Upper-level protocol authentication |
| CN101834866A (zh) * | 2010-05-05 | 2010-09-15 | 北京来安科技有限公司 | 一种cc攻击防护方法及其*** |
| CN102404345A (zh) * | 2011-12-26 | 2012-04-04 | 山石网科通信技术(北京)有限公司 | 分布式攻击阻止方法及装置 |
| CN102571547A (zh) * | 2010-12-29 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 一种http流量的控制方法及装置 |
| CN103607392A (zh) * | 2010-12-14 | 2014-02-26 | 华为数字技术(成都)有限公司 | 一种防范钓鱼攻击的方法及装置 |
| CN103888490A (zh) * | 2012-12-20 | 2014-06-25 | 上海天泰网络技术有限公司 | 一种全自动的web客户端人机识别的方法 |
| CN103916389A (zh) * | 2014-03-19 | 2014-07-09 | 汉柏科技有限公司 | 防御HttpFlood攻击的方法及防火墙 |
| CN104023024A (zh) * | 2014-06-13 | 2014-09-03 | 中国民航信息网络股份有限公司 | 网络防御方法及装置 |
| CN104079557A (zh) * | 2014-05-22 | 2014-10-01 | 汉柏科技有限公司 | 一种cc攻击的防护方法及装置 |
| CN104113559A (zh) * | 2014-08-13 | 2014-10-22 | 浪潮电子信息产业股份有限公司 | 一种防御tcp全链接攻击的方法 |
| CN104378450A (zh) * | 2013-08-12 | 2015-02-25 | 深圳市腾讯计算机***有限公司 | 网络攻击的防护方法及装置 |
| CN104519018A (zh) * | 2013-09-29 | 2015-04-15 | 阿里巴巴集团控股有限公司 | 一种防止针对服务器的恶意请求的方法、装置和*** |
| CN105075216A (zh) * | 2013-03-11 | 2015-11-18 | 思科技术公司 | 识别原始ip地址以及客户端端口连接 |
| CN105100093A (zh) * | 2015-07-15 | 2015-11-25 | 联动优势科技有限公司 | 一种身份认证的方法和服务器 |
| CN105959313A (zh) * | 2016-06-29 | 2016-09-21 | 杭州迪普科技有限公司 | 一种防范http代理攻击的方法及装置 |
-
2017
- 2017-02-06 CN CN201710067267.6A patent/CN108400955B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050166049A1 (en) * | 2004-01-26 | 2005-07-28 | Cisco Technologies, Inc. | Upper-level protocol authentication |
| CN101834866A (zh) * | 2010-05-05 | 2010-09-15 | 北京来安科技有限公司 | 一种cc攻击防护方法及其*** |
| CN103607392A (zh) * | 2010-12-14 | 2014-02-26 | 华为数字技术(成都)有限公司 | 一种防范钓鱼攻击的方法及装置 |
| CN102571547A (zh) * | 2010-12-29 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 一种http流量的控制方法及装置 |
| CN102404345A (zh) * | 2011-12-26 | 2012-04-04 | 山石网科通信技术(北京)有限公司 | 分布式攻击阻止方法及装置 |
| CN103888490A (zh) * | 2012-12-20 | 2014-06-25 | 上海天泰网络技术有限公司 | 一种全自动的web客户端人机识别的方法 |
| CN105075216A (zh) * | 2013-03-11 | 2015-11-18 | 思科技术公司 | 识别原始ip地址以及客户端端口连接 |
| CN104378450A (zh) * | 2013-08-12 | 2015-02-25 | 深圳市腾讯计算机***有限公司 | 网络攻击的防护方法及装置 |
| CN104519018A (zh) * | 2013-09-29 | 2015-04-15 | 阿里巴巴集团控股有限公司 | 一种防止针对服务器的恶意请求的方法、装置和*** |
| CN103916389A (zh) * | 2014-03-19 | 2014-07-09 | 汉柏科技有限公司 | 防御HttpFlood攻击的方法及防火墙 |
| CN104079557A (zh) * | 2014-05-22 | 2014-10-01 | 汉柏科技有限公司 | 一种cc攻击的防护方法及装置 |
| CN104023024A (zh) * | 2014-06-13 | 2014-09-03 | 中国民航信息网络股份有限公司 | 网络防御方法及装置 |
| CN104113559A (zh) * | 2014-08-13 | 2014-10-22 | 浪潮电子信息产业股份有限公司 | 一种防御tcp全链接攻击的方法 |
| CN105100093A (zh) * | 2015-07-15 | 2015-11-25 | 联动优势科技有限公司 | 一种身份认证的方法和服务器 |
| CN105959313A (zh) * | 2016-06-29 | 2016-09-21 | 杭州迪普科技有限公司 | 一种防范http代理攻击的方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110636068A (zh) * | 2019-09-24 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 在cc攻击防护中识别未知cdn节点的方法以及装置 |
| CN110636068B (zh) * | 2019-09-24 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 在cc攻击防护中识别未知cdn节点的方法以及装置 |
| CN112272164A (zh) * | 2020-09-30 | 2021-01-26 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
| CN112953921A (zh) * | 2021-02-02 | 2021-06-11 | 深信服科技股份有限公司 | 一种扫描行为识别方法、装置、设备及存储介质 |
| CN114237179A (zh) * | 2021-12-16 | 2022-03-25 | 常熟华庆汽车部件有限公司 | 一种基于工业物联网的柔性涂装自动控制***的实现方法 |
| CN114237179B (zh) * | 2021-12-16 | 2023-09-08 | 常熟华庆汽车部件有限公司 | 一种基于工业物联网的柔性涂装自动控制***的实现方法 |
| CN114640704A (zh) * | 2022-05-18 | 2022-06-17 | 山东云天安全技术有限公司 | 通讯数据获取方法、***、计算机设备及可读存储介质 |
| CN114640704B (zh) * | 2022-05-18 | 2022-08-19 | 山东云天安全技术有限公司 | 通讯数据获取方法、***、计算机设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108400955B (zh) | 2020-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111079104B (zh) | 一种权限控制方法、装置、设备及存储介质 | |
| US9985989B2 (en) | Managing dynamic deceptive environments | |
| US10432652B1 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
| US11388189B2 (en) | Method for detecting brute force attack and related apparatus | |
| CN108400955A (zh) | 一种网络攻击的防护方法及*** | |
| CN103067385B (zh) | 防御会话劫持攻击的方法和防火墙 | |
| US11381629B2 (en) | Passive detection of forged web browsers | |
| US8516575B2 (en) | Systems, methods, and media for enforcing a security policy in a network including a plurality of components | |
| US11212281B2 (en) | Attacker detection via fingerprinting cookie mechanism | |
| US11330016B2 (en) | Generating collection rules based on security rules | |
| EP2472822A2 (en) | Method and system for estimating the reliability of blacklists of botnet-infected computers | |
| Albin | A comparative analysis of the snort and suricata intrusion-detection systems | |
| CN112398781B (zh) | 一种攻击测试方法、主机服务器及控制服务器 | |
| CN109617917A (zh) | 地址虚拟化Web应用安全防火墙方法、装置和*** | |
| CN106576051A (zh) | 使用主机应用/程序到用户代理的映射的零日威胁检测 | |
| Masoud et al. | On tackling social engineering web phishing attacks utilizing software defined networks (SDN) approach | |
| Alam et al. | A case study of sql injection vulnerabilities assessment of. bd domain web applications | |
| Morais et al. | Security protocol testing using attack trees | |
| JP2024023875A (ja) | インラインマルウェア検出 | |
| KR20110029340A (ko) | 분산 서비스 거부 공격의 방어 시스템 | |
| Ahmed et al. | PhishCatcher: Client-Side Defense Against Web Spoofing Attacks Using Machine Learning | |
| Bruschi et al. | Formal verification of ARP (address resolution protocol) through SMT-based model checking-A case study | |
| CN116074280A (zh) | 应用入侵防御***识别方法、装置、设备和存储介质 | |
| Wang et al. | Transparent discovery of hidden service | |
| Karlström | The WebSocket protocol and security: best practices and worst weaknesses |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |