CN110636068A - 在cc攻击防护中识别未知cdn节点的方法以及装置 - Google Patents
在cc攻击防护中识别未知cdn节点的方法以及装置 Download PDFInfo
- Publication number
- CN110636068A CN110636068A CN201910908466.4A CN201910908466A CN110636068A CN 110636068 A CN110636068 A CN 110636068A CN 201910908466 A CN201910908466 A CN 201910908466A CN 110636068 A CN110636068 A CN 110636068A
- Authority
- CN
- China
- Prior art keywords
- address
- proxy
- cookie
- http request
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供了一种在CC攻击防护中识别未知CDN节点的方法以及装置,涉及网络技术领域,包括:接收携带有代理字段的超文本传输协议(HTTP)请求,代理字段包括代理互联网协议(IP)地址,HTTP请求包括源IP地址;如果HTTP请求通过浏览器发送,将源IP地址记录在代理IP地址对应的IP数组中;如果代理IP地址对应的数组达到预设条件,确定代理IP地址为未知内容分发网络(CDN)节点的IP地址,解决了CDN节点被误判为挑战黑洞(CC)攻击源而封锁IP,造成部分区域用户无法访问网站的技术问题。
Description
技术领域
本申请涉及网络技术领域,尤其是涉及一种在CC攻击防护中识别未知CDN节点的方法以及装置。
背景技术
目前,大量的中小网站都会使用一些内容分发网络(Content Delivery Network,CDN)服务来加速网站访问,同时也会在网站服务器上安装挑战黑洞(ChallengeCollapsar,CC)攻击防护软件,一旦用户使用了CDN服务,此类防护软件在执行防护作业时,获取到的代理互联网协议(Internet Protocol,IP)即为CDN节点IP,为兼容CDN服务,防护软件一般会内置流行的CDN节点IP地址,以达到CDN透明的效果。
业务与安全经常在某些场景存在兼容问题,CC防护***的原理绕不开对源IP访问次数的统计,一旦CDN新增了服务节点或改变了旧的节点地址,防护软件没有及时更新节点地址时,将存在CDN节点被误判为CC攻击源的可能性,封锁此IP后会造成部分区域用户无法访问网站。
发明内容
本发明的目的在于提供一种在CC攻击防护中识别未知CDN节点的方法以及装置,以解决CDN节点被误判为CC攻击源而封锁代理IP,造成部分区域用户无法访问网站的技术问题。
第一方面,本申请实施例提供了一种在CC攻击防护中识别未知CDN节点的方法,应用于服务器,包括:
接收携带有代理字段的超文本传输协议(HyperText Transfer Protocol,HTTP)请求,所述代理字段包括代理IP地址,所述HTTP请求包括源IP地址;
如果所述HTTP请求通过浏览器发送,将所述源IP地址记录在所述代理IP地址对应的IP数组中;
如果所述代理IP地址对应的数组达到预设条件,确定所述代理IP地址为未知CDN节点的IP地址。
在一个可能的实现中,还包括:
判断所述HTTP请求中是否携带有验证储存在用户本地终端上的数据(Cookie);
如果携带所述验证Cookie,且所述验证Cookie合法,确定所述HTTP请求通过浏览器发送。
在一个可能的实现中,还包括:
如果未携带所述验证Cookie,根据所述源IP地址或代理IP地址生成所述验证Cookie;
根据所述验证Cookie生产用于浏览器执行的脚本,并返回所述脚本,以便浏览器执行所述脚本确定所述Cookie。
在一个可能的实现中,生成的所述验证Cookie存储在本地;所述方法还包括:
如果携带的验证Cookie与本地存储的验证Cookie相同,确定所述验证Cookie合法。
第二方面,提供了一种在CC攻击防护中识别未知CDN节点的方法,应用于客户端,包括:
向服务器发送未携带验证Cookie的HTTP请求;
接收所述服务器发送的包括所述验证Cookie的脚本;
运行所述脚本,获取所述Cookie;
向所述服务器发送携带所述Cookie的HTTP请求。
第三方面,提供了一种在CC攻击防护中识别未知CDN节点的装置,应用于服务器,包括:
接收模块,用于接收携带有代理字段的HTTP请求,所述代理字段包括代理IP地址,所述HTTP请求包括源IP地址;
记录模块,用于如果所述HTTP请求通过浏览器发送,将所述源IP地址记录在所述代理IP地址对应的IP数组中;
第一确定模块,用于如果所述代理IP地址对应的数组达到预设条件,确定所述代理IP地址为未知CDN节点的IP地址。
第四方面,本申请实施例提供了一种在CC攻击防护中识别未知CDN节点的装置,应用于客户端,包括:
发送模块,用于向服务器发送未携带验证Cookie的HTTP请求;
接收模块,用于接收所述服务器发送的包括所述验证Cookie的脚本;
运行模块,用于运行所述脚本,获取所述Cookie;
发送模块还用于向所述服务器发送携带所述Cookie的HTTP请求。
第五方面,本申请实施例又提供了一种服务器,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的第一方面所述方法。
第六方面,本申请实施例又提供了一种客户端,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的第二方面所述方法。
第七方面,本申请实施例又提供了一种计算机可读存储介质,所述计算机可读存储介质存储有机器可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行上述的第一方面或第二方面所述方法。
本申请实施例带来了以下有益效果:
本申请实施例提供的一种在CC攻击防护中识别未知CDN节点的方法以及装置。应用于服务器接收携带有包括代理IP地址的代理字段的HTTP请求,其中,该HTTP请求包括源IP地址,本方案中,若HTTP请求通过浏览器发送则将源IP地址记录在代理IP地址对应的IP数组中,若代理IP地址对应的数组达到预设条件则确定代理IP地址为未知CDN节点的IP地址,通过检测代理IP地址实现对未知CDN节点的判别算法,因此,通过自动识别未知CDN节点的IP,能够防止CDN节点被误判为CC攻击源而封锁IP,造成部分区域用户无法访问网站的情况,从而可以准确识别未知CDN节点,有效的解决因未及时更新CDN节点地址,造成CC防护中误封CDN节点IP的情况,不仅使网站在拥有安全防护能力的同时,还保证了网站的业务持续。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种在CC攻击防护中识别未知CDN节点的方法的流程示意图;
图2为本申请实施例提供的一种在CC攻击防护中识别未知CDN节点的方法的另一流程示意图;
图3示出了网站未使用CDN服务访问者浏览网站的示意图;
图4示出了网站使用了CDN服务访问者浏览网站的示意图;
图5为本申请实施例提供的一种在CC攻击防护中识别未知CDN节点的方法的另一流程示意图;
图6提供了一种在CC攻击防护中识别未知CDN节点的装置结构示意图;
图7提供了本申请实施例提供的一种服务器的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
在本申请的描述中,除非另有说明,“至少一个”的含义是指一个或一个以上。
下面将详细描述本申请的各个方面的特征和示例性实施例。在下面的详细描述中,提出了许多具体细节,以便提供对本申请的全面理解。但是,对于本领域技术人员来说很明显的是,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请的更好的理解。本申请决不限于下面所提出的任何具体配置和算法,而是在不脱离本申请的精神的前提下覆盖了元素、部件和算法的任何修改、替换和改进。在附图和下面的描述中,没有示出公知的结构和技术,以便避免对本申请造成不必要的模糊。
目前,大量的中小网站都会使用一些CDN服务来加速网站访问,同时也会在网站服务器上安装CC攻击防护软件,一旦用户使用了CDN服务,此类防护软件在执行防护作业时,获取到的IP即为CDN节点IP,为兼容CDN服务,防护软件一般会内置流行的CDN节点IP地址,以达到CDN透明的效果。
业务与安全经常在某些场景存在兼容问题,CC防护***的原理绕不开对源IP访问次数的统计,一旦CDN新增了服务节点或改变了旧的节点地址,防护软件没有及时更新节点地址时,将存在CDN节点被误判为CC攻击源的可能性,封锁此IP后会造成部分区域用户无法访问网站。
基于此,本申请实施例提供的一种在CC攻击防护中识别未知CDN节点的方法以及装置,可以解决现有技术中存在的CDN节点被误判为CC攻击源而封锁IP,造成部分区域用户无法访问网站的技术问题。
为便于对本实施例进行理解,首先对本申请实施例所公开的一种在CC攻击防护中识别未知CDN节点的方法以及装置进行详细介绍。
图1为本申请实施例提供的一种在CC攻击防护中识别未知CDN节点的方法的流程示意图。其中,该方法应用于服务器,如图1所示,该方法包括:
S110,接收携带有代理字段的HTTP请求,代理字段包括代理IP地址,HTTP请求包括源IP地址。
CC攻击是分布式拒绝服务攻击(Distributed denial of service attack,DDoS)的一种类型,攻击者控制大量僵尸网络机器或代理服务器向目标网站发送大量需要后台执行耗时操作的HTTP请求,造成网站服务器始终处于非常繁忙状态,无法处理正常用户请求。
HTTP请求是指从客户端到服务器端的请求消息,包括:消息首行中,对资源的请求方法、资源的标识符及使用的协议。
需要说明的是,CDN服务程序是一个标准的代理程序,大部分的CDN服务采用Nginx反向代理法,转发访问者的请求时会增加一个HTTP_X_FORWARDED_FOR或HTTP_CLIENT字段,用来标识原始访问者的IP地址。
访问者首先发起HTTP请求,可能是正常请求,也可能是各种扫描器、CC攻击请求等。正常响应请求后,关注此请求是否是通过代理访问。
本步骤中,如图2所示,网站服务器检查HTTP请求头字段,因为是要找到未知CDN节点,该节点是携带了HTTP_X_FORWARDED_FOR或HTTP_CLIENT代理字段的请求。本申请实施例中的HTTP请求以携带代理字段为例进行说明,本申请实施例不关注未携带代理字段的情况。
S120,判断HTTP请求是否通过浏览器发送。如果是,则进行步骤S130。
其中,浏览器指网页浏览器,是一种用于检索并展示万维网信息资源的应用程序。这些信息资源可为网页、图片、影音或其他内容,它们由统一资源标志符标志。信息资源中的超链接可使用户方便地浏览相关信息。网页浏览器虽然主要用于使用万维网,但也可用于获取专用网络中网页服务器之信息或文件***内之文件。
S130,将源IP地址记录在代理IP地址对应的IP数组中。
本步骤中,若HTTP请求通过浏览器发送,则记录下此代理IP及终端的访问者IP,以备后续统计分析。
对于统计通过某个代理访问的所有源地址的过程:每当有通过代理访问的合法请求产生时,以此代理为KEY(关键字),VALUE(关键字的值)为一个IP数组,从HTTP_X_FORWARDED_FOR或HTTP_CLIENT字段中解析出原始IP,将此源IP加入到这个数组中。所有不同的代理的IP地址,都需要单独计算。
S140,判断代理IP地址对应的数组是否达到预设条件。如果是,则进行步骤S150。
其中,预设条件可以为达到一定规模。本步骤中,当某个代理IP上通过的合法请求数达到一定规模时,即可认为有很多不同访问者为此代理节点证明了其合法的代理身份,又因为网站使用了CDN服务,在***露网站服务器IP的情况下,大部分情况下只能通过CDN节点访问,间接证明了此代理即为未知的CDN节点地址,以最终确认未知CDN节点。
S150,确定代理IP地址为未知CDN节点的IP地址。
其中,CDN节点是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。从技术上全面解决由于网络带宽小、用户访问量大、网点分布不均等原因所造成的用户访问网站响应速度慢的问题。CDN的本质是一种代理程序,用来加速用户访问网站的速度。
本步骤中,当一个代理IP上通过的正常访问用户足够多,则认为此代理IP就是一个未知CDN节点,进而达到识别正常HTTP请求与CC攻击请求。
需要说明的是,CDN目的是通过在现有的Internet中增加一层新的网络架构,将网站的内容发布到最接近用户的网络“边缘”,从技术上全面解决由于网络带宽小、用户访问量大、网点分布不均等原因所造成的用户访问网站响应速度慢的问题。
图3示出了网站未使用CDN服务,访问者浏览网站的示意图。图4示出了网站使用了CDN服务,访问者浏览网站的示意图。其中,访问者可以是终端,例如手机、个人计算机等等。如图3和图4所示,CDN服务提供程序转发用户请求时,都会在原始请求中增加一个HTTP_X_FORWARDED_FOR或HTTP_CLIENT字段,用来向网站服务器报告原始访问者的IP地址。CDN服务提供程序本质上是一个代理程序,由于HTTP_X_FORWARDED_FOR或HTTP_CLIENT字段存在于HTTP请求头中,存在被伪造的可能性,所以在网站服务器的角度来看,是无法区分出访问者是真的通过代理程序来访问的,还是伪造了代理字段访问。对于这个不可能完成的任务,常见的防护软件采用内置主流CDN节点地址的方案(主流的CDN提供商都会公开其节点地址),如果网站服务器发现访问其站点的是CDN节点的地址,那么其携带的HTTP_X_FORWARDED_FOR或HTTP_CLIENT字段肯定不会是伪造的。
基于此,若CDN提供商新增或更新了CDN节点地址,网站服务器得不到及时的更新,对于代理的判断逻辑可能出错,在网站并发访问量高的情况下,存在误封CDN节点的可能性,将造成部分区域用户无法访问网站。
目前,对于CC攻击防护中针对单个IP访问次数的统计,解决的方式有:仅统计直接和网站服务器建立连接的IP地址;未携带HTTP_X_FORWARDED_FOR或HTTP_CLIENT的情况下,统计直接和网站服务器建立连接的IP地址,携带了代理字段的情况下,统计代理字段中的IP地址;内置主流CDN节点地址,只有和网站服务器建立连接的IP地址是CDN节点地址时,才统计HTTP_X_FORWARDED_FOR或HTTP_CLIENT字段中的IP地址,其他情况下一律统计和网站服务器建立连接的IP地址。
但是,对于统计IP访问次数的方法:仅统计直接和网站服务器建立连接的IP地址,在不通过代理访问,不使用CDN服务的情况下可以很好的工作,一旦使用了CDN服务,极易误封CDN节点;未携带HTTP_X_FORWARDED_FOR或HTTP_CLIENT的情况下,统计直接和网站服务器建立连接的IP地址,携带了代理字段的情况下,统计代理字段中的IP地址,此方案中由于代理字段存在与HTTP请求头中,攻击者可以随意伪造,当攻击者给代理字段中填充随机IP时,会造成统计的IP访问次数始终达不到预设的访问次数阈值,造成CC防护功能失效;内置主流CDN节点地址,只有和网站服务器建立连接的IP地址是CDN节点地址时,才统计HTTP_X_FORWARDED_FOR或HTTP_CLIENT字段中的IP地址,其他情况下一律统计和网站服务器建立连接的IP地址。
对于现有技术而言,由于内置了CDN节点地址,兼容性最好,也不容易误封CDN节点,是目前CC防护软件采用最多的方案。而且不会因为攻击者伪造HTTP_X_FORWARDED_FOR或HTTP_CLIENT字段而造成报告的攻击IP错误。但此方案存在未能及时更新CDN节点,使衰变成为可能性。
本实施例中,首先识别正常请求与疑似CC攻击请求,然后,通过一定的策略与算法从代理字段中的正常请求中筛查出未知的CDN服务节点,从而实现了对未知CDN节点的判别算法。具体的,通过检测代理,统计此代理IP上通过的正常请求数,当通过某个代理的源IP积累到一定数量时,就可以判断出此代理IP为正常CDN节点。
因此,通过在Web防护中CC攻击防御时,自动识别未知CDN节点的IP,能够防止CDN节点被CC防护***误拦截,造成部分区域用户无法访问被防护站点。从而可以准确识别未知CDN节点,有效的解决因未及时更新CDN节点地址,造成CC防护中误封CDN节点IP的情况,不仅使网站在拥有安全防护能力的同时,还保证了网站的业务持续。
在一些实施例中,如图2和图5所示,该方法还可以包括以下步骤:
步骤a,判断HTTP请求中是否携带有验证Cookie;
步骤b,如果携带验证Cookie,且验证Cookie合法,确定HTTP请求通过浏览器发送。
对于上述步骤b,如图2所示,如果存在自定义Cookie则确认其是正常访问用户,记录下此代理IP及终端的访问者IP,以备后续统计分析。
通过在防护***中使用Cookie技术,智能识别正常访问与CC攻击,利用算法统计通过代理的正常请求数,当这些请求的源IP上升到一定数量时,即可认为此代理为CDN节点地址,从而提高识别过程的准确性。
基于上述步骤a,如图2和图5所示,该方法还可以包括以下步骤:
步骤c,如果未携带验证Cookie,根据源IP地址或代理IP地址生成验证Cookie;
步骤d,根据验证Cookie生产用于浏览器执行的脚本,并返回脚本,以便浏览器执行脚本确定Cookie。
对于上述步骤c,需要说明的是,针对识别CC攻击请求的过程:访问者每次发起HTTP请求时,都未能携带合法Cookie,则可认为此次访问不是通过浏览器发起的合法请求,有很大可能是通过代理工具或CC攻击工具发起请求的恶意请求。
对于上述步骤d,访问者首次访问网站时,通过JS脚本设置Cookie。如图2和图5所示,访问者通过浏览器首次访问网站时,如果并未携带验证Cookie,网站服务器通过此访问者的IP及其他标识实时计算一个Cookie,并返回一段JS脚本给浏览器,JS脚本内部会设置此Cookie,并携带此Cookie重新访问最开始的URL,以便网站服务器返回给访问者验证脚本。
具体的,针对存在代理字段的请求检查Cookie值,若不存在自定义的Cookie值,则可能是首次访问,返回一段JS脚本,脚本中会设置Cookie后重新请求刚才的URL,这里设置Cookie,并未采用HTTP_SET_COOKIE方式,而是直接用脚本方式设置,主要是为了区分正常请求与扫描器及恶意请求,扫描器及恶意请求因为无法解析JS脚本将无法请求到页面。因此,能够更加有效的区分出正常请求与恶意请求。
在一些实施例中,上述步骤c中生成的验证Cookie存储在本地,该方法还可以包括以下步骤:
步骤e,如果携带的验证Cookie与本地存储的验证Cookie相同,确定验证Cookie合法。
对于识别正常请求的过程,在内存中记录此信息,当访问者下次重新访问网站时,若携带了此合法Cookie,则认为访问者是通过浏览器发起的合法请求。当然,还可以通过加密算法来计算,例如,指定的哈希算法,这样不用记录Cookie,从而节省了更多的步骤,提高识别正常请求的效率。
本申请实施例还提供了一种在CC攻击防护中识别未知CDN节点的方法,应用于客户端,包括:
向服务器发送未携带验证Cookie的HTTP请求;
接收所述服务器发送的包括所述验证Cookie的脚本;
运行所述脚本,获取所述Cookie;
向所述服务器发送携带所述Cookie的HTTP请求。
图6提供了一种在CC攻击防护中识别未知CDN节点的装置结构示意图。该装置应用于服务器,如图6所示,在CC攻击防护中识别未知CDN节点的装置600包括:
接收模块601,用于接收携带有代理字段的HTTP请求,代理字段包括代理IP地址,HTTP请求包括源IP地址;
记录模块602,用于如果HTTP请求通过浏览器发送,将源IP地址记录在代理IP地址对应的IP数组中;
第一确定模块603,用于如果代理IP地址对应的数组达到预设条件,确定代理IP地址为未知CDN节点的IP地址。
在一些实施例中,装置还包括:
判断模块,用于判断HTTP请求中是否携带有验证Cookie;
第二确定模块,用于如果携带验证Cookie,且验证Cookie合法,确定HTTP请求通过浏览器发送。
在一些实施例中,装置还包括:
生成模块,用于如果未携带验证Cookie,根据源IP地址或代理IP地址生成验证Cookie;
生产模块,用于根据验证Cookie生产用于浏览器执行的脚本,并返回脚本,以便浏览器执行脚本确定Cookie。
在一些实施例中,生成的验证Cookie存储在本地;装置还包括:
如果携带的验证Cookie与本地存储的验证Cookie相同,确定验证Cookie合法。
本申请实施例还提供了一种在CC攻击防护中识别未知CDN节点的装置,应用于客户端,包括:
发送模块,用于向服务器发送未携带验证Cookie的HTTP请求;
接收模块,用于接收所述服务器发送的包括所述验证Cookie的脚本;
运行模块,用于运行所述脚本,获取所述Cookie;
发送模块还用于向所述服务器发送携带所述Cookie的HTTP请求。
本申请实施例提供的在CC攻击防护中识别未知CDN节点的装置,与上述实施例提供的在CC攻击防护中识别未知CDN节点的方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本申请实施例提供的一种客户端,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例提供的方法的步骤。
本申请实施例提供的一种服务器,如图7所示,服务器700包括存储器701、处理器702,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例提供的方法的步骤。
参见图7,服务器还包括:总线703和通信接口704,处理器702、通信接口704和存储器701通过总线703连接;处理器702用于执行存储器701中存储的可执行模块,例如计算机程序。
其中,存储器701可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口704(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线703可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器701用于存储程序,所述处理器702在接收到执行指令后,执行所述程序,前述本申请任一实施例揭示的过程定义的装置所执行的方法可以应用于处理器702中,或者由处理器702实现。
处理器702可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器702中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器702可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processing,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器701,处理器702读取存储器701中的信息,结合其硬件完成上述方法的步骤。
对应于上述在CC攻击防护中识别未知CDN节点的方法,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述在CC攻击防护中识别未知CDN节点的方法的步骤。
本申请实施例所提供的在CC攻击防护中识别未知CDN节点的装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本申请实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,前述描述的***、装置和单元的具体工作过程,均可以参考上述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述移动控制方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种在CC攻击防护中识别未知CDN节点的方法,其特征在于,应用于服务器,包括:
接收携带有代理字段的HTTP请求,所述代理字段包括代理IP地址,所述HTTP请求包括源IP地址;
如果所述HTTP请求通过浏览器发送,将所述源IP地址记录在所述代理IP地址对应的IP数组中;
如果所述代理IP地址对应的数组达到预设条件,确定所述代理IP地址为未知CDN节点的IP地址。
2.根据权利要求1所述的方法,其特征在于,还包括:
判断所述HTTP请求中是否携带有验证Cookie;
如果携带所述验证Cookie,且所述验证Cookie合法,确定所述HTTP请求通过浏览器发送。
3.根据权利要求2所述的方法,其特征在于,还包括:
如果未携带所述验证Cookie,根据所述源IP地址或代理IP地址生成所述验证Cookie;
根据所述验证Cookie生产用于浏览器执行的脚本,并返回所述脚本,以便浏览器执行所述脚本确定所述Cookie。
4.根据权利要求3所述的方法,其特征在于,生成的所述验证Cookie存储在本地;所述方法还包括:
如果携带的验证Cookie与本地存储的验证Cookie相同,确定所述验证Cookie合法。
5.一种在CC攻击防护中识别未知CDN节点的方法,其特征在于,应用于客户端,包括:
向服务器发送未携带验证Cookie的HTTP请求;
接收所述服务器发送的包括所述验证Cookie的脚本;
运行所述脚本,获取所述Cookie;
向所述服务器发送携带所述Cookie的HTTP请求。
6.一种在CC攻击防护中识别未知CDN节点的装置,其特征在于,应用于服务器,包括:
接收模块,用于接收携带有代理字段的HTTP请求,所述代理字段包括代理IP地址,所述HTTP请求包括源IP地址;
记录模块,用于如果所述HTTP请求通过浏览器发送,将所述源IP地址记录在所述代理IP地址对应的IP数组中;
第一确定模块,用于如果所述代理IP地址对应的数组达到预设条件,确定所述代理IP地址为未知CDN节点的IP地址。
7.一种在CC攻击防护中识别未知CDN节点的装置,其特征在于,应用于客户端,包括:
发送模块,用于向服务器发送未携带验证Cookie的HTTP请求;
接收模块,用于接收所述服务器发送的包括所述验证Cookie的脚本;
运行模块,用于运行所述脚本,获取所述Cookie;
发送模块还用于向所述服务器发送携带所述Cookie的HTTP请求。
8.一种服务器,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至4任一项所述的方法的步骤。
9.一种客户端,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求5所述的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有机器可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行所述权利要求1至5任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910908466.4A CN110636068B (zh) | 2019-09-24 | 2019-09-24 | 在cc攻击防护中识别未知cdn节点的方法以及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910908466.4A CN110636068B (zh) | 2019-09-24 | 2019-09-24 | 在cc攻击防护中识别未知cdn节点的方法以及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110636068A true CN110636068A (zh) | 2019-12-31 |
| CN110636068B CN110636068B (zh) | 2022-01-28 |
Family
ID=68973360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910908466.4A Active CN110636068B (zh) | 2019-09-24 | 2019-09-24 | 在cc攻击防护中识别未知cdn节点的方法以及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110636068B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111277461A (zh) * | 2020-01-19 | 2020-06-12 | 杭州安恒信息技术股份有限公司 | 一种内容分发网络节点的识别方法、***及设备 |
| CN112422577A (zh) * | 2020-11-25 | 2021-02-26 | 北京微步在线科技有限公司 | 预防原始地址欺骗攻击的方法,装置、服务器和存储介质 |
| CN112953921A (zh) * | 2021-02-02 | 2021-06-11 | 深信服科技股份有限公司 | 一种扫描行为识别方法、装置、设备及存储介质 |
| CN113746918A (zh) * | 2021-09-03 | 2021-12-03 | 上海幻电信息科技有限公司 | 超文本传输协议代理方法及*** |
| CN114629874A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 源站服务器的云防护节点切换方法、***、设备及介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030074432A1 (en) * | 2001-09-26 | 2003-04-17 | Mazzitelli John Joseph | State data management method and system |
| CN101621458A (zh) * | 2008-06-30 | 2010-01-06 | 国际商业机器公司 | 异步处理网络请求的方法和*** |
| CN101834866A (zh) * | 2010-05-05 | 2010-09-15 | 北京来安科技有限公司 | 一种cc攻击防护方法及其*** |
| KR20110044036A (ko) * | 2009-10-22 | 2011-04-28 | 한국인터넷진흥원 | 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 |
| CN102790798A (zh) * | 2012-05-23 | 2012-11-21 | 蓝汛网络科技(北京)有限公司 | 一种内容分发网络中透明代理实现方法、设备及*** |
| CN103634284A (zh) * | 2012-08-24 | 2014-03-12 | 阿里巴巴集团控股有限公司 | 一种网络flood攻击的侦测方法及装置 |
| CN103685253A (zh) * | 2013-12-05 | 2014-03-26 | 北京奇虎科技有限公司 | Cdn流量放大攻击的防御方法及装置 |
| CN105162793A (zh) * | 2015-09-23 | 2015-12-16 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
| CN106302613A (zh) * | 2015-06-10 | 2017-01-04 | 网宿科技股份有限公司 | 一种基于Windows Phone 8平台的引导应用流量的方法 |
| CN107113454A (zh) * | 2014-10-29 | 2017-08-29 | Dlvr公司 | 配置引用用于自适应流式传输视频的基础设施服务提供商的清单文件 |
| CN108400955A (zh) * | 2017-02-06 | 2018-08-14 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防护方法及*** |
| CN110109812A (zh) * | 2019-05-10 | 2019-08-09 | 广州英睿科技有限公司 | 访问日志数据的统计方法、装置、计算机设备和存储介质 |
-
2019
- 2019-09-24 CN CN201910908466.4A patent/CN110636068B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030074432A1 (en) * | 2001-09-26 | 2003-04-17 | Mazzitelli John Joseph | State data management method and system |
| CN101621458A (zh) * | 2008-06-30 | 2010-01-06 | 国际商业机器公司 | 异步处理网络请求的方法和*** |
| KR20110044036A (ko) * | 2009-10-22 | 2011-04-28 | 한국인터넷진흥원 | 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 |
| CN101834866A (zh) * | 2010-05-05 | 2010-09-15 | 北京来安科技有限公司 | 一种cc攻击防护方法及其*** |
| CN102790798A (zh) * | 2012-05-23 | 2012-11-21 | 蓝汛网络科技(北京)有限公司 | 一种内容分发网络中透明代理实现方法、设备及*** |
| CN103634284A (zh) * | 2012-08-24 | 2014-03-12 | 阿里巴巴集团控股有限公司 | 一种网络flood攻击的侦测方法及装置 |
| CN103685253A (zh) * | 2013-12-05 | 2014-03-26 | 北京奇虎科技有限公司 | Cdn流量放大攻击的防御方法及装置 |
| CN107113454A (zh) * | 2014-10-29 | 2017-08-29 | Dlvr公司 | 配置引用用于自适应流式传输视频的基础设施服务提供商的清单文件 |
| CN106302613A (zh) * | 2015-06-10 | 2017-01-04 | 网宿科技股份有限公司 | 一种基于Windows Phone 8平台的引导应用流量的方法 |
| CN105162793A (zh) * | 2015-09-23 | 2015-12-16 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
| CN108400955A (zh) * | 2017-02-06 | 2018-08-14 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防护方法及*** |
| CN110109812A (zh) * | 2019-05-10 | 2019-08-09 | 广州英睿科技有限公司 | 访问日志数据的统计方法、装置、计算机设备和存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111277461A (zh) * | 2020-01-19 | 2020-06-12 | 杭州安恒信息技术股份有限公司 | 一种内容分发网络节点的识别方法、***及设备 |
| CN112422577A (zh) * | 2020-11-25 | 2021-02-26 | 北京微步在线科技有限公司 | 预防原始地址欺骗攻击的方法,装置、服务器和存储介质 |
| CN112953921A (zh) * | 2021-02-02 | 2021-06-11 | 深信服科技股份有限公司 | 一种扫描行为识别方法、装置、设备及存储介质 |
| CN113746918A (zh) * | 2021-09-03 | 2021-12-03 | 上海幻电信息科技有限公司 | 超文本传输协议代理方法及*** |
| CN114629874A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 源站服务器的云防护节点切换方法、***、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110636068B (zh) | 2022-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110636068B (zh) | 在cc攻击防护中识别未知cdn节点的方法以及装置 | |
| US11244024B2 (en) | Methods and apparatuses for providing internet-based proxy services | |
| US8844034B2 (en) | Method and apparatus for detecting and defending against CC attack | |
| US9654494B2 (en) | Detecting and marking client devices | |
| Maggi et al. | Two years of short urls internet measurement: security threats and countermeasures | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
| US20100235915A1 (en) | Using host symptoms, host roles, and/or host reputation for detection of host infection | |
| US8646038B2 (en) | Automated service for blocking malware hosts | |
| CN107046544B (zh) | 一种识别对网站的非法访问请求的方法和装置 | |
| CN107341395B (zh) | 一种拦截爬虫的方法 | |
| TW201824047A (zh) | 攻擊請求的確定方法、裝置及伺服器 | |
| US11089039B2 (en) | Network traffic spike detection and management | |
| CN103384888A (zh) | 用于恶意软件的检测和扫描的***和方法 | |
| JP2012507065A (ja) | 分散環境における要求処理 | |
| CN111866124B (zh) | 访问网页页面的方法、装置、服务器和机器可读存储介质 | |
| EP3852327A1 (en) | Exception access behavior identification method and server | |
| WO2013026362A1 (zh) | 用于网络流量监控的方法和*** | |
| CN113810381B (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
| EP3382981B1 (en) | A user equipment and method for protection of user privacy in communication networks | |
| Nisar et al. | Incentivizing censorship measurements via circumvention | |
| CN105939320A (zh) | 处理报文的方法及装置 | |
| CN110808967B (zh) | 挑战黑洞攻击的检测方法及相关装置 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| US20170177866A1 (en) | Method and apparatus for detecting exploits |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |