[发明专利]防范CC攻击的方法和装置

说明书

技术领域

本发明涉及网络通信技术领域，特别涉及防范挑战黑洞(CC：Challenge Collapsar)攻击的方法和装置。

背景技术

随着因特网(Internet)的不断发展，接入网络的用户和各种应用服务器越来越多。而由于Internet在设计时首要考虑的是接入网络的便利性，并没有充分考虑到接入网络的安全性，这导致越来越多的网络应用受到日益严重的安全威胁，比如分布式拒绝服务(DDoS)攻击等。

WEB服务器是目前Internet网络上部署最多的应用服务器，因此，针对WEB服务器的DDoS攻击也是最为常见。现有针对DDoS攻击比较有效的防御方案是TCP Syn Cookie，也就是由DDoS防护设备通过单向或双向代理的方式代理客户端发过来的syn报文，先和客户段完成TCP握手，如果客户端能够通过握手验证，说明是真实的，而那些伪造源IP的客户端无法通过握手验证，以此来达到防范DDoS攻击的目的。

但是，近年以来，基于页面的DDoS攻击(称为CC攻击)逐渐成为DDoS攻击的主要手段，危害也逐渐加大。所谓CC攻击，指的是通过攻击程序比如代理服务器或者其他控制系统如肉鸡等向WEB服务器发起大量HTTP连接。由于现有防御方案即TCP Syn Cookie只能针对仿冒源IP的攻击，而对于CC攻击则无能为力，因为CC攻击的客户端都是真实存在的，必然会通过上述的握手验证，如此，CC攻击发起的大量HTTP连接就无法被拦截，这导致WEB服务器资源被大量消耗，直至无法正常提供服务。

发明内容

本发明提供了防范CC攻击的方法和装置，以便通过有效区分自然人和攻击程序，拦截CC攻击。

本发明提供的技术方案包括：

一种防范CC攻击的方法，该方法应用于设置在被保护的web服务器之前的流量清洗设备上，该方法包括：

A，所述流量清洗设备接收到客户端向所述web服务器发送的第一请求报文后，判断所述第一请求报文携带的源IP地址是否存在于已建立的认证通过白名单中，如果是，继续发送所述第一请求报文至所述web服务器；否则，发送重定向命令至所述客户端，以使所述客户端接收到所述重定向命令后向所述流量清洗设备发起第二请求报文，并执行步骤B；

B，所述流量清洗设备对接收的第二请求报文进行验证，如果验证通过，则向所述客户端推送确认页面，所述确认页面要求使用所述客户端的用户输入该确认页面中显示的确认码；

C，所述流量清洗设备对用户输入的确认码进行验证，如果验证通过，则将所述源IP地址加入所述认证通过白名单中，并再次发送重定向命令至所述客户端，以使所述客户端向所述web服务器发送第一请求报文，之后返回执行步骤A。

一种防范CC攻击的装置，该装置设置在被保护的web服务器之前，包括：

判断单元，用于接收到客户端向所述web服务器发送的第一请求报文后，判断所述第一请求报文携带的源IP地址是否存在于已建立的认证通过白名单中，如果是，继续发送所述第一请求报文至所述web服务器；否则，发送重定向命令至所述客户端，以使所述客户端接收到所述重定向命令后重新发起第二请求报文；

第一验证单元，用于对接收的第二请求报文进行验证，如果验证通过，则向所述客户端推送确认页面，所述确认页面要求使用所述客户端的用户输入该确认页面中显示的确认码；

第二验证单元，用于对用户输入的确认码进行验证，如果验证通过，则将所述源IP地址加入所述认证通过白名单中，并再次发送重定向命令至客户端，以使所述客户端向所述web服务器发送第一请求报文。

由以上技术方案可以看出，本发明中，如果发送请求报文的客户端被自然人使用，则在流量清洗设备向所述客户端推送确认页面时，自然人很显然可以正确识别确认页面中的确认码，也可以输入正确的确认码。如此，即可通过流量清洗设备对用户输入的确认码的验证，访问被保护的web服务器。而如果客户端为攻击程序，比如为代理或者木马，由于目前的技术无法使攻击程序快速正确识别确认码，因此，攻击程序不能在通过流量清洗设备对确认码的验证，进而也就无法真正访问web服务器。也就是说，本发明通过对确认码验证能够区分自然人和攻击程序，达到防范CC攻击的目的。

附图说明

图1为本发明实施例提供的基本流程图；

图2为本发明实施例提供的详细流程图；

图3为本发明实施例提供的装置结构图。

具体实施方式