[发明专利]基于用户认证的CC防护方法

说明书

技术领域

本发明涉及网络安全领域，具体涉及一种基于用户认证的CC防护方法。

背景技术

当今社会由于网络的发展，信息的传播方式也千变万化，层出不穷，信息的传播速度更是有了长足的进步；在这样的网络环境下，针对web服务器的攻击方式和手段也越来越多。

CC(ChallengeCollapsar，挑战黑洞)攻击是一种针对应用层web服务的攻击方法，其原理与DDos(分布式拒绝服务)在本质上相同，都是以发送大量请求耗尽服务器资源来达到拒绝服务的效果。CC攻击的目标一般选择那些需要进行大量数据操作，消耗系统资源较大的页面。攻击者通过频繁访问这些页面，使服务器不能及时处理导致请求积累，资源无法释放，进而造成数据库连接请求过多，数据库阻塞，最后造成网页不能正常访问。

通过对现有CC防护策略的研究发现，目前所采用的CC防护策略大部分都是以控制访问频率的方式实现，检测单个IP在一定时间内的访问频率，若超过设定的频率阈值，则将访问认定为攻击行为，拒绝该IP之后的访问请求。这种策略可以在一定程度上抵御CC攻击，然而统计每一个IP的访问频率无疑会给服务器带来相当的资源消耗，甚至有可能影响到正常用户的请求，降低了用户体验，也给页面的运维带来了负担。

发明内容

本发明克服了现有技术的不足，提供一种基于用户认证的CC防护方法，旨在提升网站的安全性，增强服务器抵御CC攻击的能力。

考虑到现有技术的上述问题，根据本发明公开的一个方面，本发明采用以下技术方案：

一种基于用户认证的CC防护方法，包括：

步骤1：设置用于对web服务器的请求进行过滤的CC防火墙；

步骤2：设定QPS阈值范围，当服务器的QPS超过设定阈值时，认为发生了CC攻击，启用防护策略；

步骤3：QPS超过阈值之后，防火墙查看IP黑白名单，放行白名单内IP发出的请求，拦截黑名单内IP的请求，其他请求重定向至用户认证页面，用户需要在规定时间内完成验证码认证；

步骤4：若用户在规定时间内完成了认证，放行此次请求，服务器响应请求并将此用户IP加入白名单列表，在白名单的存活时间内处于白名单内的用户访问无需再进行用户认证；

步骤5：若用户未能在规定的时间内完成认证或认证失败，拒绝此次请求并对该用户IP进行一次计数，连续计数超过设定值的IP加入黑名单列表，在黑名单的存活时间内，处于黑名单内IP发出的所有请求都会被拒绝；

步骤6：一定时间周期内清空黑白名单。

为了更好地实现本发明，进一步的技术方案是：

根据本发明的一个实施方案，所述步骤1，在服务器前端搭建防火墙，防火墙通过反向代理或透明代理设置，使用户的访问请求通过防火墙再到服务器，防火墙记录当前服务器的QPS状态作为判断是否发生攻击行为的依据。

根据本发明的另一个实施方案，所述步骤6，当防火墙QPS低于告警线范围时，关闭CC防护策略，清空黑白名单列表。

与现有技术相比，本发明的有益效果之一是：

本发明的一种基于用户认证的CC防护方法，对于超过负载时黑白名单外的所有请求会重定向请求至认证页面，可视为一个“负载均衡策略”，在很大程度上帮助服务器减轻了负担；认证服务器不仅承担分流作用，同时起到验证请求是否为正常用户的作用；认证方式采取“一次认证，短期有效”，避免进行重复认证造成的资源损耗，同时也可避免造成不良的用户体验；黑白名单定时清空，可避免IP变动造成的误封，同时避免名单条目过多造成过滤缓慢；本发明解决了现有CC防护策略的不足，提升了网站的安全性，增强了服务器抵御CC攻击的能力。

附图说明

为了更清楚的说明本申请文件实施例或现有技术中的技术方案，下面将对实施例或现有技术的描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅是对本申请文件中一些实施例的参考，对于本领域技术人员来讲，在不付出创造性劳动的情况下，还可以根据这些附图得到其它的附图。

图1为根据本发明一个实施例的流程示意图。

具体实施方式

下面结合实施例对本发明作进一步地详细说明，但本发明的实施方式不限于此。

一种基于用户认证的CC防护方法，包括：

步骤1具体包括：在服务器前端搭建防火墙，防火墙通过反向代理或透明代理设置使用户的访问请求通过防火墙再到微博服务器，防火墙记录当前服务器的QPS状态作为判断是否发生攻击行为的依据；