[发明专利]防御DDoS和CC攻击的方法和装置

说明书

技术领域

本发明涉及网络安全领域，特别地，涉及一种防御DDoS和CC攻击的方法和装置。

背景技术

随着Internet互联网络带宽的增加和多种分布式拒绝服务攻击(Distributed Denial of Service，DDoS)黑客工具的不断发布，DDoS攻击事件正在成上升趋势。商业竞争、打击报复和网络敲诈等多种因素导致很多互联网数据中心(Internet Data Center，IDC)托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDoS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDoS攻击问题成为网络服务商必须考虑的头等大事。

目前对于DDoS的防范没有特别行之有效的办法，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，在所有的防御措施中硬件安防设施(硬件防火墙)是最有效的，但是硬件防火墙也无法杜绝所有攻击，仅仅能起到降低攻击级别的效果，DDoS攻击只能被减弱，无法被彻底消除。

CC攻击(Connections Flood)模拟多个用户不停的进行访问需要服务器进行大量数据操作的页面，最终耗尽服务器资源，达到攻击目的。CC攻击是一般硬件防火墙很难防住的，因为：CC攻击的IP地址都是真实的，分散的；CC攻击的数据包都是正常的数据包；CC攻击的请求，全都是有效的请求，无法拒绝的请求。因此，只单纯凭借硬件或是软件很难达到良好的防御攻击效果，需要一种将硬件和软件结合起来，并能有效防御各种DDoS及CC攻击的防护方式。

另外，当前的防护方式对所保护的服务器缺乏针对性，通常难以最大限度地使服务器资源投入使用。

发明内容

本发明要解决的一个技术问题是提供一种防御DDoS和CC攻击的方法和装置，能够使所保护的服务器免受DDoS和CC的攻击。

根据本发明的一方面，提出了一种防御DDoS和CC攻击的方法，包括利用网络爬虫到需要保护的服务器中收集服务器的处理信息；将收集到的服务器的处理信息记录到与服务器相连的网关设备中；根据服务器的处理信息配置DDoS和CC的攻击防护策略；利用配置的DDoS和CC的攻击防护策略使服务器免受DDoS和CC的攻击。

根据本发明方法的一个实施例，服务器的处理信息包括服务器中每部分资源被访问时所消耗的资源、服务器中每部分资源被访问时所需要的处理时间以及服务器能支持的连接数。

根据本发明方法的另一实施例，利用配置的DDoS和CC的攻击防护策略使服务器免受DDoS和CC的攻击的步骤包括实时检测并分析用户访问服务器时的HTTP流量中的信息；利用DDoS和CC的攻击防护策略和HTTP流量中的信息判断服务器是否遭受攻击；如果遭受攻击，则拒绝接受用户对服务器的访问。

根据本发明方法的又一实施例，DDoS和CC的攻击防护策略至少包括设定访问流量阈值和连接数阈值中的一个。

根据本发明的另一方面，还提出了一种防御DDoS和CC攻击的装置，包括信息收集模块，用于利用网络爬虫到需要保护的服务器中收集服务器的处理信息；信息记录模块，与信息收集模块相连，用于将收集到的服务器的处理信息记录到与服务器相连的网关设备中；策略配置模块，与信息记录模块相连，用于根据服务器的处理信息配置DDoS和CC的攻击防护策略；攻击判断模块，与策略配置模块相连，用于利用配置的DDoS和CC的攻击防护策略使服务器免受DDoS和CC的攻击。

根据本发明装置的一个实施例，服务器的处理信息包括服务器中每部分资源被访问时所消耗的资源、服务器中每部分资源被访问时所需要的处理时间以及服务器能支持的连接数。

根据本发明装置的另一实施例，攻击判断模块包括检测单元，用于实时检测并分析用户访问服务器时的HTTP流量中的信息；判断单元，与检测单元相连，用于利用DDoS和CC的攻击防护策略和HTTP流量中的信息判断服务器是否遭受攻击；处理单元，与判断单元相连，用于在遭受攻击的情况下拒绝接受用户对服务器的访问。

根据本发明装置的又一实施例，DDoS和CC的攻击防护策略至少包括设定访问流量阈值和连接数阈值中的一个。

本发明提供的防御DDoS和CC攻击的方法和装置，能够使用网络爬虫对所保护的服务器进行详尽的资源分析，根据分析结果及安全策略对DDoS和CC的攻击进行防御，比传统的防护方式更为精准和智能。另外，本发明还能为所保护的服务器量身定做安全防护策略，不但可以更好地进行DDoS和CC攻击防护，还可以充分利用服务器的资源。

附图说明