[发明专利]分布式攻击阻止方法及装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种分布式攻击阻止方法及装置。

背景技术

CC攻击是DDOS(分布式拒绝服务)的一种，相比其它的DDOS攻击CC似乎更有技术含量一些。这种攻击见不到虚假IP，见不到特别大的异常流量，但造成服务器无法进行正常连接，由此可见其危害性。最让站长们忧虑的是这种攻击技术含量低，利用工具和一些IP代理一个初、中级的电脑水平的用户就能够实施攻击。

在CC攻击中，攻击者控制某些主机不停地发送大量数据包给对方服务器造成服务器资源完全占用，一直到宕机崩溃。CC主要是用来攻击页面的，当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(有多少线程就可以模拟多少用户)不停地访问那些需要大量数据操作(需要大量CPU时间)的页面，造成服务器资源的占用，CPU长时间处于100％使用率，永远都有处理不完的连接直至网络拥塞，正常的访问被中止。

CC攻击可分为两种攻击方式，第一种是代理CC攻击：黑客借助代理服务器生成指向受害主机的合法网页请求，实现DDOS和伪装。第二种是肉鸡CC攻击：黑客利用CC攻击软件，控制大量肉鸡发动攻击。

在网络安全设备中，传统的防CC攻击手段基本上都基于对服务器访问的频率设置阈值进行限制。大致有以下两种。

一种主要是基于访问频率的阈值的限制，当访问频率达到用户设定的阈值后，便丢弃后续数据。图1是根据现有技术的防CC攻击手段示意图一，如图1所示，其中虚线线条代表攻击流量，实线线条代表正常流量。假如用户设置的阈值为N(次)/秒，当流经Firewall的http Get次数达到N次/秒这个频率后，Firewall会丢弃超过这个阈值的http Get请求；如上图所示，他不会去识别是否是CC的攻击流量。该技术最大的缺点是当丢弃http Get请求时，只负责丢弃超过阈值部分流量，这部分流量中包含攻击流量和正常流量，导致部分攻击流量被放过；同时部分正常流量被丢弃。

另一种是在服务器上通过软件进行限制，通常的做法是在Web引擎中开发基于访问频率的阈值的限制。该技术主要是基于访问频率的阈值的限制，当访问频率达到用户设定的阈值后，便丢弃后续数据。图2是根据现有技术的防CC攻击手段示意图二，如图2所示：假如用户设置的阈值为N(次)/秒，当防CC攻击模块统计的http Get次数达到N次/秒这个频率后，引擎会丢弃超过这个阈值的http Get请求；如上图所示，他不会去识别是否是CC的攻击流量。该技术最大的缺点就是当丢弃http Get请求时，只负责丢弃超过阈值部分流量，这部分流量中包含攻击流量和正常流量，导致部分攻击流量被放过；同时部分正常流量被丢弃。另外，由于不同用户的Web服务器用到的引擎不同，导致需要为每个用户开发单独的防cc攻击模块，通用性较差。

发明内容

本发明提供了一种分布式攻击阻止方法及装置，以至少解决相关技术中在达到预设访问量或访问频率时，直接丢弃超过阈值的流量，影响正常访问网站的问题。

根据本发明的一个方面，提供了一种分布式攻击阻止方法，包括：接收到客户端向第一URL发送的请求报文；向客户端发送携带有第二URL的应答报文，其中第二URL是根据第一URL生成的；接收到客户端向第二URL发送的请求报文；向网络服务器发送请求报文。

优选地，第二URL是根据第一URL和第一验证码生成的，第一验证码是根据系统选择的密钥和/或客户端的客户端信息生成的。

优选地，在向网络服务器发送请求报文之前，还包括：验证客户端向第二URL发送的请求报文中携带的第二验证码与第一验证码是否一致；如果判断结果为是，则执行向网络服务器发送删除第二验证码后的请求报文的操作。

优选地，在向网络服务器发送请求报文之前，还包括：验证客户端向第二URL发送的请求报文中携带的第二验证码是否正确；如果判断结果为是，则执行向网络服务器发送删除第二验证码后的请求报文的操作。

优选地，系统选择的密钥是随机生成的。

优选地，客户端信息包括以下至少之一：客户端的URI、客户端的互联网协议IP地址、客户端的端口地址、客户端的浏览器类型。

优选地，在接收到客户端向第二URL发送的请求报文之前，还包括：采用HTTP重定向应答自动触发客户端向第二URL发送请求报文。

优选地，在向客户端发送携带有第二URL的应答报文之前，还包括：在应答报文中携带执行脚本，其中执行脚本用于自动触发客户端向第二URL发送请求报文。