[发明专利]CDN流量放大攻击的防御方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种CDN流量放大攻击的防御方法及装置。

背景技术

CDN(内容分发网络，Content Delivery Network)，通过在网络各处的加速节点服务器来为网站抵挡恶意流量，把正常流量进行转发。CDN一般有三个作用：跨运营商加速、缓存加速以及恶意流量过滤。

目前存在一种攻击，不是对保护的网站进行攻击，而是对提供网站服务的服务节点进行攻击。CDN流量放大攻击就属于这样一种对CDN节点进行攻击的方式，它的原理是，在请求消息中通过伪装目的地址而使请求消息在CDN节点发生死循环。例如，CDN节点接收到一条post请求消息后，会解析获知目的地址，例如要请求访问域名www.baidu.com，正常情况下CDN节点会将消息发送给www.baidu.com对应的目的地址，此时，如果通过攻击手段将post请求消息中的目的地址进行修改，修改为CDN节点本身的地址，那么，在此情况下，CDN节点会将消息一直发给自身。可见，CDN流量放大攻击利用一个请求消息就可以在CDN节点造成死循环，将流量放大了很多倍。

现有对CDN流量放大攻击的防御方法是，通过http消息自带的字段（X-Forwarded-For字段）可以获知请求消息经过的路径，现有的防御方法就是通过检测路径中的某个IP是否循环（重复），如果循环，则确定发生了CDN流量放大攻击，继而对数据包进行丢弃等处理。这种防御方法中，在每次请求到来时，都需要进行http解析，并通过复杂的计算才能获知某个IP循环次数，消耗的网络资源多，代价高。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的CDN流量放大攻击的防御方法及装置。

依据本发明的一个方面，提供一种CDN流量放大攻击的防御方法，包括：接收连接请求消息，计算连接请求的最优路径跳数；通过至少一个CDN节点对所述连接请求消息进行转发；在所述连接请求消息每次经过一个CDN节点时，对所述连接请求消息头中的跳数累计字段计数；判断所述跳数累计字段的值是否超过所述最优路径跳数，如果是，确定存在CDN流量放大攻击，对所述连接请求消息进行相应处理，如果否，则对所述连接请求消息继续转发。

优选的，所述跳数累计字段是在http协议报文头部增加的字段。

优选的，所述在连接请求消息每次经过一个CDN节点时、对连接请求消息头中的跳数累计字段计数包括：

优选的，在连接请求消息每次经过一个CDN节点时，将连接请求消息头中的跳数累计字段的数值加1。

优选的，所述计算连接请求的最优路径跳数包括：计算连接请求到源站的最短路径所经过的CDN节点次数。

优选的，所述对连接请求消息进行相应处理包括：丢弃所述连接请求消息。

优选的，所述连接请求包括http连接的get请求和post请求。

依据本发明的另一个方面，提供一种CDN流量放大攻击的防御装置，包括：消息接收单元，用于接收连接请求消息；最优路径计算单元，用于计算连接请求的最优路径跳数；消息处理单元，用于对所述连接请求消息进行转发或丢弃处理，其中，所述连接请求消息经过至少一个CDN节点转发；跳数累计单元，用于在所述连接请求消息每次经过一个CDN节点时，对所述连接请求消息头中的跳数累计字段计数；判断单元，用于判断所述跳数累计字段的值是否超过所述最优路径跳数，如果是，确定存在CDN流量放大攻击，通过所述消息处理单元对所述连接请求消息进行相应处理，如果否，则通过所述消息处理单元对所述连接请求消息继续转发。

优选的，所述跳数累计字段是在http协议报文头部增加的字段。

优选的，所述跳数累计单元具体用于在连接请求消息每次经过一个CDN节点时，将连接请求消息头中的跳数累计字段的数值加1。

优选的，所述最优路径计算单元具体用于计算连接请求到源站的最短路径所经过的CDN节点次数。

优选的，当所述判断单元确定存在CDN流量放大攻击，通过所述消息处理单元丢弃所述连接请求消息。

优选的，所述连接请求包括http连接的get请求和post请求。