[发明专利]一种HTTP Get Flood攻击的防护方法

说明书

技术领域

本发明涉及计算机网络技术学科中网络安全领域，特别涉及一种HTTP Get Flood攻击的防护方法。 

背景技术

近年来中国网络规模呈现膨胀式增长，随着网络活动，特别是网络电商的活跃，网络交互发展迅速。而与此同时，针对网络的攻击形式也在巨大的利益推动下开始向新的方向改变。目前，CC（Challenge Collapsar）攻击已经成为一种被广泛使用的典型攻击方式，由于其实施的技术难度较低并且攻击效果显著，CC攻击已经发展成为网络安全领域中的一种常见攻击方式。CC攻击的前身为Fatboy攻击，属于DDoS（Distribution Denial of Service分布式拒绝服务,简称DDoS）攻击中的一种。CC攻击以网站页面为主要攻击目标，能够藏匿真实的攻击源IP，借助代理服务器生成指向目标服务器的合法请求，在流量上不会产生异常的大流量数据，但却能造成服务器无法正常连接。CC攻击的攻击原理来源于著名的木桶理论，即一个木桶所能容纳水的最大容量不是由木桶最高的地方决定的，而是由木桶最低的地方决定的。CC攻击就是借鉴了木桶理论，在对服务器发起攻击时，攻击者常常向服务器请求需要占用其较多资源开销的应用，例如访问需要占用服务器大量CPU资源进行运算的页面或者请求需要频繁访问数据库的应用。基于以上因素，CC攻击的目标通常为网站服务器中需要动态生成的页面和需要访问数据库资源的页面，例如asp、jsp和php等类型文件的页面资源。攻击者主要通过控制大量僵尸主机或代理服务器，由僵尸主机或代理服务器自动向服务器发送页面访问请求。当使用具有一定规模的僵尸僵尸主机或代理服务器进行CC攻击时，将会对服务器页面造成巨大的访问流量，可导致服务器瘫痪，同时整个攻击过程模拟了正常客户端访问互联网资源所发送的合法数据包，具有较强的隐蔽性。CC攻击主要有2种攻击方式，即HTTP Get Flood（超文本传输协议泛洪）攻击和链接耗尽型攻击。

目前，常见的CC攻击防护依靠防火墙，通过对访问服务器的单个IP连接数进行控制来限制CC攻击，在发起CC攻击的IP数量较多的情况下依靠防火墙限制或阻止CC攻击的效果较差。 

发明内容

针对攻击源IP数量较多时现有技术对CC攻击防护效果较差的问题，本发明提供了一种HTTP Get Flood攻击的防护方法，能够针对CC攻击中的HTTP Get Flood攻击提供效果更优的防护。

本发明的技术方案为：

一种HTTP Get Flood攻击的防护方法，其特征在于包括以下步骤：

（a）抓取网络数据包；

（b）对所述网络数据包进行HTTP协议解码，得到请求访问服务器的请求IP；HTTP即Hyper Text Transfer Protocol超文本传输协议，是目前互联网上应用最为广泛的协议之一；

（c）检测所述请求IP是否含有Proxy服务的特征字符；Proxy服务即代理服务，包含Proxy服务特征字符的请求多为代理服务器发送的恶意请求，其请求IP多为HTTP Get Flood攻击的攻击源IP。

（d）若步骤（c）中所述请求IP含有Proxy服务的特征字符，执行步骤（d1）~（d3）；

    （d1）向步骤（d）中所述请求IP发送响应请求，并要求步骤（d）中所述请求IP回馈；

    （d2）若步骤（d）中所述请求IP未回馈符合要求的回馈响应，则判定步骤（d）中所述请求IP为HTTP Get Flood攻击的攻击源IP，阻断所述攻击源IP，返回步骤（a）；

    （d3）若步骤（d）中所述请求IP回馈符合要求的回馈响应，返回步骤（a）；

    （e）若步骤（c）中所述请求IP不含Proxy服务的特征字符，计算所述请求IP为HTTP Get Flood攻击的攻击源IP的概率，执行步骤（e1）~（e3）；

    （e1）若步骤（e）中所述概率小于阈值，返回步骤（a）；

    （e2）若步骤（e）中所述概率大于等于阈值，向步骤（e）中所述请求IP发送响应请求，并要求步骤（e）中所述请求IP回馈；

    （e3）若步骤（e2）中所述请求IP回馈符合要求的回馈响应，返回步骤（a）；

    （e4）若步骤（e2）中所述请求IP未回馈符合要求的回馈响应，则判定步骤（e2）中所述请求IP为HTTP Get Flood攻击的攻击源IP，阻断所述攻击源IP，返回步骤（a）。