[发明专利]一种CC攻击防御方法及其防御系统

说明书

本发明公布了一种防御CC攻击的方法及其系统，针对发送到Web服务器的用户请求，通过拦截过滤过程和不同级别的防护过程，实现对Web服务器的有效防护。拦截过程设置黑名单和白名单，通过网络层拦截和应用层拦截，对Web目录中的请求进行拦截过滤；不同级别的防护包括基本防护、中级防护和/或高级防护模块；中级防护包括基本防护和基于用户行为的识别；高级防护单元包括基本防护和真实用户识别。本发明提供的技术方案能够有效抵御Web服务器CC攻击，基本防护基于单个IP访问频率的CC攻击防护，中级、高级防护基于用户行为实现CC攻击防护，能够有效抵御慢CC攻击或快CC攻击。

技术领域

本发明涉及网站安全技术，尤其涉及一种防御CC攻击(Challenge Collapsar)的方法及其系统。

背景技术

CC攻击(Challenge Collapsar)是DDoS(DDoS，Distributed Denial of Service，分布式拒绝服务)的一种，也是一种常见的网站攻击方法，这种攻击见不到虚假IP，见不到特别大的异常流量，而且，这种技术实现门槛相对较低，只要利用合适的工具和一些IP代理，一个初、中级水平的电脑用户就能够实现该种攻击。因此，具有很大的威胁。

CC攻击的原理是攻击者控制某些主机不停地发送数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要用来攻击页面，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100％，永远都有处理不完的连接直至造成网络拥塞，正常的访问被终止。

根据CC攻击的特点，CC攻击的方法可分为快CC攻击与慢CC攻击，快CC攻击是单点或多点长时间频繁向服务器发送HTTP请求；慢CC攻击是单点或多点长时间占用多个HTTP请求过程。CC攻击还可分为：直接攻击、代理攻击、僵尸网络攻击三种。直接攻击主要针对有重要缺陷的Web应用程序，一般来说是程序写的有问题的时候才会出现这种情况，比较少见。僵尸网络攻击有点类似于DDOS攻击，从Web应用程序层面上已经无法防御，所以代理攻击是CC攻击者一般会操作一批代理服务器，比方说100个代理，然后每个代理同时发出10个请求，这样Web服务器同时收到1000个并发请求的，并且在发出请求后，立刻断掉代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发送再次请求，这时Web服务器将响应这些请求的进程进行队列，数据库服务器同样如此，这样一来，正常请求将会被排在后面被处理，造成正常请求页面打开极其缓慢或者白屏，无法有效防护服务器的网络安全。

发明内容

为了克服上述现有技术的不足，本发明提供一种CC攻击防御方法及其系统，以准确识别CC攻击，实现对Web服务器的有效防护。CC攻击防御系统主要包括拦截/放行模块和防护模块；其中，拦截/放行模块包括网络层拦截和应用层拦截；防护模块包括基本防护模块、中级防护模块和高级防护模块，CC攻击防御方法主要针对Web服务器，通过上述模块步骤对Web目录中的请求进行拦截过滤，可选不同级别的防护过程，最终实现对Web服务器的有效防护。

为了更清楚地对发明技术方案进行描述，对涉及到的变量符号、阈值符号进行定义和约定，如表1：

表1本发明涉及的变量符号、阈值符号及其含义描述

上述符号表中变量，可以由用户在取值范围内自行设置。

本发明提供的技术方案是：

一种CC攻击防御方法，针对发送到Web服务器的用户请求，通过拦截过滤过程和不同级别的防护过程，实现对Web服务器的有效防护，包括如下步骤：

A.拦截过程：设置黑名单和白名单，对Web目录中的请求进行拦截过滤，依次通过网络层拦截和应用层拦截；