技術領域

本發明涉及網絡安全技術，特別涉及防范挑戰黑洞(CC：ChallengeCollapsar)攻擊的方法和設備。

背景技術

隨著計算機網絡尤其是因特網(Internet)在全球的普及和深入，計算機網絡技術在各行各業中得到推廣和普及。然而，網絡應用的快速發展以及網絡規模的急劇膨脹，使得網絡中的安全漏洞無處不在，網絡攻擊正是利用這些存在的安全漏洞對目標服務器進行攻擊。近年來流行的CC攻擊就是網絡攻擊的一種。

所謂CC攻擊是一種基于頁面的分布式拒絕服務(DDOS：DistributedDenial?of?Service)攻擊，其通過不斷發送耗性能的請求報文來消耗目標服務器的性能資源，CC攻擊的原理如圖1所示，攻擊者利用網絡中的多臺代理服務器多次向目標服務器發送耗性能的請求報文，導致目標服務器不斷執行大量計算，很快達到自身的處理能力極限，從而拒絕所有用戶的服務請求。

從單個CC攻擊來看，CC攻擊者對目標服務器的攻擊與合法用戶發送請求報文訪問目標服務器完全一樣。如此，目標服務器并不能正確區分接收的請求報文哪些是CC攻擊者發送的請求報文，哪些是合法用戶發送的請求報文。針對這種情況，現有的防范CC攻擊的方法是在被保護的目標服務器之前設置安全設備，由安全設備控制單位時間內訪問目標服務器的請求報文的個數，即在單位時間內只允許預設值N個請求報文來訪問目標服務器。但是，這種現有的防范CC攻擊的方法中，如果N比較大，就可能會導致過多的CC攻擊者發送的請求報文混入，如此，不能對CC攻擊進行有效的防范；而如果N比較小，就會導致合法用戶的訪問受到限制，達到了攻擊者讓服務器拒絕服務的目的。

可以看出，一種有效防范CC攻擊的方法是當前亟待解決的技術問題。

發明內容

本發明提供了一種防范CC攻擊的方法和設備，以便有效防范CC攻擊，實現對目標服務器的有效保護。

一種防范CC攻擊的方法，在客戶端和被保護的目標服務器之間設置安全設備；所述安全設備執行以下步驟：

A，接收到來自客戶端發送的請求報文時，確定該接收的請求報文所攜帶的動作標識1；

B，從預先配置的動作標識和目標服務器單位時間內執行動作標識對應的動作的閾值之間的對應關系中確定出動作標識1對應的閾值，根據確定的閾值判斷當前單位時間內是否要將所述請求報文發送給目標服務器，如果是，在當前單位時間內將所述請求報文發送給所述目標服務器；否則，在當前單位時間內丟棄所述請求報文。

一種防范CC攻擊的設備，該設備設置在被保護的目標服務器之前，包括：動作標識確定單元、判斷單元、發送單元和丟棄單元；

所述動作標識確定單元用于接收來自客戶端發送的請求報文，確定該接收的請求報文所攜帶的動作標識1；

所述判斷單元用于從預先配置的動作標識和目標服務器單位時間內執行動作標識對應的動作的閾值之間的對應關系中確定出動作標識1對應的閾值，根據確定的閾值判斷當前單位時間內是否要將所述請求報文發送給目標服務器；

所述發送單元用于在所述判斷單元的判斷結果為是時，在當前單位時間內發送所述請求報文給所述目標服務器；

所述丟棄單元用于在所述判斷單元的判斷結果為否時，在當前單位時間內丟棄所述請求報文。

由以上技術方案可以看出，本發明提供的防范CC攻擊的方法和設備中，在客戶端和被保護的目標服務器之間設置安全設備；當安全設備接收到來自客戶端發送的請求報文時，確定該接收的請求報文所攜帶的動作標識1；從預先配置的動作標識和目標服務器單位時間內執行動作標識對應的動作的閾值之間的對應關系中確定出動作標識1對應的閾值，根據確定的閾值判斷當前單位時間內是否要將所述請求報文發送給目標服務器，如果是，在當前單位時間內將所述請求報文發送給所述目標服務器；否則，在當前單位時間內丟棄所述請求報文。這種方式有針對性的對攜帶各個動作標識的各個請求報文進行限制，相比于現有技術，能夠有效防范CC攻擊，實現對目標服務器的有效保護。

附圖說明

圖1為現有技術中CC攻擊的示意圖；

圖2是本發明實施例中防范CC攻擊的基本流程圖；

圖3a是本發明實施例中防范CC攻擊的詳細流程圖；

圖3b是本發明實施例中配置動作標識和目標服務器執行該動作標識對應的動作的閾值之間對應關系的流程圖；

圖4是本發明實施例中防范CC攻擊的設備結構圖。

具體實施方式

為了使本發明的目的、技術方案和優點更加清楚，下面結合附圖和具體實施例對本發明進行詳細描述。