技術領域

本發明涉及網絡安全技術領域，具體涉及一種CDN流量放大攻擊的防御方法及裝置。

背景技術

CDN(內容分發網絡，Content?Delivery?Network)，通過在網絡各處的加速節點服務器來為網站抵擋惡意流量，把正常流量進行轉發。CDN一般有三個作用：跨運營商加速、緩存加速以及惡意流量過濾。

目前存在一種攻擊，不是對保護的網站進行攻擊，而是對提供網站服務的服務節點進行攻擊。CDN流量放大攻擊就屬于這樣一種對CDN節點進行攻擊的方式，它的原理是，在請求消息中通過偽裝目的地址而使請求消息在CDN節點發生死循環。例如，CDN節點接收到一條post請求消息后，會解析獲知目的地址，例如要請求訪問域名www.baidu.com，正常情況下CDN節點會將消息發送給www.baidu.com對應的目的地址，此時，如果通過攻擊手段將post請求消息中的目的地址進行修改，修改為CDN節點本身的地址，那么，在此情況下，CDN節點會將消息一直發給自身。可見，CDN流量放大攻擊利用一個請求消息就可以在CDN節點造成死循環，將流量放大了很多倍。

現有對CDN流量放大攻擊的防御方法是，通過http消息自帶的字段（X-Forwarded-For字段）可以獲知請求消息經過的路徑，現有的防御方法就是通過檢測路徑中的某個IP是否循環（重復），如果循環，則確定發生了CDN流量放大攻擊，繼而對數據包進行丟棄等處理。這種防御方法中，在每次請求到來時，都需要進行http解析，并通過復雜的計算才能獲知某個IP循環次數，消耗的網絡資源多，代價高。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的CDN流量放大攻擊的防御方法及裝置。

依據本發明的一個方面，提供一種CDN流量放大攻擊的防御方法，包括：接收連接請求消息，計算連接請求的最優路徑跳數；通過至少一個CDN節點對所述連接請求消息進行轉發；在所述連接請求消息每次經過一個CDN節點時，對所述連接請求消息頭中的跳數累計字段計數；判斷所述跳數累計字段的值是否超過所述最優路徑跳數，如果是，確定存在CDN流量放大攻擊，對所述連接請求消息進行相應處理，如果否，則對所述連接請求消息繼續轉發。

優選的，所述跳數累計字段是在http協議報文頭部增加的字段。

優選的，所述在連接請求消息每次經過一個CDN節點時、對連接請求消息頭中的跳數累計字段計數包括：

優選的，在連接請求消息每次經過一個CDN節點時，將連接請求消息頭中的跳數累計字段的數值加1。

優選的，所述計算連接請求的最優路徑跳數包括：計算連接請求到源站的最短路徑所經過的CDN節點次數。

優選的，所述對連接請求消息進行相應處理包括：丟棄所述連接請求消息。

優選的，所述連接請求包括http連接的get請求和post請求。

依據本發明的另一個方面，提供一種CDN流量放大攻擊的防御裝置，包括：消息接收單元，用于接收連接請求消息；最優路徑計算單元，用于計算連接請求的最優路徑跳數；消息處理單元，用于對所述連接請求消息進行轉發或丟棄處理，其中，所述連接請求消息經過至少一個CDN節點轉發；跳數累計單元，用于在所述連接請求消息每次經過一個CDN節點時，對所述連接請求消息頭中的跳數累計字段計數；判斷單元，用于判斷所述跳數累計字段的值是否超過所述最優路徑跳數，如果是，確定存在CDN流量放大攻擊，通過所述消息處理單元對所述連接請求消息進行相應處理，如果否，則通過所述消息處理單元對所述連接請求消息繼續轉發。

優選的，所述跳數累計字段是在http協議報文頭部增加的字段。

優選的，所述跳數累計單元具體用于在連接請求消息每次經過一個CDN節點時，將連接請求消息頭中的跳數累計字段的數值加1。

優選的，所述最優路徑計算單元具體用于計算連接請求到源站的最短路徑所經過的CDN節點次數。

優選的，當所述判斷單元確定存在CDN流量放大攻擊，通過所述消息處理單元丟棄所述連接請求消息。

優選的，所述連接請求包括http連接的get請求和post請求。