技術領域

本發明涉及網絡安全領域，具體涉及一種基于用戶認證的CC防護方法。

背景技術

當今社會由于網絡的發展，信息的傳播方式也千變萬化，層出不窮，信息的傳播速度更是有了長足的進步；在這樣的網絡環境下，針對web服務器的攻擊方式和手段也越來越多。

CC(ChallengeCollapsar，挑戰黑洞)攻擊是一種針對應用層web服務的攻擊方法，其原理與DDos(分布式拒絕服務)在本質上相同，都是以發送大量請求耗盡服務器資源來達到拒絕服務的效果。CC攻擊的目標一般選擇那些需要進行大量數據操作，消耗系統資源較大的頁面。攻擊者通過頻繁訪問這些頁面，使服務器不能及時處理導致請求積累，資源無法釋放，進而造成數據庫連接請求過多，數據庫阻塞，最后造成網頁不能正常訪問。

通過對現有CC防護策略的研究發現，目前所采用的CC防護策略大部分都是以控制訪問頻率的方式實現，檢測單個IP在一定時間內的訪問頻率，若超過設定的頻率閾值，則將訪問認定為攻擊行為，拒絕該IP之后的訪問請求。這種策略可以在一定程度上抵御CC攻擊，然而統計每一個IP的訪問頻率無疑會給服務器帶來相當的資源消耗，甚至有可能影響到正常用戶的請求，降低了用戶體驗，也給頁面的運維帶來了負擔。

發明內容

本發明克服了現有技術的不足，提供一種基于用戶認證的CC防護方法，旨在提升網站的安全性，增強服務器抵御CC攻擊的能力。

考慮到現有技術的上述問題，根據本發明公開的一個方面，本發明采用以下技術方案：

一種基于用戶認證的CC防護方法，包括：

步驟1：設置用于對web服務器的請求進行過濾的CC防火墻；

步驟2：設定QPS閾值范圍，當服務器的QPS超過設定閾值時，認為發生了CC攻擊，啟用防護策略；

步驟3：QPS超過閾值之后，防火墻查看IP黑白名單，放行白名單內IP發出的請求，攔截黑名單內IP的請求，其他請求重定向至用戶認證頁面，用戶需要在規定時間內完成驗證碼認證；

步驟4：若用戶在規定時間內完成了認證，放行此次請求，服務器響應請求并將此用戶IP加入白名單列表，在白名單的存活時間內處于白名單內的用戶訪問無需再進行用戶認證；

步驟5：若用戶未能在規定的時間內完成認證或認證失敗，拒絕此次請求并對該用戶IP進行一次計數，連續計數超過設定值的IP加入黑名單列表，在黑名單的存活時間內，處于黑名單內IP發出的所有請求都會被拒絕；

步驟6：一定時間周期內清空黑白名單。

為了更好地實現本發明，進一步的技術方案是：

根據本發明的一個實施方案，所述步驟1，在服務器前端搭建防火墻，防火墻通過反向代理或透明代理設置，使用戶的訪問請求通過防火墻再到服務器，防火墻記錄當前服務器的QPS狀態作為判斷是否發生攻擊行為的依據。

根據本發明的另一個實施方案，所述步驟6，當防火墻QPS低于告警線范圍時，關閉CC防護策略，清空黑白名單列表。

與現有技術相比，本發明的有益效果之一是：

本發明的一種基于用戶認證的CC防護方法，對于超過負載時黑白名單外的所有請求會重定向請求至認證頁面，可視為一個“負載均衡策略”，在很大程度上幫助服務器減輕了負擔；認證服務器不僅承擔分流作用，同時起到驗證請求是否為正常用戶的作用；認證方式采取“一次認證，短期有效”，避免進行重復認證造成的資源損耗，同時也可避免造成不良的用戶體驗；黑白名單定時清空，可避免IP變動造成的誤封，同時避免名單條目過多造成過濾緩慢；本發明解決了現有CC防護策略的不足，提升了網站的安全性，增強了服務器抵御CC攻擊的能力。

附圖說明

為了更清楚的說明本申請文件實施例或現有技術中的技術方案，下面將對實施例或現有技術的描述中所需要使用的附圖作簡單的介紹，顯而易見地，下面描述中的附圖僅是對本申請文件中一些實施例的參考，對于本領域技術人員來講，在不付出創造性勞動的情況下，還可以根據這些附圖得到其它的附圖。

圖1為根據本發明一個實施例的流程示意圖。

具體實施方式

下面結合實施例對本發明作進一步地詳細說明，但本發明的實施方式不限于此。

一種基于用戶認證的CC防護方法，包括：

步驟1具體包括：在服務器前端搭建防火墻，防火墻通過反向代理或透明代理設置使用戶的訪問請求通過防火墻再到微博服務器，防火墻記錄當前服務器的QPS狀態作為判斷是否發生攻擊行為的依據；