本發(fā)明公開了一種CC攻擊防護(hù)管理的方法，S1、黑白名單判定：首先服務(wù)器接收到客戶端發(fā)起的TCP連接請求后，根據(jù)該TCP連接請求獲取該客戶端的IP地址，查找黑白名單列表，看當(dāng)前客戶端的IP地址是否在黑白名單列表中，本發(fā)明涉及CC攻擊防護(hù)技術(shù)領(lǐng)域。該CC攻擊防護(hù)管理的方法，通過設(shè)置CC攻擊判定、新建連接速率檢測、并行連接數(shù)檢測、慢速連接速率檢測和異常會話檢測，可以有效區(qū)分正常的客戶端發(fā)起的服務(wù)請求與CC攻擊客戶端發(fā)起的分布式拒絕服務(wù)攻擊，并且可有效的將惡意攻擊客戶端的IP地址加入黑名單，以拒絕惡意攻擊的客戶端后續(xù)的所有連接請求，同時對正常的客戶端進(jìn)行區(qū)分后可進(jìn)行正常的連接放行，防護(hù)效果較好。

技術(shù)領(lǐng)域

本發(fā)明涉及CC攻擊防護(hù)技術(shù)領(lǐng)域，具體為一種CC攻擊防護(hù)管理的方法。

背景技術(shù)

CC攻擊是一種以消耗服務(wù)器連接資源為目的的分布式拒絕服務(wù)攻擊，這種攻擊不使用虛假IP，攻擊者通過攻擊工具或者僵尸網(wǎng)絡(luò)發(fā)起大量的連接請求來連接服務(wù)器，以耗盡服務(wù)器的連接資源，從而導(dǎo)致正常的連接請求建立失敗。由于這些請求都是有效的，符合網(wǎng)絡(luò)通信的協(xié)議，因此傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備很難對其進(jìn)行識別和過濾，從而使得這些請求占用服務(wù)器的大量資源，導(dǎo)致服務(wù)器不能為正常的客戶端發(fā)起的服務(wù)請求進(jìn)行響應(yīng)，達(dá)到攻擊的目的。CC攻擊的攻擊手段一般有以下兩種情況：一種是在較短的時間內(nèi)以較高的速率與攻擊目標(biāo)建立網(wǎng)絡(luò)連接以使攻擊目標(biāo)打開的連接數(shù)超過其資源上限。另一種是一定時間內(nèi)與攻擊目標(biāo)建立的連接數(shù)正常，即在一段連續(xù)時間內(nèi)均以固定或不定的比較低的連接速率與攻擊目標(biāo)建立網(wǎng)絡(luò)連接，但不釋放已建立成功的連接，從而使攻擊目標(biāo)打開的連接數(shù)超過攻擊目標(biāo)的資源上限。

現(xiàn)有的CC攻擊防護(hù)方法一般是對客戶端發(fā)起的連接請求速率和服務(wù)器應(yīng)答客戶端發(fā)起的連接請求個數(shù)進(jìn)行限制，從而限制服務(wù)器連接的客戶端數(shù)量，使得CC攻擊不能通過大量的傀儡機(jī)占用服務(wù)器的大量資源，然而當(dāng)服務(wù)器應(yīng)答客戶端發(fā)起的連接個數(shù)達(dá)到限制個數(shù)時，這種防護(hù)方法也會導(dǎo)致服務(wù)器拒絕正常的客戶端發(fā)起的服務(wù)請求，防護(hù)效果不夠好。

發(fā)明內(nèi)容

(一)解決的技術(shù)問題

針對現(xiàn)有技術(shù)的不足，本發(fā)明提供了一種CC攻擊防護(hù)管理的方法，解決了現(xiàn)有的CC攻擊防護(hù)方法會導(dǎo)致服務(wù)器應(yīng)答客戶端發(fā)起的連接個數(shù)達(dá)到限制個數(shù)時，拒絕正常的客戶端發(fā)起的服務(wù)請求，防護(hù)效果不夠好的問題。

(二)技術(shù)方案

為實(shí)現(xiàn)以上目的，本發(fā)明通過以下技術(shù)方案予以實(shí)現(xiàn)：一種CC攻擊防護(hù)管理的方法，具體包括以下步驟：

S1、黑白名單判定：首先服務(wù)器接收到客戶端發(fā)起的TCP連接請求后，根據(jù)該TCP連接請求獲取該客戶端的IP地址，查找黑白名單列表，看當(dāng)前客戶端的IP地址是否在黑白名單列表中，查找結(jié)果為當(dāng)前客戶端的IP地址既不在白名單中也不在黑名單中，繼續(xù)執(zhí)行以下步驟；

S2、CC攻擊判定：此時根據(jù)客戶端IP地址所在的地理位置確定客戶端的TCP連接請求是否為CC攻擊，IP地址為非預(yù)設(shè)地區(qū)的IP地址，確定客戶端的TCP連接請求為CC攻擊，拒絕客戶端訪問請求；

S3、新建連接速率檢測：此時對客戶端IP地址新建連接速率進(jìn)行檢查，客戶端IP地址新建連接速率檢查后，客戶端IP地址在預(yù)設(shè)檢查周期內(nèi)發(fā)起的TCP新建連接數(shù)大于預(yù)設(shè)閾值，將該客戶端IP地址判定為攻擊源；

S4、并行連接數(shù)檢測：此時對客戶端IP地址并行連接數(shù)進(jìn)行檢查，客戶端IP地址并行連接數(shù)檢查后，客戶端IP地址的TCP并行連接數(shù)大于預(yù)設(shè)閾值，將該客戶端IP地址判定為攻擊源；

S5、慢速連接速率檢測：對客戶端IP地址進(jìn)行慢速連接速率檢查，慢速連接速率檢查后，統(tǒng)計同一客戶端IP地址對同一目的IP地址的連接次數(shù)，在各統(tǒng)計時間間隔內(nèi)，連續(xù)多次連接數(shù)相同并超過預(yù)設(shè)閾值，判定為TCP慢速連接攻擊，將該源IP地址判定為攻擊源；