本發(fā)明公開(kāi)了一種防止攻擊的方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)。該方法包括：接收客戶端發(fā)送的HTTP請(qǐng)求；根據(jù)所述HTTP請(qǐng)求確定所述HTTP請(qǐng)求頭部的長(zhǎng)度；獲取所述客戶端的窗口尺寸；若所述HTTP請(qǐng)求頭部的長(zhǎng)度大于或者等于長(zhǎng)度閾值，且所述客戶端的窗口尺寸小于窗口尺寸閾值，則拒絕所述HTTP請(qǐng)求，通過(guò)本發(fā)明的技術(shù)方案，能夠防止“拒絕服務(wù)攻擊”，使得正常用戶能夠訪問(wèn)服務(wù)器。

技術(shù)領(lǐng)域

本發(fā)明實(shí)施例涉及計(jì)算機(jī)技術(shù)領(lǐng)域，尤其涉及一種防止攻擊方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

Web服務(wù)在互聯(lián)網(wǎng)上使用最廣泛的服務(wù),而Web服務(wù)的基礎(chǔ)超文本傳輸協(xié)議(HTTP)也一直不斷的在發(fā)展，隨著互聯(lián)網(wǎng)的迅速發(fā)展，當(dāng)前協(xié)議的主要版本HTTP/1.1和HTTPS協(xié)議串行獲取資源的設(shè)計(jì)，已經(jīng)不能滿足用戶和開(kāi)發(fā)者對(duì)響應(yīng)速度和協(xié)議性能需求。2015年，HTTP新版本HTTP2協(xié)議已經(jīng)被RFC標(biāo)準(zhǔn)化，并且逐漸被各大網(wǎng)站和瀏覽器采用。通過(guò)引入很多全新的特性，HTTP2協(xié)議被主要用來(lái)提高Web通信的性能。HTTP2協(xié)議引入二進(jìn)制分幀、多路復(fù)用、頭部壓縮、數(shù)據(jù)流優(yōu)先級(jí)、應(yīng)用層流量控制、服務(wù)器推送等全新特性，不僅解決了HTTP/1.1中頭部阻塞等影響性能的問(wèn)題，而且部分新特性的引入能進(jìn)一步提升Web通信的性能。然而，HTTP2協(xié)議的新特性往往伴隨著新的潛在安全威脅。由于當(dāng)前的HTTP2協(xié)議已經(jīng)被大多數(shù)主流瀏覽器和數(shù)以萬(wàn)計(jì)的網(wǎng)站所采用，所以新的HTTP2協(xié)議可能會(huì)對(duì)終端用戶和網(wǎng)站服務(wù)器造成破壞性的影響。

拒絕服務(wù)(Denial of Service，DoS)攻擊可以拒絕合法用戶訪問(wèn)網(wǎng)站資源，是當(dāng)前互聯(lián)網(wǎng)中最具有破壞性的攻擊手段之一，主要的攻擊目標(biāo)瞄準(zhǔn)為比較大的站點(diǎn)，例如商業(yè)公司、搜索引擎、政府部門網(wǎng)站等。DoS攻擊最初基本上針對(duì)的都是網(wǎng)絡(luò)層的拒絕服務(wù)攻擊，利用TCP、UDP和ICMP等協(xié)議來(lái)耗盡目標(biāo)站點(diǎn)的網(wǎng)絡(luò)資源(包括帶寬、套接字等)，從而達(dá)到拒絕其站點(diǎn)服務(wù)的目的。然而，針對(duì)網(wǎng)絡(luò)層的DoS攻擊已經(jīng)研究多年，不論在工業(yè)界和學(xué)術(shù)界都有相對(duì)成熟的防御方案。因此，攻擊者為了規(guī)避這些防御方案，開(kāi)始設(shè)計(jì)并使用更為復(fù)雜的應(yīng)用層拒絕服務(wù)攻擊(Application-Level DoS)，因?yàn)檫@種攻擊的攻擊方式更加隱蔽、攻擊成本也相對(duì)較低。具體來(lái)說(shuō)，應(yīng)用層DoS攻擊通過(guò)應(yīng)用層的請(qǐng)求連接耗盡服務(wù)器的所有資源(不僅包括網(wǎng)絡(luò)資源，而且包括CPU、內(nèi)存、I/O帶寬等機(jī)器資源)，從而達(dá)到干擾或者完全拒絕正常用戶訪問(wèn)目標(biāo)服務(wù)器的目的。為了使得正常用戶能夠訪問(wèn)目標(biāo)服務(wù)器，如何防止“拒絕服務(wù)攻擊”成為當(dāng)前急需解決的問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種防止攻擊方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)，能夠防止“拒絕服務(wù)攻擊”，使得正常用戶能夠訪問(wèn)服務(wù)器。

第一方面，本發(fā)明實(shí)施例提供了一種防止攻擊的方法，包括：

接收客戶端發(fā)送的HTTP請(qǐng)求；

根據(jù)所述HTTP請(qǐng)求確定所述HTTP請(qǐng)求頭部的長(zhǎng)度；

獲取所述客戶端的窗口尺寸；

若所述HTTP請(qǐng)求頭部的長(zhǎng)度大于或者等于長(zhǎng)度閾值，且所述客戶端的窗口尺寸小于窗口尺寸閾值，則拒絕所述HTTP請(qǐng)求。

進(jìn)一步的，還包括：

若所述HTTP請(qǐng)求頭部的長(zhǎng)度小于長(zhǎng)度閾值，且所述客戶端的窗口尺寸大于或者等于窗口尺寸閾值，則根據(jù)所述HTTP請(qǐng)求確定響應(yīng)結(jié)果；

將所述響應(yīng)結(jié)果發(fā)送至所述客戶端。

進(jìn)一步的，若所述HTTP請(qǐng)求頭部的長(zhǎng)度大于或者等于長(zhǎng)度閾值，且所述客戶端的窗口尺寸小于窗口尺寸閾值，則拒絕所述HTTP請(qǐng)求，包括：

根據(jù)所述HTTP請(qǐng)求確定所述HTTP請(qǐng)求頭部結(jié)構(gòu)參數(shù)；

若所述HTTP請(qǐng)求頭部結(jié)構(gòu)參數(shù)包括起始幀和至少兩個(gè)連接幀，所述HTTP請(qǐng)求頭部的長(zhǎng)度大于或者等于長(zhǎng)度閾值，且所述客戶端的窗口尺寸小于窗口尺寸閾值，則拒絕所述HTTP請(qǐng)求。