專利名稱:針對(duì)web服務(wù)器進(jìn)行DDOS攻擊的防御方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及web服務(wù)器�,具體的說涉及為針對(duì)web服務(wù)器的DDOS攻擊提供防御的方法和設(shè)備。
背景技術(shù):
用戶網(wǎng)絡(luò)瀏覽器獲取互聯(lián)網(wǎng)(Internet)站點(diǎn)網(wǎng)絡(luò)信息時(shí)�,在一般情況下,必須直接連接其Web服務(wù)器��,對(duì)網(wǎng)頁發(fā)送讀取請(qǐng)求��。Web服務(wù)器對(duì)用戶進(jìn)行響應(yīng)���,將信息傳送回來。很多情況下�����,用戶也可以通過代理服務(wù)器連接web服務(wù)器�����。
代理服務(wù)器是介于瀏覽器和Web服務(wù)器之間的一臺(tái)服務(wù)器�。使用代理服務(wù)器時(shí),瀏覽器并不直接到Web服務(wù)器請(qǐng)求讀取網(wǎng)頁�����,而是向代理服務(wù)器發(fā)出請(qǐng)求。請(qǐng)求會(huì)先送到代理服務(wù)器����。由代理服務(wù)器發(fā)起對(duì)Web服務(wù)器的請(qǐng)求,并將Web服務(wù)器回應(yīng)的網(wǎng)頁傳送給用戶瀏覽器���。而且�,大部分代理服務(wù)器都具有高速緩存的功能����,它有很大的存儲(chǔ)空間,不斷將新取得數(shù)據(jù)儲(chǔ)存到代理服務(wù)器的存儲(chǔ)器上�。如果用戶瀏覽器所請(qǐng)求的數(shù)據(jù)在它本機(jī)的存儲(chǔ)器上已經(jīng)存在而且是最新的,那么它就不重新從Web服務(wù)器取數(shù)據(jù)��,而直接將存儲(chǔ)器上的數(shù)據(jù)傳送給用戶的瀏覽器����。這樣就能顯著提高瀏覽速度和效率。
利用代理服務(wù)器的這一特性�����,針對(duì)Web服務(wù)器����,網(wǎng)絡(luò)上出現(xiàn)了一種新型的分布式拒絕服務(wù)(DDoS)攻擊方式其原理是利用眾多代理服務(wù)器模擬大量用戶訪問��,向服務(wù)器動(dòng)態(tài)頁面(asp�,php.aspx�,jsp等)發(fā)送大量請(qǐng)求。這些頁面可以是并不存在的頁面���。攻擊者通過代理服務(wù)器隱藏其真實(shí)的互聯(lián)網(wǎng)協(xié)議(IP)地址�,因此很難對(duì)真正的攻擊者進(jìn)行防御�。并且,由于網(wǎng)頁并不存在��,代理服務(wù)器無法直接將本機(jī)緩存的數(shù)據(jù)直接發(fā)給攻擊者��,只能將攻擊者的請(qǐng)求發(fā)給web服務(wù)器處理�����。而web服務(wù)器處理這些請(qǐng)求的開銷較大����,通常會(huì)進(jìn)行數(shù)據(jù)庫(kù)查詢等非常耗時(shí)的操作�����。由于這些操作不能立刻完成,web服務(wù)器會(huì)將未能處理完成的請(qǐng)求入隊(duì)列緩存����,從而很快占滿web服務(wù)器應(yīng)用層服務(wù)的連接數(shù),達(dá)到拒絕正常用戶訪問的目的����。例如,很多apache服務(wù)器能夠處理的并發(fā)連接數(shù)不過是512或者1024�,通過這種攻擊,很容易造成拒絕服務(wù)(DoS)����。甚至造成web服務(wù)器處理負(fù)荷過于繁重導(dǎo)致web服務(wù)器癱瘓。
圖1是利用傳輸控制協(xié)議(tcp)連接交互信息進(jìn)行DDoS攻擊的典型過程的示意圖�。攻擊者通過代理服務(wù)器在同一條tcp連接中,不斷地向web服務(wù)器請(qǐng)求一個(gè)不存在的頁面��。如果攻擊者同時(shí)啟動(dòng)多個(gè)攻擊連接�����,會(huì)使得web服務(wù)器忙于處理攻擊者發(fā)起的請(qǐng)求,從而達(dá)到搶占并占用web服務(wù)器應(yīng)用層服務(wù)的連接數(shù)�,最終導(dǎo)致DoS的目的。
由于此類攻擊模擬正常用戶的正常訪問行為���,當(dāng)前的防火墻設(shè)備不能有效的防御此類攻擊����。
由于此類攻擊模擬正常用戶的正常訪問行為�����,所以常用的SynFlood防御技術(shù)tcp代理不能對(duì)其進(jìn)行有效防范��。在一種現(xiàn)有技術(shù)中���,針對(duì)這種攻擊通常會(huì)在每個(gè)代理服務(wù)器上發(fā)起一定數(shù)目連接請(qǐng)求的特征����,可以在防火墻類設(shè)備上對(duì)用戶的流量進(jìn)行管理�,限定某個(gè)IP的帶寬���,或者針對(duì)每個(gè)IP地址進(jìn)行連接數(shù)目的限制��。在一定程度上可以防御此類攻擊�。
然而,通過對(duì)用戶的流量進(jìn)行管理�����,限定某個(gè)IP的帶寬或者限定每個(gè)IP地址發(fā)起連接數(shù)目有以下局限性1.此類攻擊是通過大量代理服務(wù)器發(fā)起的���,每個(gè)代理服務(wù)器發(fā)起的攻擊連接可能很少��。如果限制每個(gè)IP的連接數(shù)��,需要將連接數(shù)限制在很小的范圍內(nèi)才可能有效���。但是,如果攻擊者使用的代理服務(wù)器數(shù)量很多�,那么攻擊服務(wù)器的連接仍然很多。流量進(jìn)行管理的方法就達(dá)不到防御的目的�。
2.此類攻擊主要針對(duì)服務(wù)器在處理動(dòng)態(tài)網(wǎng)頁時(shí)的性能瓶頸,而不是消耗服務(wù)器的帶寬�。因此較小的攻擊流量仍然可以消耗大量的服務(wù)器資源,從而達(dá)到攻擊的目的���。
3.對(duì)用戶的流量進(jìn)行管理可能會(huì)影響正常用戶對(duì)服務(wù)器的正常訪問��,導(dǎo)致上網(wǎng)速度慢等問題�����,影響用戶體驗(yàn)�����。
在另一種現(xiàn)有技術(shù)中��,由于此類攻擊模擬正常用戶的正常訪問都需要通過代理服務(wù)器來完成���,檢測(cè)超文本傳輸協(xié)議(http)的請(qǐng)求(request)報(bào)文中是否存在某些特殊的能表示通過代理訪問的信息���,并以此確定這是一次代理訪問并作相應(yīng)的過濾。
該方案具備一定的防攻擊能力�,但是也存在一些問題1、這對(duì)真正在內(nèi)部網(wǎng)絡(luò)通過代理訪問外部網(wǎng)絡(luò)的請(qǐng)求會(huì)形成誤判�;2、http代理服務(wù)器的行為不可預(yù)測(cè)��,對(duì)于那些不攜帶特殊信息的請(qǐng)求無法進(jìn)行識(shí)別和過濾�����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供能夠解決以上問題從而對(duì)DDoS攻擊進(jìn)行有效防御的方法�。
防火墻通常放在服務(wù)器前面對(duì)服務(wù)器進(jìn)行保護(hù)。本發(fā)明將通過在防火墻等中間設(shè)備上檢測(cè)諸如http的tcp連接狀態(tài)���,強(qiáng)制斷開攻擊者與服務(wù)器的tcp連接的機(jī)制來保護(hù)服務(wù)器免受拒絕服務(wù)攻擊的方法����。
根據(jù)第一方面����,本發(fā)明提供一種防火墻防御針對(duì)web服務(wù)器DDOS攻擊的方法,所述防火墻設(shè)置在web服務(wù)器之前��,所述方法包括步驟接收用戶向web服務(wù)器發(fā)起的tcp連接請(qǐng)求�;將所述請(qǐng)求轉(zhuǎn)發(fā)給web服務(wù)器;接收并且檢查web服務(wù)器的回應(yīng)報(bào)文�����;當(dāng)回應(yīng)報(bào)文中包括差錯(cuò)碼時(shí)��,斷開與所述tcp連接請(qǐng)求對(duì)應(yīng)的tcp連接�����。
根據(jù)第二方面,提供一種設(shè)置在web服務(wù)器之前的防火墻����,用于防御針對(duì)所述web服務(wù)器的DDOS攻擊,所述防火墻包括接收用戶向web服務(wù)器發(fā)起的tcp連接請(qǐng)求的裝置�;將所述請(qǐng)求轉(zhuǎn)發(fā)給web服務(wù)器的裝置;接收并且檢查web服務(wù)器的回應(yīng)報(bào)文的裝置��;當(dāng)回應(yīng)報(bào)文中包括差錯(cuò)碼時(shí)����,斷開tcp連接的裝置。
本發(fā)明的技術(shù)方案能夠防御攻擊者對(duì)http服務(wù)器發(fā)起的無效網(wǎng)頁攻擊���,減輕服務(wù)器的負(fù)擔(dān)�,使正常用戶能夠連接到服務(wù)器����。
下面將通過舉例參照附圖對(duì)本發(fā)明進(jìn)行更詳細(xì)的說明,在附圖中圖1是利用tcp連接交互信息進(jìn)行DDoS攻擊的典型過程的示意圖����;圖2是根據(jù)本發(fā)明的利用防火墻防御DDoS攻擊的實(shí)施方案的示意圖。
具體實(shí)施例方式
本發(fā)明通過防火墻等中間設(shè)備���,對(duì)web服務(wù)器進(jìn)行保護(hù)�����。下文將具體說明本發(fā)明的實(shí)施方案�����。
圖2是根據(jù)本發(fā)明的利用防火墻防御DDoS攻擊的實(shí)施方案的示意圖����。
防火墻監(jiān)控用戶與web服務(wù)器之間的tcp連接�����。當(dāng)用戶向web服務(wù)器發(fā)起tcp連接時(shí)���,防火墻為該tcp連接建立會(huì)話表����。會(huì)話表例如可以采用五元組(源IP����、源端口�����、協(xié)議類型���、目的IP、目的端口)表示�。經(jīng)過防火墻的tcp報(bào)文都將被檢測(cè)。如果報(bào)文的目的端口是http報(bào)文端口80��,則防火墻判斷該報(bào)文是http報(bào)文���,并且因此設(shè)置對(duì)應(yīng)會(huì)話信息的協(xié)議類型為http���。需要說明的是,用戶發(fā)起的網(wǎng)頁請(qǐng)求也可以通過代理服務(wù)器發(fā)送給防火墻����。
然后,防火墻將報(bào)文轉(zhuǎn)發(fā)給Web服務(wù)器�����。
對(duì)于用戶請(qǐng)求�����,web服務(wù)器做出相應(yīng)的響應(yīng)。響應(yīng)的第一行是狀態(tài)行�,以HTTP版本號(hào)開始,后面跟著3位數(shù)字表示響應(yīng)代碼��,最后是易讀的響應(yīng)短語�����。下表是HTTP的3位響應(yīng)碼及其說明�����。
如果回應(yīng)的報(bào)文命中會(huì)話表����,說明它是http報(bào)文�����。防火墻對(duì)web服務(wù)器回應(yīng)的http報(bào)文進(jìn)行深度檢測(cè)�����,搜索web服務(wù)器回應(yīng)報(bào)文中的用戶差錯(cuò)碼等信息。如果web服務(wù)器返回的是用戶差錯(cuò)碼報(bào)文���,則防火墻直接拆除用戶與web服務(wù)器之間的tcp連接��,終止針對(duì)web服務(wù)器的連接����。通過防火墻上保留的http會(huì)話信息�����,可以在防火墻上以用戶的名義向web服務(wù)器發(fā)出復(fù)位RST或終止FIN報(bào)文通知web服務(wù)器關(guān)閉連接����。
如果攻擊者使用大量代理服務(wù)器向同一個(gè)web服務(wù)器發(fā)起攻擊,那么���,即使拆除了web服務(wù)器與某一個(gè)代理之間的連接����,也還會(huì)有大量的攻擊報(bào)文����,一樣可以消耗web服務(wù)器資源�����。因此���,在一個(gè)優(yōu)選實(shí)施方案中,可以同時(shí)采用限制訪問的方法�,即對(duì)同一源IP發(fā)起的http連接數(shù)進(jìn)行統(tǒng)計(jì),如果在一定時(shí)間內(nèi)����,web服務(wù)器向用戶返回差錯(cuò)碼的次數(shù)大于某一指定的值�,則將這一IP加入黑名單,限制此源IP發(fā)起的對(duì)web服務(wù)器的訪問�����。
上文以http連接為例��,對(duì)本發(fā)明的實(shí)施方案做了具體說明�。需要指出,本發(fā)明不限于此���,還可應(yīng)用于諸如ftp的其它tcp連接����。
顯而易見,在此描述的本發(fā)明可以有許多變化��,這種變化不能認(rèn)為偏離本發(fā)明的精神和范圍�����。因此���,所有對(duì)本領(lǐng)域技術(shù)人員顯而易見的改變����,都包括在本權(quán)利要求書的涵蓋范圍之內(nèi)�。
權(quán)利要求
1.一種防火墻防御針對(duì)web服務(wù)器DDOS攻擊的方法,所述防火墻設(shè)置在web服務(wù)器之前����,所述方法包括步驟接收用戶向web服務(wù)器發(fā)起的tcp連接請(qǐng)求;將所述請(qǐng)求轉(zhuǎn)發(fā)給web服務(wù)器��;接收并且檢查web服務(wù)器的回應(yīng)報(bào)文�����;當(dāng)回應(yīng)報(bào)文中包括差錯(cuò)碼時(shí),斷開與所述tcp連接請(qǐng)求對(duì)應(yīng)的tcp連接�。
2.如權(quán)利要求1所述的方法,其特征在于所述用戶發(fā)起的tcp連接請(qǐng)求通過代理服務(wù)器發(fā)送給防火墻�����。
3.如權(quán)利要求1所述的方法����,其特征在于所述斷開tcp連接的步驟包括防火墻以用戶的名義向web服務(wù)器發(fā)出復(fù)位或終止報(bào)文。
4.如權(quán)利要求1所述的方法���,其特征在于包括為tcp連接設(shè)立會(huì)話表的步驟����,所述會(huì)話表包括源IP地址��、源端口�����、協(xié)議類型��、目的IP地址和目的端口���。
5.如權(quán)利要求1所述的方法�����,其特征在于所述tcp連接是http連接����。
6.如權(quán)利要求1所述的方法��,其特征在于包括對(duì)一定時(shí)間內(nèi)web服務(wù)器向一個(gè)源IP地址返回差錯(cuò)碼的次數(shù)進(jìn)行統(tǒng)計(jì)��,如果該次數(shù)大于某一閾值����,則限制該源IP地址發(fā)起的對(duì)web服務(wù)器的訪問。
7.一種設(shè)置在web服務(wù)器之前的防火墻����,用于防御針對(duì)所述web服務(wù)器的DDOS攻擊,所述防火墻包括接收用戶向web服務(wù)器發(fā)起的tcp連接請(qǐng)求的裝置��;將所述請(qǐng)求轉(zhuǎn)發(fā)給web服務(wù)器的裝置�����;接收并且檢查web服務(wù)器的回應(yīng)報(bào)文的裝置;當(dāng)回應(yīng)報(bào)文中包括差錯(cuò)碼時(shí)��,斷開tcp連接的裝置�����。
8.如權(quán)利要求7所述的防火墻�����,其特征在于包括對(duì)一定時(shí)間內(nèi)web服務(wù)器向一個(gè)源IP地址返回差錯(cuò)碼的次數(shù)進(jìn)行統(tǒng)計(jì)的裝置���,和如果該次數(shù)大于某一閾值�����,則限制該源IP地址發(fā)起的對(duì)web服務(wù)器的訪問的裝置��。
全文摘要
本發(fā)明提供一種防火墻防御針對(duì)web服務(wù)器DDOS攻擊的方法和設(shè)備����。所述防火墻設(shè)置在web服務(wù)器之前���,所述方法包括步驟接收用戶向web服務(wù)器發(fā)起的tcp連接請(qǐng)求�;將所述請(qǐng)求轉(zhuǎn)發(fā)給web服務(wù)器���;接收并且檢查web服務(wù)器的回應(yīng)報(bào)文�����;當(dāng)回應(yīng)報(bào)文中包括差錯(cuò)碼時(shí)���,斷開與所述tcp連接請(qǐng)求對(duì)應(yīng)的tcp連接。
文檔編號(hào)H04L29/06GK101047697SQ20061003479
公開日2007年10月3日 申請(qǐng)日期2006年3月29日 優(yōu)先權(quán)日2006年3月29日
發(fā)明者雷奕康, 王寧, 張日華, 齊志, 朱志強(qiáng) 申請(qǐng)人:華為技術(shù)有限公司