一种多应用场景的cc防御系统
技术领域
1.本发明涉及cc防御系统技术领域,具体为一种多应用场景的cc防御系统。
背景技术:
2.cc攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃,cc主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,cc就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量cpu时间)的页面,造成服务器资源的浪费,cpu长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
3.根据cc攻击的特点,cc攻击的方法可分为快cc攻击与慢cc攻击,快cc攻击是单点或多点长时间频繁向服务器发送http请求;慢cc攻击是单点或多点长时间占用多个http请求过程;cc攻击还可分为:直接攻击、代理攻击、僵尸网络攻击三种;直接攻击主要针对有重要缺陷的web应用程序,一般来说是程序写的有问题的时候才会出现这种情况,比较少见;僵尸网络攻击有点类似于ddos攻击,从web应用程序层面上已经无法防御,所以代理攻击是cc攻击者一般会操作一批代理服务器,比方说100个代理,然后每个代理同时发出10个请求,这样web服务器同时收到1000个并发请求的,并且在发出请求后,立刻断掉代理的连接,避免代理返回的数据将本身的带宽堵死,而不能发送再次请求,这时web服务器将响应这些请求的进程进行队列,数据库服务器同样如此,这样一来,正常请求将会被排在后面被处理,造成正常请求页面打开极其缓慢或者白屏,无法有效防护服务器的网络安全。
技术实现要素:
4.(一)解决的技术问题
5.针对现有技术的不足,本发明提供了一种多应用场景的cc防御系统,具备可满足多应用场景cc防御需求等优点,解决了传统cc防御系统难以满足多应用场景防御需求的问题。
6.(二)技术方案
7.为实现上述目的,本发明提供如下技术方案:一种多应用场景的cc防御系统,包括web应用防火墙应用网关,其包括起到web应用防火墙的安全模块waf,web化后台管理的前端模块frontend,起到负载均衡、配置证书和数据保护等其他功能性的模块;
8.其中,所述安全模块包含了基于签名检测的规则集模块、基于异常检测模块和日志部分,所述安全模块还包括检测防御系统;
9.所述检测防御系统以独立设备的形式部署在被保护主机的前端,以达到保护目标主机,同时尽量降低对正常客户访问的影响的目的。
10.优选的,所述前端模块为管理端功能模块,包括有证书管理、应用管理、异常检测管理、用户管理、日志管理和安全模块管理。
11.优选的,所述证书管理包括管理人员统一管理证书和私钥,避免用户直接接触到证书私钥,降低证书私钥泄露风险,保障https通信的安全性,可以对证书进行增删查改操作,并且设置其有效日期,所述应用管理包括管理人员在启动安全监测时必须先配置好受保护应用目标,包含应用名称、http或https通信、端口与地址、域名、是否使用证书等等,以及是否通过waf安全检测,根据不同的应用在不同的场景可更改不同的功能。
12.优选的,所述异常检测管理主要是对配置好的应用是否进行异常检测,但在进行异常检测的时候会影响到系统的性能,因此主要运用到敏感数据和安全性能要求较高的网站上,所述用户管理能够对管理用户人员进行增删查改。
13.优选的,所述日志管理主要是对cc log和waf log进行可视化表格处理,可让管理人员清晰的查看受到的攻击类型、时间、次数以及waf做出的行为,以便更好的根据实时情况来更改应用配置,所述安全模块管理分为cc安全管理和其他常见安全规则管理两部分,cc安全管理模块主要是对cc规则的设置,可设置对统一url、cookie和user agent在一定时间内最大响应次数,若触发之后waf会采取的行动,有阻断、验证码等,其他常见的安全管理可认为是安全规则集,可对这些安全规则集进行增删查改,每个安全规则集都有对应的id、描述、是否启用等在表格中呈现,以便方便人员的管理。
14.优选的,所述检测防御系统包括检测模块、防御模块、重定向模块和阻断模块,其中重定向模块和阻断模块组成防御模块。
15.优选的,所述系统首先将收到的请求复制两份,在正常状态下,只有检测模块搜集接收到的请求并进行分析,而防御模块并不产生动作,当检测模块检测到攻击存在时,系统就开始启动防御机制,对同一类型请求数量最多的请求进行重定向操作,重定向模块还需检查客户端对重定向请求的响应,并把响应结果传递给阻断模块,由阻断模块决定是对该客户端执行阻断策略还是将其原请求转发至服务器。
16.一种多应用场景的cc防御方法,包括以下步骤:
17.s1、当攻击者向被保护主机发起cc攻击时,web应用防火墙的安全模块发现大量并发tcp/ip请求,在交付受保护的服务器同时转发给检测防御系统,检测防御系统也执行相应的检测与阻断工作;
18.s2、当检测防御系统工作至近乎满负荷甚至有拒绝服务的趋势时,发送反馈数据包给web应用防火墙;
19.s3、防火墙收到检测防御系统的反馈数据包后,暂停转发数据包,由于cc攻击一般采用的是僵尸网络或者代理服务器,根据这个特性,防火墙根据流量统计的数据向每个请求发起者发送随机验证码并等待响应;
20.s4、如果某请求发起者回复正确验证码,继续对此ip的数据包进行转发;如果对方对验证码的响应超时,则直接加入黑名单,禁止此ip的任何访问请求;如果没有正确回复验证码,则同样将此ip加人黑名单,禁止此ip的任何访问请求。
21.(三)有益效果
22.与现有技术相比,本发明提供了一种多应用场景的cc防御系统,具备以下有益效果:
23.该多应用场景的cc防御系统,通过设置web应用防火墙与检测防御系统,且检测防御系统以独立设备的形式部署在被保护主机的前端,以达到保护目标主机的目的,当受到
cc攻击时,由web应用防火墙与检测防御系统配合,从而有效抵御web服务器cc攻击,从而满足多应用场景的cc防御需求。
附图说明
24.图1为本发明提出的一种多应用场景的cc防御系统的系统示意图;
25.图2为本发明提出的一种多应用场景的cc防御系统中管理端功能模块的系统示意图;
26.图3为本发明提出的一种多应用场景的cc防御系统中检测防御系统的系统示意图。
具体实施方式
27.下面将结合本发明的实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
28.请参阅图1-3,本实施例中的一种多应用场景的cc防御系统,包括web应用防火墙应用网关,其包括起到web应用防火墙的安全模块waf,web化后台管理的前端模块frontend,起到负载均衡、配置证书和数据保护等其他功能性的模块。
29.其中,安全模块包含了基于签名检测的规则集模块、基于异常检测模块和日志部分,安全模块还包括检测防御系统。
30.检测防御系统以独立设备的形式部署在被保护主机的前端,以达到保护目标主机,同时尽量降低对正常客户访问的影响的目的。
31.其中,前端模块为管理端功能模块,包括有证书管理、应用管理、异常检测管理、用户管理、日志管理和安全模块管理,证书管理包括管理人员统一管理证书和私钥,避免用户直接接触到证书私钥,降低证书私钥泄露风险,保障https通信的安全性,可以对证书进行增删查改操作,并且设置其有效日期,应用管理包括管理人员在启动安全监测时必须先配置好受保护应用目标,包含应用名称、http或https通信、端口与地址、域名、是否使用证书等等,以及是否通过waf安全检测,根据不同的应用在不同的场景可更改不同的功能;异常检测管理主要是对配置好的应用是否进行异常检测,但在进行异常检测的时候会影响到系统的性能,因此主要运用到敏感数据和安全性能要求较高的网站上,用户管理能够对管理用户人员进行增删查改;日志管理主要是对cc log和waf log进行可视化表格处理,可让管理人员清晰的查看受到的攻击类型、时间、次数以及waf做出的行为,以便更好的根据实时情况来更改应用配置,安全模块管理分为cc安全管理和其他常见安全规则管理两部分,cc安全管理模块主要是对cc规则的设置,可设置对统一url、cookie和user agent在一定时间内最大响应次数,若触发之后waf会采取的行动,有阻断、验证码等,其他常见的安全管理可认为是安全规则集,可对这些安全规则集进行增删查改,每个安全规则集都有对应的id、描述、是否启用等在表格中呈现,以便方便人员的管理。
32.同时,检测防御系统包括检测模块、防御模块、重定向模块和阻断模块,其中重定向模块和阻断模块组成防御模块,系统首先将收到的请求复制两份,在正常状态下,只有检
测模块搜集接收到的请求并进行分析,而防御模块并不产生动作,当检测模块检测到攻击存在时,系统就开始启动防御机制,对同一类型请求数量最多的请求进行重定向操作,重定向模块还需检查客户端对重定向请求的响应,并把响应结果传递给阻断模块,由阻断模块决定是对该客户端执行阻断策略还是将其原请求转发至服务器。
33.另外,一种多应用场景的cc防御方法,包括以下步骤:
34.s1、当攻击者向被保护主机发起cc攻击时,web应用防火墙的安全模块发现大量并发tcp/ip请求,在交付受保护的服务器同时转发给检测防御系统,检测防御系统也执行相应的检测与阻断工作;
35.s2、当检测防御系统工作至近乎满负荷甚至有拒绝服务的趋势时,发送反馈数据包给web应用防火墙;
36.s3、防火墙收到检测防御系统的反馈数据包后,暂停转发数据包,由于cc攻击一般采用的是僵尸网络或者代理服务器,根据这个特性,防火墙根据流量统计的数据向每个请求发起者发送随机验证码并等待响应;
37.s4、如果某请求发起者回复正确验证码,继续对此ip的数据包进行转发;如果对方对验证码的响应超时,则直接加入黑名单,禁止此ip的任何访问请求;如果没有正确回复验证码,则同样将此ip加人黑名单,禁止此ip的任何访问请求。
38.本发明的有益效果是:
39.通过设置web应用防火墙与检测防御系统,且检测防御系统以独立设备的形式部署在被保护主机的前端,以达到保护目标主机的目的,当受到cc攻击时,由web应用防火墙与检测防御系统配合,从而有效抵御web服务器cc攻击,从而满足多应用场景的cc防御需求。
40.尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。