[发明专利]基于设备指纹的Nginx动态被动限流方法及系统有效
| 申请号: | 201810072003.4 | 申请日: | 2018-01-25 |
| 公开(公告)号: | CN108234341B | 公开(公告)日: | 2021-06-11 |
| 发明(设计)人: | 牟璇;潘贵国;成海星;于江磊;侯亦飞;李晓龙 | 申请(专利权)人: | 北京搜狐新媒体信息技术有限公司 |
| 主分类号: | H04L12/813 | 分类号: | H04L12/813;H04L29/06 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 古利兰;王宝筠 |
| 地址: | 100190 北京市海淀*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 设备 指纹 nginx 动态 被动 限流 方法 系统 | ||
本发明提供了一种基于设备指纹的Nginx动态被动限流方法,包括:收集用户客户端发送给服务器的所有数据包,其中,数据包中包含tcp时间戳,从Nginx中获取用户标识cid,并利用用户客户端发送给服务器的所有数据包计算出每个用户标识cid的时钟偏移,将用户标识cid的时钟偏移进行两两对比,计算出两个时钟偏移的差值,判断差值是否小于预设阈值,当差值小于预设阈值时,对差值对应的用户标识cid进行限流处理。本发明能够不用客户端配合即可对恶意用户进行有效识别。本发明还公开了一种基于设备指纹的Nginx动态被动限流系统。
技术领域
本发明属于Nginx技术领域,尤其涉及一种基于设备指纹的Nginx动态被动限流方法及系统。
背景技术
Nginx是一个高性能的HTTP和反向代理服务器,也是一个 IMAP/POP3/SMTP服务器。
目前,基于Nginx的限流策略是根据请求中的参数,比如用户id、即cid 等,进行限流,cid等参数是可以伪造的,传统的限流方式不能彻底解决恶意用户的攻击。
因此,如何有效的解决恶意用户的攻击是一项亟待解决的问题。
发明内容
有鉴于此,本发明提供了一种基于设备指纹的Nginx动态被动限流方法,能够不用客户端配合即可对恶意用户进行有效识别。
为了实现上述目的,本发明提供如下技术方案:
一种基于设备指纹的Nginx动态被动限流方法,包括:
收集用户客户端发送给服务器的所有数据包,其中,所述数据包中包含 tcp时间戳;
从所述Nginx中获取用户标识cid,并利用用户客户端发送给服务器的所有数据包计算出每个所述用户标识cid的时钟偏移;
将所述用户标识cid的时钟偏移进行两两对比,计算出两个时钟偏移的差值;
判断所述差值是否小于预设阈值;
当所述差值小于所述预设阈值时,对所述差值对应的用户标识cid进行限流处理。
优选地,所述数据包中还包含:本地观察时间。
优选地,所述方法还包括:
存储所述tcp时间戳、本地观察时间和用户标识cid。
优选地,所述存储所述tcp时间戳、本地观察时间和用户标识cid包括:
存储所述tcp时间戳、本地观察时间和用户标识cid至时序数据库。
优选地,所述方法还包括:
将所述时钟偏移存储于数据库。
一种基于设备指纹的Nginx动态被动限流系统,包括:
收集模块,用于收集用户客户端发送给服务器的所有数据包,其中,所述数据包中包含tcp时间戳;
计算模块,用于从所述Nginx中获取用户标识cid,并利用用户客户端发送给服务器的所有数据包计算出每个所述用户标识cid的时钟偏移;
比较模块,用于将所述用户标识cid的时钟偏移进行两两对比,计算出两个时钟偏移的差值;
判断模块,用于判断所述差值是否小于预设阈值;
限流模块,用于当所述差值小于所述预设阈值时,对所述差值对应的用户标识cid进行限流处理。
优选地,所述数据包中还包含:本地观察时间。
优选地,所述系统还包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京搜狐新媒体信息技术有限公司,未经北京搜狐新媒体信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810072003.4/2.html,转载请声明来源钻瓜专利网。
