[发明专利]一种防御攻击的方法及装置

说明书

本申请实施例提供了一种防御攻击的方法及装置，涉及通信技术领域，可以检测并防御HTTP慢速攻击，保证服务器的正常运行。本申请的方案包括：接收第一报文，若确定与服务器已建立的连接数大于连接阈值，则判断第一报文是否为慢攻击报文，若第一报文为慢攻击报文，且已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值，则丢弃与第一报文具有相同源IP地址的报文。

技术领域

本申请涉及通信技术领域，特别是涉及一种防御攻击的方法及装置。

背景技术

超文本传输协议(Hypertext transfer protocol，HTTP)慢速攻击是指在攻击者与服务器建立连接后，尽量长时间与服务器保持连接，导致服务器的资源耗尽，使得服务器无法为其他访问者提供服务。

目前通常出现的攻击方式有两种。第一种为攻击者通过获取(GET)请求方法或者通过提交(POST)请求方法向服务器发送HTTP报文，从而与服务器建立连接，但是在向服务器发送的HTTP报文的头字段中均不包括结束符，只包括用于保活的字节，使得服务器一直与该攻击者存在连接，占用服务器的资源。第二种为攻击者通过POST的请求方法向服务器发送HTTP报文，以请求向服务器提交数据，然而攻击者将报文长度设置为一个较大的数值，在后续向服务器发送的HTTP报文中，只携带很少的数据，导致服务器一直等待攻击者发送剩余的数据，导致攻击者一直占用服务器的资源。

现有技术中无法检测出HTTP慢速攻击，会影响服务器的正常运行。

发明内容

有鉴于此，本申请实施例提供一种防御攻击的方法及装置，以检测并防御HTTP慢速攻击，保证服务器的正常运行。具体技术方案如下：

第一方面，本申请提供一种防御攻击的方法，所述方法应用于终端与服务器之间的防火墙，所述方法包括：

接收第一报文；

若确定与所述服务器已建立的连接数大于连接阈值，则判断所述第一报文是否为慢攻击报文；

若所述第一报文为慢攻击报文，且已接收的与所述第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值，则丢弃与所述第一报文具有相同源IP地址的报文。

在一种可能的实现方式中，所述判断所述第一报文是否为慢攻击报文，包括：

判断所述第一报文是否包含结束符；

若所述第一报文不包含结束符，则所述第一报文为慢攻击报文。

在一种可能的实现方式中，在判断所述第一报文是否包含结束符之后，所述方法还包括：

若所述第一报文包含结束符，则判断所述第一报文的标识载荷长度是否大于长度阈值，且所述第一报文的实际载荷长度是否小于所述长度阈值；

若所述第一报文的标识载荷长度大于所述长度阈值，且所述第一报文的实际载荷长度小于所述长度阈值，则所述第一报文为慢攻击报文；

若所述第一报文的标识载荷长度小于所述长度阈值，或所述第一报文的实际载荷长度大于所述长度阈值，则所述第一报文不是慢攻击报文。

在一种可能的实现方式中，在判断所述第一报文是否为慢攻击报文之后，所述方法还包括：

若所述第一报文为慢攻击报文，则获取所述第一报文的源IP地址；

判断攻击列表是否包括所述源IP地址；

若所述攻击列表包括所述源IP地址，则将所述源IP地址对应的攻击报文数加1；

若所述攻击列表不包括所述源IP地址，则将所述源IP地址加入所述攻击列表，并记录所述源IP地址对应的攻击报文数。