[发明专利]基于nginx服务器检测和防护CC攻击的方法及系统

说明书

本公开涉及一种基于nginx服务器检测和防护CC攻击的系统和方法。该系统包括：nginx服务器配置模块，该nginx服务器配置模块通过nginx服务器配置文件在该系统中配置响应慢日志时间阈值、上传协议；HTTP响应慢日志生成模块，用于对于请求响应时间差超过所述响应慢日志时间阈值的请求，或者没有响应的请求，生成响应慢日志；代理服务模块，其用于按照所述上传协议传送所述响应慢日志，响应网络对所述响应慢日志的分析来解析出CC攻击IP并对所解析出的CC攻击IP进行处理；以及CC攻击分析平台，用于根据请求的特征分析出CC攻击IP，自动将攻击的特征加入黑名单并将黑名单通过socket下发到代理服务模块，以便解析出CC攻击IP并对所解析出的CC攻击IP进行处理。

技术领域

本公开涉及基于nginx服务器检测和防护CC攻击的方法及系统。更具体地说，本公开涉及通过HTTP响应慢日志过滤掉绝大多数大量无效的HTTP请求以快速检测出CC攻击IP的基于nginx服务器检测和防护CC攻击的方法和系统。

背景技术

DDOS分布式拒绝服务的一种，CC攻击模拟大量用户不停地访问那些需要消耗大量服务器资源的页面，耗尽服务器资源，如访问数据库应用及大量统计的应用，导致WEB服务器、数据库服务器CPU、IO利用率飙升，使得Web服务器无法对正常的Web服务请求进行响应，从而造成拒绝服务攻击。其具有很强的伪装性，其访问行为模拟正常用户访问特征，以少数僵尸机即可引发攻击目标服务器性能瘫痪，阻断正常用户访问，因此，CC攻击难以被检测发现，传统安全防御方法不能有效抵御CC攻击。

现有技术方案检测和防护CC攻击的方法包括限制源IP即配置黑白名单、限制源IP的连接数、对所有的请求源IP进行统计并计算其请求速率；分析CC攻击特征，将CC攻击特征IP的加入黑名单，如在防火墙设备上配置黑名单，阻断其对网站的访问；通过cookie的方式，为每个访问者定义一个token，保存在Cookies中，用户访问时，必须要带有正确的token才可以访问服务器。当用户第一次访问时，会检测到用户的Cookies里面并没有这个token，则返回一个302重定向，目标地址为当前页面，同时在返回的HTTP头中加入set cookies字段，对Cookies进行设置，使用户带有这个token。客户端如果是一个正常的浏览器，那么就会支持HTTP头中的set cookie和302重定向指令，将带上正确的token再次访问页面，服务器检测到正确的token，就会放行，用户后续的HTTP请求都会带有这个token，可以正常访问页面。

然而，如今大多数CC攻击通常是通过大量的傀儡机对被攻击的服务器发起请求。当被控制的傀儡机达到一定数量时，这些傀儡机发起请求的IP各不相同，黑白名单策略很难奏效；这些傀儡机IP发送的请求数并不高，不会超过IP连接数的阀值，因此配置连接数阀值手段也很容易被绕过；这些傀儡机IP的请求速率也不一定很高，低于请求速率的阀值、发向每个网站的每个URL的请求速率是不固定的，设置一个IP请求速率阈值，使之适合网站内所有的统一资源定位符(Uniform ResourceLocator，简称URL)是不现实的。所以，通过限制源IP即配置黑白名单、限制源IP的连接数、对所有的请求源IP进行统计并计算其请求速率，来实现检测和防护CC攻击难度太大。

另外，通过分析CC攻击特征，将CC攻击特征IP的加入黑名单来阻断其对网站的访问，由于用户请求数据量非常大，提取特征比较困难。所以这种阻断黑客其对网站的访问的方法也不容易实现。

而通过cookie的方式，为每个访问者定义一个token，保存在Cookies中，用户访问时，必须要带有正确的token才可以访问服务器这种检测和防护CC攻击的方法，需要站点服务器进行改造，修改业务代码，增加维护成本。同时，由于CC攻击访问的是需要消耗大量服务器资源的页面，通过控制少量服务器，部分CC攻击支持设置cookie，这样也就检测不出来。

因此，需要可以快速检测出CC攻击IP、不需要专用DDOS设备防护、不需要站点服务器进行改造以增加业务代码的检测和防护CC攻击的技术方案。

发明内容