一种网络攻击处理方法和装置与流程

本申请涉及通信技术领域，特别是涉及一种网络攻击处理方法和一种网络攻击处理装置。

背景技术：

虚拟主机，也叫“网站空间”，是把一台运行在互联网上的服务器划分成多个具有一定大小的硬盘空间，每个空间都给予相应的FTP(File Transfer Protocol，文件传输协议)权限和Web访问权限，以用于网站发布。

为了保护服务器整体的稳定和安全，服务器的防火墙会监测对各虚拟主机的网络攻击，防火墙一旦判断攻击规模达到一定的阈值后，会自动对被攻击的虚拟主机的IP地址做屏蔽处理。

然而，该对攻击目标IP地址的屏蔽虽然能够保证服务器和网络的整体稳定性，但对被攻击的IP地址屏蔽后，也会影响该IP地址所在的业务，影响网站访问。

因此，目前需要本领域技术人员迫切解决的一个技术问题就是：如何能减少网络攻击对被攻击IP地址的业务影响。

技术实现要素：

本申请实施例所要解决的技术问题是提供一种网络攻击处理方法，能够减少网络攻击对被攻击IP地址的业务影响。

相应的，本申请实施例还提供了一种网络攻击装置，用以保证上述方法的实现及应用。

为了解决上述问题，本申请公开了一种网络攻击处理方法，包括：

获取连接服务器的第一IP地址及所述第一IP地址对应的连接数；

判断所述第一IP地址对应的连接数是否大于或等于第一阈值；

若是，则屏蔽连接至所述第一IP地址的源IP地址。

进一步，所述屏蔽连接至所述第一IP地址的源IP地址，包括：

获取连接至所述第一IP地址的各源IP地址及所述各源IP地址对应的连接数；

判断所述各源IP地址中是否存在连接数大于或等于第二阈值的源IP地址；

若存在，则屏蔽所述连接数大于或等于第二阈值的源IP地址。

进一步，所述方法还包括：

当所述各源IP地址中不存在连接数大于或等于所述第二阈值的源IP地址时，屏蔽所述第一IP地址。

进一步，所述屏蔽所述连接数大于或等于第二阈值的源IP地址，包括：

判断所述连接数大于或等于第二阈值的源IP地址所对应的连接数的和是否大于或等于所述第一阈值；

若是，则屏蔽所述连接数大于或等于第二阈值的源IP地址。

进一步，所述方法还包括：

当所述连接数大于或等于第二阈值的源IP地址所对应的连接数的和小于所述第一阈值时，屏蔽所述第一IP地址。

进一步，所述方法还包括：

当满足预置条件时，停止对所述第一IP地址的屏蔽。

本申请实施例还公开了一种网络攻击处理装置，包括：

获取单元，被配置为获取连接服务器的第一IP地址及所述第一IP地址对应的连接数；

判断单元，被配置为判断所述第一IP地址对应的连接数是否大于或等于第一阈值；

处理单元，被配置为当所述判断单元判定所述第一IP地址对应的连接数大于或等于第一阈值时，屏蔽连接至所述第一IP地址的源IP地址。

进一步，所述处理单元包括：

获取子单元，被配置为获取连接至所述第一IP地址的各源IP地址及所述各源IP地址对应的连接数；

判断子单元，被配置为判断所述各源IP地址中是否存在连接数大于或 等于第二阈值的源IP地址；

屏蔽子单元，被配置为当所述判断子单元判定所述各源IP地址中存在连接数大于或等于第二阈值的源IP地址时，屏蔽所述连接数大于或等于第二阈值的源IP地址。

进一步，所述处理单元还被配置为当所述各源IP地址中不存在连接数大于或等于所述第二阈值的源IP地址时，屏蔽所述第一IP地址。

进一步，所述屏蔽子单元包括：

下层判断子单元，被配置为判断所述连接数大于或等于第二阈值的源IP地址所对应的连接数的和是否大于或等于所述第一阈值；

下层屏蔽子单元，被配置为当所述下层判断子单元判定所述连接数大于或等于第二阈值的源IP地址所对应的连接数的和大于或等于所述第一阈值时，屏蔽所述连接数大于或等于第二阈值的源IP地址。

进一步，所述下层屏蔽子单元，还被配置为当所述连接数大于或等于第二阈值的源IP地址所对应的连接数的和小于所述第一阈值时，屏蔽所述第一IP地址。

与现有技术相比，本申请实施例包括以下优点：

本申请实施例通过检测连接服务器的IP地址的连接数，并在连接数超过一定阈值时，确认该IP地址受到网络攻击，然后对连接该受攻击的IP地址的全部或部分源IP地址进行屏蔽，不仅保证了服务器和网络的整体稳定性，而且，通过屏蔽源IP地址减小了对受攻击IP地址的业务影响，减小了对网站访问的影响。并且，该方法通过监测连接数来确认受攻击的IP地址，相对于现有技术中硬件防火墙、黑洞等的监测手段，可以更加准确的确定出网络攻击的对象，也更适应于虚拟主机本身的网络攻击防护。

附图说明

图1是本申请的一种网络攻击处理方法实施例的步骤流程图；

图2是本申请的另一种网络攻击处理方法实施例的步骤流程图；

图3是本申请的一种网络攻击处理装置实施例的结构框图；

图4是本申请实施例中一种处理单元的结构框图；

图5是本申请实施例中一种屏蔽子单元的结构框图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

参照图1，示出了本申请的一种网络攻击处理方法实施例的步骤流程图，具体可以包括如下步骤：

步骤101，获取连接服务器的第一IP地址及第一IP地址对应的连接数。

本申请实施例中，服务器上可以划分出多个虚拟主机，服务器可以通过公开的端口如80端口与各虚拟主机连接。

网络攻击处理装置可以是服务器本身，也可以是设置在服务器中的一装置，或者独立于服务器但可以与服务器进行通信的装置。

该装置不同于服务器的防火墙通过带宽等指标来检测各虚拟主机受到的网络攻击。本步骤中，该装置要获取连接在服务器上的各虚拟主机的IP地址，及各IP地址对应的连接数。其中，第一IP地址为其中任一连接在服务器上的虚拟主机的IP地址，“第一”仅为了表述方便，并非特指某一IP地址。第一IP地址对应的连接数是指所有源IP地址连接该第一IP地址的连接次数。

该装置可以定时获取该第一IP地址及其连接数，也可以实时监测获取该第一IP地址及其连接数。

步骤102，判断第一IP地址对应的连接数是否大于或等于第一阈值。

该装置在获得第一IP地址及其对应的连接数后，判断该连接数是否大于或等于预先设定的第一阈值。该第一阈值可以根据服务器的规模、虚拟主机的应用场景，及连接数经验值等设置，此处不做限定。

若该第一IP地址对应的连接数大于或等于第一阈值，则说明该第一IP地址受到网络攻击，进而执行步骤103；若小于该第一阈值，则说明该第一IP地址未受到网络攻击，处于安全状态。

步骤103，屏蔽连接至第一IP地址的源IP地址。

当第一IP地址对应的连接数大于或等于第一阈值时，在本实施例中不 是直接对该第一IP地址进行屏蔽，而是对连接至该第一IP地址的部分或全部源IP地址进行屏蔽。具体的，该装置可以根据连接至该第一IP地址的源IP地址的连接数来确定需要屏蔽的源IP地址。

该装置可以按照上述方法对所有连接在服务器上的虚拟主机的IP地址进行检测和处理。

本申请实施例通过检测连接服务器的IP地址的连接数，并在连接数超过一定阈值时，确认该IP地址受到网络攻击，然后对连接该受攻击的IP地址的全部或部分源IP地址进行屏蔽，不仅保证了服务器和网络的整体稳定性，而且，通过屏蔽源IP地址减小了对受攻击IP地址的业务影响，减小了对网站访问的影响。并且，该方法通过监测连接数来确认受攻击的IP地址，相对于现有技术中硬件防火墙、黑洞等的监测手段，可以更加准确的确定出网络攻击的对象，也更适应于虚拟主机本身的网络攻击防护。

参照图2，示出了本申请的另一种网络攻击处理方法实施例的步骤流程图，具体可以包括如下步骤：

步骤201，获取连接服务器的第一IP地址及第一IP地址对应的连接数。

步骤202，判断第一IP地址对应的连接数是否大于或等于第一阈值。

步骤201～202与前述实施例中的步骤101～102类似，此处不再赘述。

在本实施例中，当第一IP地址对应的连接数小于第一阈值时，该网络攻击处理装置确认该第一IP地址未受到网络攻击。

当第一IP地址对应的连接数大于或等于第一阈值时，该网络攻击处理装置需要屏蔽连接至第一IP地址的源IP地址，该过程具体可以包括以下步骤：

步骤203，获取连接至第一IP地址的各源IP地址及各源IP地址对应的连接数。

该装置进一步获取连接至该第一IP地址的各源IP地址及其对应的连接数，如源IP地址1，连接数为10；源IP地址2，连接数为100；源IP地址3，连接数为1000；......

步骤204，判断各源IP地址中是否存在连接数大于或等于第二阈值的源 IP地址。

该装置从上步骤获取的结果中，查看是否存在连接数大于或等于第二阈值的源IP地址，该第二阈值的设置方法与第一阈值类似。该第二阈值可以小于第一阈值。

若结果为不存在连接数大于或等于第二阈值的源IP地址，则该装置可以认为该第一IP地址遭到多个源IP地址的大规模攻击，无法判断来源。该情况下根据具体情况，可以直接屏蔽所有的源IP地址，也可以执行步骤205。

若结果为存在连接数大于或等于第二阈值的源IP地址，则该装置可以直接屏蔽这些连接数大于或等于第二阈值的源IP地址，也可以首先记录下这些连接数大于或等于第二阈值的源IP地址及其对应的连接数，如IP N1连接数Y1；IP N2连接数Y2；IP N3连接数Y3，然后执行步骤206。

步骤205，屏蔽第一IP地址。

在屏蔽第一IP地址后，可以进一步通知用户该第一IP地址被攻击，等待攻击结束。当检测到攻击结束后，或者满足预置条件时，可以自动停止对第一IP地址的屏蔽。

步骤206，判断连接数大于或等于第二阈值的源IP地址所对应的连接数的和是否大于或等于第一阈值。

该装置计算连接数大于或等于第二阈值的源IP地址所对应的连接数的和，例如Y1+Y2+Y3，然后判断该和是否大于或等于第一阈值。

若连接数的和大于或等于第一阈值，则说明该第一IP地址受到的网络攻击为少数源IP地址发起的网络攻击，此时可以执行步骤207。

若连接数的和小于该第一阈值，则说明该第一IP地址遭到多个源IP地址的大规模攻击，无法判断来源。该情况下根据具体情况，可以直接屏蔽所有的源IP地址，也可以执行步骤205。

步骤207，屏蔽连接数大于或等于第二阈值的源IP地址。

在屏蔽了源IP地址后，可以通知用户攻击防护成功，用户可以继续访问该第一IP地址。

本实施例通过对网络连接数进行监控，根据连接数的情况确定网络攻击 的规模与来源，并根据不同的网络攻击情况，分别对发起攻击的源IP地址或被攻击的IP地址做屏蔽操作，如对于少量IP发起的大规模攻击，可以通过采取屏蔽这部分IP的方式予以防御；对于不能判断是由少量IP发起的攻击则对被攻击IP进行屏蔽，保护服务器和整体网络，从而达到保护服务器整体稳定和安全的目的。该方法对被攻击的IP地址不是单纯的从虚拟主机的防火墙端屏蔽，而是根据攻击来源定量的进行分析处理，该方法可以更加准确的确定出网络攻击的对象并进行对应的防护处理。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请实施例并不受所描述的动作顺序的限制，因为依据本申请实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本申请实施例所必须的。

参照图3，示出了本申请一种网络攻击处理装置实施例的结构框图，具体可以包括如下单元：

获取单元301，被配置为获取连接服务器的第一IP地址及所述第一IP地址对应的连接数。

判断单元302，被配置为判断所述第一IP地址对应的连接数是否大于或等于第一阈值。

处理单元303，被配置为当所述判断单元302判定所述第一IP地址对应的连接数大于或等于第一阈值时，屏蔽连接至所述第一IP地址的源IP地址。

该装置通过上述单元检测连接服务器的IP地址的连接数，并在连接数超过一定阈值时，确认该IP地址受到网络攻击，然后对连接该受攻击的IP地址的全部或部分源IP地址进行屏蔽，不仅保证了服务器和网络的整体稳定性，而且，通过屏蔽源IP地址减小了对受攻击IP地址的业务影响，减小了对网站访问的影响。并且，该装置通过监测连接数来确认受攻击的IP地址，相对于现有技术中硬件防火墙、黑洞等的监测手段，可以更加准确的确定出网络攻击的对象，也更适应于虚拟主机本身的网络攻击防护。

在另一实施例中，如图4所示，处理单元303可以进一步包括：

获取子单元401，被配置为获取连接至所述第一IP地址的各源IP地址及所述各源IP地址对应的连接数；

判断子单元402，被配置为判断所述各源IP地址中是否存在连接数大于或等于第二阈值的源IP地址；

屏蔽子单元403，被配置为当所述判断子单元402判定所述各源IP地址中存在连接数大于或等于第二阈值的源IP地址时，屏蔽所述连接数大于或等于第二阈值的源IP地址。

在另一实施例中，该处理单元303还被配置为当所述各源IP地址中不存在连接数大于或等于所述第二阈值的源IP地址时，屏蔽所述第一IP地址。

在另一实施例中，如图5所示，该屏蔽子单元403可以进一步包括：

下层判断子单元501，被配置为判断所述连接数大于或等于第二阈值的源IP地址所对应的连接数的和是否大于或等于所述第一阈值；

下层屏蔽子单元502，被配置为当所述下层判断子单元501判定所述连接数大于或等于第二阈值的源IP地址所对应的连接数的和大于或等于所述第一阈值时，屏蔽所述连接数大于或等于第二阈值的源IP地址。

该下层屏蔽子单元502，还可以被配置为当所述连接数大于或等于第二阈值的源IP地址所对应的连接数的和小于所述第一阈值时，屏蔽所述第一IP地址。

该装置通过对网络连接数进行监控，根据连接数的情况确定网络攻击的规模与来源，并根据不同的网络攻击情况，分别对发起攻击的源IP地址或被攻击的IP地址做屏蔽操作，如对于少量IP发起的大规模攻击，可以通过采取屏蔽这部分IP的方式予以防御；对于不能判断是由少量IP发起的攻击则对被攻击IP进行屏蔽，保护服务器和整体网络，从而达到保护服务器整体稳定和安全的目的。该装置对被攻击的IP地址不是单纯的从虚拟主机的防火墙端屏蔽，而是根据攻击来源定量的进行分析处理，该装置可以更加准确的确定出网络攻击的对象并进行对应的防护处理。

本申请实施例还公开了一种服务器，包括存储器和处理器。

处理器与存储器通过总线相互连接；总线可以是ISA总线、PCI总线或 EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。

其中，存储器用于存储一段程序，具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

处理器用于读取存储器中的程序代码，执行以下步骤：

获取连接服务器的第一IP地址及所述第一IP地址对应的连接数；

判断所述第一IP地址对应的连接数是否大于或等于第一阈值；

若是，则屏蔽连接至所述第一IP地址的源IP地址。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

在一个典型的配置中，所述计算机设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存 取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非持续性的电脑可读媒体(transitory media)，如调制的数据信号和载波。

本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本申请所提供的一种网络攻击处理方法和一种网络攻击处理装置，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。