一種防御拒絕服務(wù)攻擊的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種防御拒絕服務(wù)攻擊的方法,包括以下步驟:在接入網(wǎng)絡(luò)階段以及進(jìn)行TCP連接握手階段,分別根據(jù)預(yù)設(shè)攔截策略攔截惡意接入IP;利用設(shè)置在路由器與WEB服務(wù)器之間的負(fù)載均衡服務(wù)器的代理機(jī)制屏蔽惡意接入IP;監(jiān)控所述WEB服務(wù)器的負(fù)載,當(dāng)所述WEB服務(wù)器的負(fù)載超過閾值時(shí),向云主機(jī)申請?zhí)摂M資源,加入到所述負(fù)載均衡服務(wù)器中分擔(dān)流量。本發(fā)明還提供了一種防御拒絕服務(wù)攻擊的系統(tǒng)。本發(fā)明從網(wǎng)絡(luò)接入開始設(shè)置合理的策略阻止惡意用戶的接入,并且利用負(fù)載均衡中的代理程序?qū)崿F(xiàn)進(jìn)一步的防御,而且WEB資源可以在負(fù)載均衡機(jī)制下在面對攻擊時(shí)自適應(yīng)地調(diào)整,實(shí)現(xiàn)對惡意攻擊的有效防御。
【專利說明】一種防御拒絕服務(wù)攻擊的方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】,尤其涉及一種防御拒絕服務(wù)攻擊的方法及系統(tǒng)。
【背景技術(shù)】
[0002]目前,拒絕服務(wù)(DOS,Denial of Service)攻擊在眾多網(wǎng)絡(luò)攻擊技術(shù)中是一種簡單有效且具有很大危害性的攻擊方法,它通過各種手段消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源,或者攻擊系統(tǒng)缺陷,使得系統(tǒng)的正常服務(wù)陷于癱瘓狀態(tài),不能對正常用戶提供服務(wù),從而實(shí)現(xiàn)拒絕正常用戶訪問服務(wù)。
[0003]隨著網(wǎng)絡(luò)設(shè)備性能越來越高、帶寬越來越大,出現(xiàn)了一種基于DOS攻擊的特殊形式-分布式拒絕服務(wù)(DDOS,Distributed Denial of Service)攻擊,攻擊者將多臺受控制的計(jì)算機(jī)聯(lián)合起來向目標(biāo)計(jì)算機(jī)發(fā)起DOS攻擊,使得傳統(tǒng)的DOS攻擊防范已經(jīng)不能對用戶提供很好的安全保障。DDOS惡意攻擊在當(dāng)前的網(wǎng)絡(luò)環(huán)境中越來越猖獗,特別是在云計(jì)算環(huán)境下的攻擊威脅更大,對用戶造成了巨大的損失。
[0004]SYN Flood是常見且最有效的DDoS攻擊之一,它是利用TCP協(xié)議中的建立連接的三次握手方法中的缺陷和IP欺騙技術(shù),通過發(fā)送大量偽造的TCP連接請求,使得被攻擊方資源耗盡。面對SYN Flood攻擊,目前DDoS防御方法主要有特征匹配和資源比拼兩大類。其中資源比拼方法主要是通過防御設(shè)備自身的運(yùn)算和存儲能力,以較小的代價(jià)消耗攻擊者的攻擊資源,常見資源比拼方法有SYN Proxy、SYN Cache和SYN Cookie三種。
[0005]現(xiàn)有防御方法一般是通過修改內(nèi)核參數(shù)實(shí)現(xiàn)資源緩解,包括以下方法:
[0006]1、啟用SYN Cookie緩解服務(wù)器資源壓力,也即將內(nèi)核參數(shù)net.1pv4.tcp_syncookies的值設(shè)置為I ;
[0007]2、修改tcp_max_syn_backlog參數(shù),使用服務(wù)器的內(nèi)存資源,換取更大的等待隊(duì)列長度,讓攻擊數(shù)據(jù)包不至于占滿所有連接而導(dǎo)致正常用戶無法完成握手;
[0008]3、修改net.1pv4.tcp_synack_retries參數(shù),降低服務(wù)器SYN+ACK報(bào)文重試次數(shù),盡快釋放等待資源。
[0009]除了定制TCP/IP協(xié)議棧之外,還有一種常見做法是TCP首包丟棄方法,當(dāng)接到一個(gè)SYN報(bào)文后比對黑白名單,根據(jù)比對結(jié)果執(zhí)行丟棄或轉(zhuǎn)發(fā)等操作。
[0010]雖然上述防御方法在一定程序上起到了防御作用,但傳統(tǒng)的防御技術(shù)比較單一,對于各種類型的組合攻擊防御能力比較低。同時(shí),定制TCP/IP協(xié)議棧的難度比較大,不具有通用性;而利用黑名單阻止惡意攻擊的方式容易產(chǎn)生誤傷的情況,也即可能存在將正常的程序或用戶拉入黑名單的情況,防御準(zhǔn)確性不高。
【發(fā)明內(nèi)容】
[0011]本發(fā)明針對上述問題,提出了一種防御拒絕服務(wù)攻擊的方法及系統(tǒng),從接入網(wǎng)絡(luò)、負(fù)載均衡和Web服務(wù)器三個(gè)角度構(gòu)建了多方位的防護(hù)體系,更好的實(shí)現(xiàn)安全保障。
[0012]在一個(gè)方面,本發(fā)明提供了一種防御拒絕服務(wù)攻擊的方法,包括以下步驟:[0013]在接入網(wǎng)絡(luò)階段以及進(jìn)行TCP連接握手階段,分別根據(jù)預(yù)設(shè)攔截策略攔截惡意接入IP ;
[0014]利用設(shè)置在路由器與WEB服務(wù)器之間的負(fù)載均衡服務(wù)器的代理機(jī)制屏蔽惡意接入IP ;
[0015]監(jiān)控WEB服務(wù)器的負(fù)載,當(dāng)WEB服務(wù)器的負(fù)載超過閾值時(shí),向云主機(jī)申請?zhí)摂M資源,加入到負(fù)載均衡服務(wù)器中分擔(dān)流量。
[0016]在另一個(gè)方面,本發(fā)明提供了一種防御拒絕服務(wù)攻擊的系統(tǒng),包括:
[0017]攔截模塊,用于在接入網(wǎng)絡(luò)階段以及TCP連接握手階段,分別根據(jù)預(yù)設(shè)攔截策略攔截惡意接入IP ;
[0018]代理模塊,用于利用代理機(jī)制屏蔽惡意接入IP ;
[0019]負(fù)載監(jiān)控模塊,用于監(jiān)控WEB服務(wù)器的負(fù)載;
[0020]資源分配模塊,用于當(dāng)WEB服務(wù)器的負(fù)載超過閾值時(shí),向云主機(jī)申請?zhí)摂M資源,力口入申請到的虛擬資源以分擔(dān)流量。
[0021]本發(fā)明從網(wǎng)絡(luò)接入開始設(shè)置合理的策略阻止惡意用戶的接入,并且利用負(fù)載均衡中的代理程序?qū)崿F(xiàn)進(jìn)一步的防御,而且web資源可以在負(fù)載均衡機(jī)制下在面對攻擊時(shí)自適應(yīng)地調(diào)整,實(shí)現(xiàn)對惡意攻擊的有效防御。
【專利附圖】
【附圖說明】
[0022]下面將參照附圖描述本發(fā)明的具體實(shí)施例,其中:
[0023]圖1示出了本發(fā)明實(shí)施例的防御拒絕服務(wù)攻擊方法的方法流程圖;
[0024]圖2示出了本發(fā)明實(shí)施例的防御體系結(jié)構(gòu)示意圖;
[0025]圖3示出了本發(fā)明實(shí)施例負(fù)載均衡服務(wù)器的代理原理示意圖;
[0026]圖4示出了本發(fā)明實(shí)施例的另一防御體系結(jié)構(gòu)示意圖;
[0027]圖5示出了本發(fā)明實(shí)施例的防御拒絕服務(wù)攻擊系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0028]為了使本發(fā)明的技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖對本發(fā)明的示例性實(shí)施例進(jìn)行進(jìn)一步詳細(xì)的說明,顯然,所描述的實(shí)施例僅是本發(fā)明的一部分實(shí)施例,而不是所有實(shí)施例的窮舉。
[0029]本發(fā)明從網(wǎng)絡(luò)接入開始設(shè)置合理的策略阻止惡意用戶的接入,并且利用負(fù)載均衡中的代理程序?qū)崿F(xiàn)進(jìn)一步的防御,而且web資源可以在負(fù)載均衡機(jī)制下在面對攻擊時(shí)自適應(yīng)地調(diào)整,實(shí)現(xiàn)對惡意攻擊的有效防御。所謂負(fù)載均衡是指在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上,利用負(fù)載均衡策略擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量,加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力,提高網(wǎng)絡(luò)的靈活性和可用性。
[0030]本發(fā)明實(shí)施例提供了一種防御拒絕服務(wù)攻擊的方法,圖1示出了該防御方法的方法流程圖,具體包括以下步驟:
[0031]S101、在接入網(wǎng)絡(luò)階段,通過預(yù)先設(shè)置接入策略對惡意互聯(lián)網(wǎng)協(xié)議(IP,InternetProtocol)地址攔截,屏蔽該惡意IP的網(wǎng)絡(luò)接入。例如,利用黑白名單,將不符合網(wǎng)絡(luò)接口的惡意IP攔截,并將其放到黑名單中;也可以將數(shù)據(jù)包的包頭數(shù)量大于一定閾值的數(shù)據(jù)包作為惡意攻擊進(jìn)行攔截。
[0032]S102、在TCP連接進(jìn)行三次握手階段,再次進(jìn)行攔截,攔截方式可以采用黑白名單或其他各種攔截方式,本發(fā)明對此不作限制。
[0033]由于一些拒絕服務(wù)攻擊是利用TCP客戶機(jī)與服務(wù)器之間三次握手過程的缺陷來進(jìn)行的,本發(fā)明實(shí)施例在握手階段再次設(shè)置攔截機(jī)制,可以檢查在單位時(shí)間內(nèi)收到的SYN連接是否超過預(yù)設(shè)的閾值。如果單位時(shí)間內(nèi)收到大量的SYN數(shù)據(jù)包時(shí),通知防火墻阻斷連接請求或直接丟棄這些數(shù)據(jù)包,最后將這些被攔截下來的IP加入黑名單內(nèi)。
[0034]本發(fā)明實(shí)施例將接入網(wǎng)絡(luò)階段沒有成功攔截的惡意IP攔截下來,從而降低內(nèi)存消耗,減少被攻擊主機(jī)的性能損失。
[0035]S103、在路由器與WEB服務(wù)器之間部署負(fù)載均衡服務(wù)器的代理機(jī)制來屏蔽各種惡意接入,從而提升被攻擊主機(jī)的性能。
[0036]圖2示出了本發(fā)明實(shí)施例的防御體系結(jié)構(gòu)示意圖。首先,訪問IP通過互聯(lián)網(wǎng)服務(wù)提供商(ISP, Internet Service Provider)接入互聯(lián)網(wǎng),再經(jīng)過路由器的攔截。本發(fā)明實(shí)施例在路由器與WEB服務(wù)器之間根據(jù)實(shí)際訪問需求的數(shù)量設(shè)置一個(gè)或多個(gè)負(fù)載均衡服務(wù)器,當(dāng)訪問IP通過路由器之后,由負(fù)載均衡服務(wù)器的代理機(jī)制再次進(jìn)行攔截防御。
[0037]負(fù)載均衡服務(wù)器的代理機(jī)制的原理圖如圖3所示。在客戶端Client與服務(wù)器資源Resource之間建立正常的網(wǎng)絡(luò)連接時(shí),客戶端首先發(fā)出一個(gè)與服務(wù)器建立連接的請求(SYN報(bào)文)。其中,SYN(全稱為synchronous)是TCP/IP建立連接時(shí)使用的握手信號。SYN代理(SYN Proxy)接收到該SYN消息后,先代替服務(wù)器向客戶端回應(yīng)正常的SYN ACK報(bào)文。如果收到客戶端回應(yīng)的ACK報(bào)文,則認(rèn)為該TCP連接請求通過SYN代理的驗(yàn)證。然后SYN代理再向服務(wù)器發(fā)送同樣的SYN報(bào)文,待收到服務(wù)器的SYN ACK報(bào)文后再發(fā)送回應(yīng)的ACK報(bào)文至服務(wù)器,完成連接建立。
[0038]當(dāng)訪問IP通過負(fù)載均衡服務(wù)器的代理機(jī)制后,即可分發(fā)到相應(yīng)的WEB服務(wù)器上獲取資源。
[0039]S104、監(jiān)控WEB服務(wù)器的負(fù)載變化情況,當(dāng)WEB服務(wù)器的負(fù)載過高時(shí),向云主機(jī)申請?zhí)摂M資源。對WEB服務(wù)器的負(fù)載變化情況進(jìn)行監(jiān)控可以通過監(jiān)控CPU利用率、內(nèi)存利用率等實(shí)現(xiàn),本領(lǐng)域技術(shù)人員也可以對負(fù)載的其他具體內(nèi)容進(jìn)行監(jiān)控,本發(fā)明對此不作限制。
[0040]云主機(jī)根據(jù)申請請求生成相應(yīng)的虛擬資源,當(dāng)獲取到從云主機(jī)獲得的虛擬資源后,加入到負(fù)載均衡服務(wù)器中來分擔(dān)流量。圖4示出了得到虛擬資源并加入到負(fù)載均衡服務(wù)器后的結(jié)構(gòu)示意圖,虛線連接的WEB服務(wù)器為新申請得到的虛擬資源。
[0041]基于同一發(fā)明構(gòu)思,本發(fā)明實(shí)施例還提供了一種防御拒絕服務(wù)攻擊的系統(tǒng),如圖5所示,包括:
[0042]攔截模塊201,用于在接入網(wǎng)絡(luò)階段以及進(jìn)行TCP連接握手階段,分別根據(jù)預(yù)設(shè)攔截策略對訪問IP進(jìn)行檢測,攔截惡意接入IP。本發(fā)明實(shí)施例預(yù)先設(shè)置的攔截策略可以是利用黑名單、白名單的方式對網(wǎng)絡(luò)接口或數(shù)據(jù)包進(jìn)行攔截,也可以是判斷數(shù)據(jù)包大小超過一定閾值時(shí)進(jìn)行攔截,本發(fā)明對具體的攔截策略不作限制。
[0043]代理模塊202,用于利用SYN代理機(jī)制屏蔽惡意接入IP。
[0044]負(fù)載監(jiān)控模塊203,用于監(jiān)控WEB服務(wù)器的負(fù)載,這里所說的負(fù)載可以是CPU利用率,也可以是內(nèi)存利用率,本發(fā)明對此不作限制。[0045]資源分配模塊204,用于負(fù)載監(jiān)控模塊203監(jiān)控到WEB服務(wù)器的負(fù)載超過預(yù)先設(shè)置的閾值時(shí),向云主機(jī)申請?zhí)摂M資源。將申請到的虛擬資源加入進(jìn)來,以分擔(dān)流量,緩解負(fù)載壓力。
[0046]本發(fā)明所提供的防御拒絕服務(wù)攻擊的方法及系統(tǒng),從網(wǎng)絡(luò)接入階段有效阻止惡意IP連接,并且進(jìn)一步利用負(fù)載均衡服務(wù)器的代理機(jī)制進(jìn)行攔截,層層保護(hù)。除此之外,當(dāng)出現(xiàn)負(fù)載過高時(shí),還可以利用負(fù)載均衡機(jī)制自適應(yīng)的調(diào)整WEB資源,緩解資源壓力。
[0047]以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對其進(jìn)行限制。因此,在不背離本發(fā)明的精神及其實(shí)質(zhì)的情況下,本領(lǐng)域技術(shù)人員可作出各種改變、替換和變型。很顯然,但這些改變、替換和變型都應(yīng)涵蓋于本發(fā)明權(quán)利要求的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種防御拒絕服務(wù)攻擊的方法,其特征在于,包括以下步驟: 在接入網(wǎng)絡(luò)階段以及進(jìn)行TCP連接握手階段,分別根據(jù)預(yù)設(shè)攔截策略攔截惡意接入IP ; 利用設(shè)置在路由器與WEB服務(wù)器之間的負(fù)載均衡服務(wù)器的代理機(jī)制屏蔽惡意接入IP ;監(jiān)控所述WEB服務(wù)器的負(fù)載,當(dāng)所述WEB服務(wù)器的負(fù)載超過閾值時(shí),向云主機(jī)申請?zhí)摂M資源,加入到所述負(fù)載均衡服務(wù)器中分擔(dān)流量。
2.如權(quán)利要求1所述的防御拒絕服務(wù)攻擊的方法,其特征在于,所述攔截策略為利用黑名單方式對網(wǎng)絡(luò)接口進(jìn)行攔截,或者通過判斷數(shù)據(jù)包數(shù)量超過閾值進(jìn)行攔截。
3.如權(quán)利要求1所述的防御拒絕服務(wù)攻擊的方法,其特征在于,設(shè)置在路由器與WEB服務(wù)器之間的負(fù)載均衡服務(wù)器根據(jù)實(shí)際訪問需求可以為一個(gè)或多個(gè)。
4.如權(quán)利要求1所述的防御拒絕服務(wù)攻擊的方法,其特征在于,所述監(jiān)控所述WEB服務(wù)器的負(fù)載是通過監(jiān)控CPU利用率和/或內(nèi)存利用率實(shí)現(xiàn)。
5.一種防御拒絕服務(wù)攻擊的系統(tǒng),其特征在于,包括: 攔截模塊,用于在接入網(wǎng)絡(luò)階段以及TCP連接握手階段,分別根據(jù)預(yù)設(shè)攔截策略攔截惡意接入IP ; 代理模塊,用于利用代理機(jī)制屏蔽惡意接入IP ; 負(fù)載監(jiān)控模塊,用于監(jiān)控WEB服務(wù)器的負(fù)載; 資源分配模塊,用于當(dāng)所述WEB服務(wù)器的負(fù)載超過閾值時(shí),向云主機(jī)申請?zhí)摂M資源,力口入申請到的虛擬資源以分擔(dān)流量。
6.如權(quán)利要求5所述的防御拒絕服務(wù)攻擊的系統(tǒng),其特征在于,所述攔截模塊利用黑名單方式對網(wǎng)絡(luò)接口進(jìn)行攔截,或者判斷數(shù)據(jù)包數(shù)量超過閾值進(jìn)行攔截。
7.如權(quán)利要求5所述的防御拒絕服務(wù)攻擊的系統(tǒng),其特征在于,所述負(fù)載監(jiān)控模塊用于監(jiān)控WEB服務(wù)器的CPU利用率和/或內(nèi)存利用率。
【文檔編號】H04L12/803GK103685315SQ201310745023
【公開日】2014年3月26日 申請日期:2013年12月30日 優(yōu)先權(quán)日:2013年12月30日
【發(fā)明者】韓曦 申請人:曙光云計(jì)算技術(shù)有限公司