CN101127649B - 一种防御网络攻击的方法和系统 - Google Patents
一种防御网络攻击的方法和系统 Download PDFInfo
- Publication number
- CN101127649B CN101127649B CN2007101642246A CN200710164224A CN101127649B CN 101127649 B CN101127649 B CN 101127649B CN 2007101642246 A CN2007101642246 A CN 2007101642246A CN 200710164224 A CN200710164224 A CN 200710164224A CN 101127649 B CN101127649 B CN 101127649B
- Authority
- CN
- China
- Prior art keywords
- server
- duty
- resource
- control module
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000012544 monitoring process Methods 0.000 claims description 21
- 238000013468 resource allocation Methods 0.000 claims description 17
- 238000001914 filtration Methods 0.000 claims description 13
- 238000009826 distribution Methods 0.000 claims description 4
- 238000011084 recovery Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 7
- 206010033799 Paralysis Diseases 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及防御网络攻击,尤其涉及一种防御网络攻击的技术。一种防御网络攻击的系统,包括过滤器、路由器,还包括:至少两个服务器,所述至少两个服务器中包括参与网站运行的值班服务器和所述值班服务器的备用服务器;第一连接控制模块、第二连接控制模块和前端控制模块,所述前端控制模块用于通过所述第二连接控制模块监测到值班服务器的资源消耗超过设定值后,通知所述第一连接控制模块将选中的备用服务器替换为值班服务器,通知过滤器过滤攻击流量。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种防御网络攻击的技术。
背景技术
DoS(Denial of Service,拒绝服务)是目前常见的网络攻击方法之一,目的就是拒绝网站的服务访问,使部分甚至全部合法用户(相对于对网站进行DoS攻击的黑客而言)不能正常获得网站的服务。DDoS(Distributed Denial ofService,分布式拒绝服务攻击)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布协作的大规模攻击方式。
P2P(peer-to-peer network对等网络)网络是一种能够实现网络中任意节点之间直接互连共享信息资源、处理器资源、存储器资源等的网络结构。资源不再是仅存在于几个主要的服务器上,而是存在于每个节点主机上。P2P网络中的每个节点的地位是对等的,各节点具有相同的责任和能力并协同完成任务。网络中各节点主机之间的通信主要依靠其他中间节点来实现,每个节点都有转发的功能和义务,而且多数采用群发机制,因此P2P网络具有天然的传播性,更容易遭受并且易被利用发动DoS或DDoS攻击。
目前P2P领域中应用最广泛的文件共享类软件,攻击者完全可以通过加入到P2P软件网络中,直接利用一定的手段向连接的其它接点上传攻击程序及发送命令信息,使连接到攻击者的节点都成为傀儡主机,大大提高了DDoS攻击发动的容易程度;如果该P2P软件用户数量庞大,那么引发的DDoS攻击危害性无疑更加强大。
在现有技术中防御DoS或DDoS攻击的一个技术方案如图1所示,监控可能成为攻击目标的主机或网络(目标服务器)的通信流量,一旦识别出对目标主机或网络造成攻击威胁的流量,便启动通信过滤器,过滤掉有害的通信流量,即攻击流量,达到阻止对目标进行攻击活动的目的。但是这种攻击防御方法也是在遭遇数次攻击之后才得到攻击流量的特征,而在得到攻击流量的特征之前受攻击的目标就有可能已经瘫痪了,不能阻止攻击者使用其他类型的DoS、DDoS攻击方式发动攻击,因此对网络运行影响很大。
现有技术中防御DoS、DDoS攻击的另一个方案是采用主动反击的方法如图2所示,在目标服务器遭到攻击后,通过向攻击流量的数据包中添加与路径信息有关的标记,从而根据数据包中的路径信息来获得攻击流量的路径,获得攻击者的路径信息,找到攻击者。但是对于这种追踪方法,一旦攻击者使用伪造的源IP地址躲避追查,或者控制傀儡机进行攻击时,则查找攻击者是非常困难的。例如图3所示,如果A使用了伪造的源IP地址,那么根据路径信息的记录至多可以追查到A所在的子网S,但是无法确定该子网内究竟是哪台主机发动的攻击。进一步,如果A采用的伪源IP地址为同一子网内的主机B的IP地址,那么B势必会被锁定为攻击者,造成错误的追踪,也会影响到网络的正常运行。
发明内容
本发明实施例提供了一种防御网络攻击的系统和方法以及一种前端控制模块,以减少发生网络攻击时对网络的影响。
一种防御网络攻击的系统,包括过滤器、路由器,还包括:
至少两个服务器,所述至少两个服务器中包括参与网站运行的值班服务器和所述值班服务器的备用服务器;
第一连接控制模块、第二连接控制模块和前端控制模块,所述前端控制模块用于通过所述第二连接控制模块监测到值班服务器的资源消耗超过设定值后,通知所述第一连接控制模块将选中的备用服务器替换为值班服务器,通知过滤器过滤攻击流量。
一种用于上述系统中的前端控制模块,包括:
监控子模块,用于监测到值班服务器资源消耗超过设定值时,产生资源报警信号;
主控子模块,用于根据从所述监控子模块接收的资源报警信号,发送值班服务器替换命令、攻击流量过滤命令以及资源重新分配命令;
值班服务器替换子模块,用于根据从所述主控子模块接收的值班服务器替换命令通知备用服务器替换为值班服务器;
攻击流量过滤控制子模块,用于根据从所述主控子模块接收的攻击流量过滤命令,控制过滤器过滤掉攻击流量。
一种通过上述系统防御网络攻击的方法,包括:
监测运行的服务器,当运行的服务器资源消耗超过设定值后,启用备用服务器替换为新运行的服务器;
过滤掉攻击主机的IP地址对应的流量。
本发明实施例由于采用多个服务器轮流工作的方法,在受到DoS、DDoS攻击的时候,用备用服务器替换下资源消耗过大的值班服务器,从而有效地躲避了DoS、DDoS攻击。
本发明实施例由于采用回收攻击者占有资源的方法,解除了攻击者对当前服务器的资源的占用,使得网站资源在遭受到DoS、DDoS攻击后不继续受攻击者影响,网站可以正常运行,从而减少了网络攻击对网络造成的影响。
附图说明
图1为现有技术一的防御Dos、DDos攻击的方案示意图;
图2为现有技术二的根据路径信息追踪攻击者的示意图;
图3为现有技术二的追踪攻击与防追踪的方案示意图;
图4a为本发明实施例的基于SWIT的DoS、DDoS攻击防御方案体系结构图;
图4b为本发明实施例的前端控制模块内部结构框图;
图5为本发明实施例的防御DoS、DDoS攻击的方法流程图;
图6为本发明实施例的启动备用服务器躲避攻击的方法流程图;
图7为本发明实施例的服务器组环形队列图;
图8为本发明实施例的新任SOD与现任SOD替换的方法的流程图;
图9为本发明实施例的实现SOD转移的方法流程图。
具体实施方式
本发明实施例提供的SWIT(Servers Working In Turn,服务器轮转工作)的方法是,除了正在运行的值班服务器之外,设置几台备用服务器,即用一组服务器取代原来单独的服务器,然后令服务器组中的服务器根据一定的规则轮流工作,躲避DoS、DDoS攻击,达到服务器不被DoS、DDoS攻击击垮的目的,从而减少网络攻击对网络造成的影响。
一种基于SWIT的DoS、DDoS攻击防御方案体系结构如图4a所示,整个体系结构分为内部组织400和外部网络410两部分。内部组织400在网站的服务器端,整个内部组织400包括:前端控制模块406、第一连接控制模块403、服务器组402、第二连接控制模块401、过滤器404、路由器405。
服务器组402,包括一台现任值班服务器SOD(Server on duty,值班服务器)以及几台备用服务器SIS(Server in support,备用服务器)。现任值班服务器SOD参与网站运行,接收用户的数据流量,处理外部请求。服务器组402中的每个服务器都有编号,以示区别。服务器组402取代了原来单独的服务器,服务器组402中的服务器根据一定的规则轮流工作,躲避DoS、DDoS攻?击,达到不被DoS、DDoS攻击击垮的目的。服务器组402中的服务器可以是多个单独的服务器设备,也可以是在一个服务器设备中设置的多个具有类似服务器功能的单元。
第二连接控制模块401,与服务器组402中的所有服务器相连通,使得服务器组402中的所有服务器可以通过第二连接控制模块401传递信息,并共享网站信息。
第一连接控制模块403,与服务器组402中的值班服务器SOD相连。SOD通过第一连接控制模块403与过滤器404连接,接收从外部网络410发送的数据流量,处理外部请求。当网站受到攻击流量攻击,威胁到网站安全的时候,第一连接控制模块403被用以控制一台从备用服务器SIS中选出的新的值班服务器SOD与过滤器连接,断开资源消耗超过设定值的值班服务器与过滤器的连接。这时这台备用服务器SIS就成为了新任SOD。
过滤器404,通过第一连接控制模块403与当前的值班服务器SOD连接。该过滤器404其实就是防火墙,用以在网站受到攻击流量攻击的时候过滤掉攻击流量,缓解SOD的压力。
路由器405,与过滤器404相连,并与外部网络410相连,是内部组织400与外部网络410连接的接口处。路由器405传递数据流量,并获得流量信息。路由器405监测每个IP地址对应的流量速率,统计和总结一个合法用户具有的最大流量速的范围。这样,在攻击发生时,可以将超过此范围的流量对应的IP地址视为攻击主机的IP地址,并将攻击主机的流量全部过滤掉。
前端控制模块406,与第二连接控制模块401相连,通过第二连接控制模块401监控当前的值班服务器SOD资源消耗信息;前端控制模块406与第一连接控制模块403相连,通过第一连接控制模块403控制服务器组402中的服务器与过滤器404的接通与断开;前端控制模块406与过滤器404连接,控制过滤器404过滤攻击流量;前端控制模块406与路由器405连接,通过路由器405获取流量统计信息。
前端控制模块内部结构框图如图4b所示,包括:监控子模块421、主控子模块423、值班服务器替换子模块422、攻击流量过滤控制子模块424,还可以包括重新分配控制子模块425。
监控子模块421通过第二连接控制模块401监视SOD的资源消耗信息,并记录该SOD在服务器组中的序号b(before)。当攻击者发动DoS或DDoS攻击时,攻击流量通过路由器405、过滤器404发送到SOD。SOD因遭受DoS或DDoS攻击,资源占用量急剧增加,超过资源占用量阀值m。监控子模块421监测到此信息产生资源报警信号,将资源报警信号以及SOD的序号b发送给主控子模块423。
主控子模块423接收到监控子模块421发送的资源报警信号后,向值班服务器替换子模块422发出替换命令。
值班服务器替换子模块422接收到替换命令后,根据现任SOD的序号b(before),确定下任SOD的序号a(after),并通知第一连接控制模块403接通a号服务器,断开b号服务器,这时下任SOD接替了现任SOD成为新任SOD继续网站的运行,现任SOD成为前任SOD(Pre-SOD,PSOD)退出网站的运行,从而避免了在DoS或DDoS攻击下SOD因资源消耗完毕而瘫痪,此时的PSOD资源消耗超过了阀值m。
主控子模块423向攻击流量过滤控制子模块424发出过滤攻击流量的命令以及攻击主机的IP地址。
攻击流量过滤控制子模块424在接收到主控子模块423的过滤攻击流量的命令后,从路由器405获取即时的流量信息,得到攻击流量对应的IP地址,及攻击主机的IP地址,攻击流量过滤控制子模块424向过滤器404发送过滤命令,过滤器404过滤掉攻击流量。
主控子模块423还可以向重新分配控制子模块425发出重新分配资源的命令以及攻击主机的IP地址。
重新分配控制子模块425接收到主控子模块423的重新分配资源的命令后,通过第二连接控制模块401通知服务器组402中所有资源消耗超过了阀值m的服务器以及新的值班服务器SOD根据攻击主机的IP地址,回收分配给该IP地址的资源。除新的值班服务器SOD外,所有服务器组402中的资源消耗超过了阀值m的服务器将执行完资源回收之后的资源分配信息传递给新的SOD,并释放本服务器的资源,新的SOD接收新的资源分配信息后为合法用户重新分配资源。
这时新任的SOD中仅为合法用户分配了资源,同时被替换的PSOD释放了所有分配的资源,再次成为备用服务器SIS,以备下次的替换。而新任的SOD不会再为攻击主机的IP分配资源,同时过滤器也过滤了攻击主机IP的攻击流量。如此,攻击者发动的DoS或DDoS攻击对网站将不再产生影响,网站可以继续为合法用户提供服务。
在实际实施该方案的时候,服务器个数的设置也是值得注意的地方。因考虑到满足正常用户的合法请求,SOD退出服务后其已分配的资源不能武断的全部收回(如果这样,攻击期间接受的合法用户请求也将被全部清除,出现了合法用户得不到服务的情况,达到了DoS、DDoS攻击者的目的),同时也不能草率的将这部分资源分配信息一成不便地转交给新任SOD(因为SOD退出服务的原因就是由于其资源占用量已对网站正常运行构成威胁,如果再要新任SOD为这些请求分配同样的资源,势必极有可能导致连续不断的SOD转移,加大服务器瘫痪的概率),这样如果服务器个数过少,就会导致因没有足够的服务器参与SOD的替换,而导致服务器全部瘫痪。但是从经济因素的角度来讲,服务器的个数也不能无限制增多。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤,所述的存储介质,如:ROM/RAM、磁碟、光盘等。
本发明实施例的一种防御DoS、DDoS攻击的方法如图5所示,包括如下步骤:
步骤S500:开始。
步骤S501:监视SOD资源消耗信息。
前端控制模块406的监控子模块421通过第二连接控制模块401监视值班服务器SOD的资源消耗信息,即SOD的资源占用比。资源占用比指的是服务器分配给用户的资源与服务器的所有资源的比例。
步骤S502:判断资源占用比是否超过m值。
对于SOD的资源占用比设了一个阀值m,当判断资源占用比超过了该阀值就认为网站遭受到了DoS或DDoS攻击,从而采取防御措施。可见阀值m不能设置过大,以免在采取措施前,SOD的资源就已经被耗尽。
如果资源占用比没有超过m,则返回步骤S501继续监视SOD资源消耗信息;如果资源占用比超过m,则执行步骤S503。
步骤S503:启动SIS替换SOD。
当监控子模块421监测到SOD的资源占用比超过了阀值m,认为系统遭受到了DoS或DDoS攻击,为了避免现任SOD很有可能因资源耗尽而导致系统网站瘫痪,需要立即启动一台备用服务器SIS,作为新的值班服务器SOD,替换掉现任SOD。监控子模块421向主控子模块423发出资源报警信号,主控子模块423向值班服务器替换子模块422发出替换命令,值班服务器替换子模块422通过控制第一连接控制模块403来完成新的SOD与过滤器404的接通,并将资源消耗超过了设定值的SOD的断开。
步骤S504:过滤攻击流量。
主控子模块423向攻击流量过滤控制子模块424发出过滤攻击流量的命令后,攻击流量过滤控制子模块424从路由器405获取攻击主机的IP地址,并将该攻击主机的IP地址传送给主控子模块423。
获得攻击主机的IP地址后,攻击流量过滤控制子模块424设置过滤规则,控制过滤器404将对应攻击主机的IP地址的流量过滤掉,也就是过滤掉攻击流量。过滤器404过滤掉该攻击流量后,通往服务器的流量暂时不会出现大幅度增多。为新SOD进行资源重新分配提供了缓冲时间。当然经过该过滤规则设置过滤器后,这些IP地址对应的流量将永远不能进入服务器,如果这些IP地址对应的是攻击傀儡机,当其清除掉被攻击者植入的攻击守护进程之后,显然再禁止它们的流量是不合理的,因此从路由器405向前端控制模块406提交攻击流量信息的那一刻起,就要为信息中的每个攻击主机的IP地址设置相应的计时器,如果超过一定时间,路由器没有再次发现该IP地址的流量速率过大,前端控制模块406则再次向过滤器发送命令,解除对这个IP地址流量的禁止。
进一步还包括步骤S505:重新分配资源。
由于被替换的SOD,其资源消耗都超过了设定值。如果需要将它们作为新的SOD的备用服务器再次启用的话,就必须回收这些PSOD中的资源,并为新的SOD重新分配资源。
主控子模块423向重新分配控制子模块425发出重新分配资源的命令。重新分配控制子模块425接收到主控子模块423的重新分配资源的命令后,通过第二连接控制模块401通知服务器组402中的服务器完成新任SOD的合法用户重新分配资源。在完成该步骤后,攻击者的DoS或DDoS攻击将不能对网站构成任何影响,同时网站又保证了对合法用户提供服务。
上述步骤S503中的启动SIS替换SOD的方法如图6所示,包括如下步骤:
步骤S601:确定下一任SOD的序号a。
在DoS或DDoS攻击发生后,值班服务器替换子模块422需要尽快决定下任SOD,以替换掉现任SOD。当然,替换的方法有很多,只要是在备用服务器SIS中选择一个来替换现任SOD就可以了。可以随机选择、可以逆序选择、可以顺序选择,还可以间隔选择。在本发明实施例中采用了环形队列的方法进行选择。该方法可以想象成服务器如图7中排列的方式,依次编号。假设有编号从0到n-1的n个服务器,此时现任SOD序号为b,那么确定下任SOD序号a,通过公式:
a=(b+1)%n;
比如,有编号0到5,共6个服务器,现任SOD序号为2,根据上面的公式可以计算出下任SOD序号a=3;若现任SOD序号为5,计算出a=0。由此可见,该方法就好比将服务器依次连成一个顺时针圆圈,下一任服务器即为现任服务器顺时针方向连接的服务器。
步骤S602:接通a号服务器,断开上一任服务器。
在确定了下一任SOD后,值班服务器替换子模块422向第一连接控制模块403发送连接控制命令,通知第一连接控制模块403接通a号服务器,断开b号服务器,此时新任SOD将替换上任SOD进行工作。
上述的步骤S602的接通a号服务器,断开上一任服务器的具体实现方法是:在断开资源消耗超过设定值的值班服务器(上一任服务器)与过滤器的连接之前,先确认新的值班服务器(a号服务器)与过滤器之间已经接通。实现方法如图8所示,具体包括如下步骤:
步骤S800:开始。
步骤S801:判断SOD是否连通。
第一连接控制模块403判断现任SOD是否与过滤器404相连通。如果不是,说明出现异常,退出切换操作;如果是,执行步骤S802。
步骤S802:连接a号服务器,并判断是否连接成功。
第一连接控制模块403控制a号服务器,即被选的备用服务器,也是新任SOD,与过滤器404相连通。并判断是否连接成功。如果不成功,返回步骤S801;如果成功,执行步骤S803。
步骤S803:第一连接控制模块403断开b号服务器SOD的连接。
在判断新任SOD连接成功后,第一连接控制模块403控制断开b号服务器SOD的连接,b号服务器退出。此时b号服务器成为上任SOD——PSOD(Pre-SOD),此时的PSOD资源分配已经超过设定阀值。
上述步骤S504中的获取攻击主机的IP地址的具体方法是:
主控子模块423向攻击流量过滤控制子模块424发出过滤攻击流量的命令后,攻击流量过滤控制子模块424从路由器405获取流量信息。路由器405平时会监测每个IP地址对应的流量速率,统计和总结一个合法用户所具有的最大流量速率的范围。当遭受DoS或DDoS攻击的时候,将超过此范围的流量视为攻击流量,或者将流量速率最高的视为攻击流量。路由器405得到攻击流量对应的IP地址,将该IP地址视为攻击主机的IP地址。前端控制模块406从路由器405获取到流量信息——攻击主机的IP地址。攻击流量过滤控制子模块424将攻击主机的IP地址传送给主控子模块423。
上述步骤S505中重新分配资源的方法,如图9所示,具体包括如下步骤:
步骤S901:将攻击主机的IP地址通知服务器组402。
重新分配控制子模块425通过第二连接控制模块401通知服务器组402中的新的SOD和资源消耗超过设定值的值班服务器(即PSOD)根据攻击主机的IP地址重新分配用户资源。
步骤S902:服务器组402中的服务器回收对应IP地址分配的资源。
服务器组402中所有已分配部分资源的服务器,包括新任SOD和PSOD,根据攻击主机的IP地址,回收分配给该IP地址的资源。当网站遭受DoS或DDoS攻击,启用备用服务器SIS替换了SOD,被替换的SOD成为了PSOD,在该PSOD中已经为一些用户分配了资源,这些用户中包括了合法用户也包括攻击者。而且,在攻击流量迅速攻击下,可能不止一次的发生了SOD的替换、转移,所有的被替换下的SOD都成为了PSOD。所以这时,不止一个PSOD,而是有多个PSOD。这些PSOD都为一些用户分配了资源。
这些PSOD根据攻击主机的IP地址,与自己的资源分配信息对比,回收所有的为该IP地址分配的资源,然后生成新的资源分配信息。
步骤S903:PSOD将执行完回收的资源分配信息传递给SOD,并释放所有分配的资源。
所有的PSOD在执行完资源回收后,将新的资源分配信息通过第二连接控制模块401传递给新任SOD。在传递完新的资源分配信息后,PSOD释放所有的资源,再次成为备用服务器SIS。
步骤S904:根据接收的PSOD新的资源分配信息,新任SOD重新分配合法用户资源。
新任SOD根据接收的各PSOD新的资源分配信息,进行汇总,为合法用户重新分配资源。这时,由于这些资源分配信息中已经没有了为攻击主机分配资源的信息,所以新任SOD将不再会被攻击主机占用资源了。
本发明实施例由于该方案只涉及到网站的服务器端,因此不需要大量ISP、各级路由器等合作,减少开销,无通信消耗增加。
本发明实施例由于采用多个服务器轮流工作的方法,在受到DoS、DDoS攻击的时候,用备用服务器替换下资源消耗过大的值班服务器,从而有效地躲避了DoS、DDoS攻击。
本发明实施例由于采用回收攻击者占有资源的方法,解除了攻击者对当前服务器的资源的继续占用,使得网站资源在遭受到DoS、DDoS攻击后不继续受攻击者影响,网站可以正常运行。
本发明实施例由于采用过滤掉所有攻击者的攻击流量,并及时进行值班服务器的替换,对于利用P2P网络发起的攻击,也可以起到很好的防御作用,为P2P产业的发展提供了一定的保障。
本发明实施例由于从上任SOD退出服务到将合法用户相关的资源分配信息传递给现任SOD要间隔一段时间,而这段时间内,这些合法用户的服务请求不能得到满足,为TCP连接的超时重置提供了一定的缓冲时间,对于利用TCP协议“三次握手”的漏洞发动的攻击增强了防御效果。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1.一种防御网络攻击的系统,包括过滤器、路由器,其特征在于,还包括:
至少两个服务器,所述至少两个服务器中包括参与网站运行的值班服务器和所述值班服务器的备用服务器;
第一连接控制模块、第二连接控制模块和前端控制模块,所述前端控制模块用于通过所述第二连接控制模块监测到值班服务器的资源消耗超过设定值后,通知所述第一连接控制模块将选中的备用服务器替换为值班服务器,通知过滤器过滤攻击流量。
2.如权利要求1所述的系统,其特征在于,所述前端控制模块,包括:
监控子模块,用于通过所述第二连接控制模块监测到值班服务器资源消耗超过设定值时,产生资源报警信号;
主控子模块,用于根据从所述监控子模块接收的资源报警信号,发送值班服务器替换命令、攻击流量过滤命令;
值班服务器替换子模块,用于根据从所述主控子模块接收的值班服务器替换命令,通知将所述至少两个服务器中的备用服务器替换为值班服务器;
攻击流量过滤控制子模块,用于根据从所述主控子模块接收的攻击流量过滤命令,通过所述第一连接控制模块通知过滤器过滤掉攻击流量。
3.如权利要求1或2所述的系统,其特征在于,所述前端控制模块通过所述第二连接控制模块监测到值班服务器的资源消耗超过设定值后,还通过所述第二连接控制模块通知被替换的值班服务器以及新的值班服务器重新分配资源。
4.如权利要求2所述的系统,其特征在于,所述前端控制模块还包括:
重新分配控制子模块,所述主控子模块还产生资源重新分配命令,所述重新分配控制子模块用于根据从所述主控子模块接受的资源重新分配命令,通过所述第二连接控制模块通知被替换的值班服务器以及新的值班服务器重新分配资源。
5.一种前端控制模块,其特征在于,包括:
监控子模块,用于监测到值班服务器资源消耗超过设定值时,产生资源报警信号;
主控子模块,用于根据从所述监控子模块接收的资源报警信号,发送值班服务器替换命令、攻击流量过滤命令以及资源重新分配命令;
值班服务器替换子模块,用于根据从所述主控子模块接收的值班服务器替换命令通知将备用服务器替换为值班服务器;
攻击流量过滤控制子模块,用于根据从所述主控子模块接收的攻击流量过滤命令,控制过滤器过滤掉攻击流量。
6.如权利要求5所述的前端控制模块,其特征在于,还包括:
重新分配控制子模块,所述主控子模块还产生资源重新分配命令,所述重新分配控制子模块用于根据从所述主控子模块接受的资源重新分配命令,通知被替换的值班服务器以及新的值班服务器重新分配资源。
7.一种防御网络攻击方法,其特征在于,包括:
监测运行的服务器,当运行的服务器资源消耗超过设定值后,启用备用服务器替换为新运行的服务器;
过滤掉攻击主机的IP地址对应的流量。
8.如权利要求7所述的方法,其特征在于,所述启用备用服务器替换为新运行的服务器包括:
从所有备用服务器中选择新运行的服务器;
将新运行的服务器与过滤器接通,并断开资源消耗超过设定值的服务器与过滤器的连接。
9.如权利要求8所述的方法,其特征在于,每一个服务器按整数依次编序号;以及从所有备用服务器中选择新运行的服务器时,该新运行的服务器的序号根据如下方法得到:
如果被替换的服务器的序号为最大序号,新运行的服务器的序号为最小序号;如果被替换的值班服务器的序号小于最大序号,新的值班服务器的序号为被替换的值班服务器的序号加一;或者,
如果被替换的服务器的序号为最小序号,新运行的服务器的序号为最大序号;如果被替换的值班服务器的序号大于最小序号,新的值班服务器的序号为被替换的值班服务器的序号减一。
10.如权利要求7所述的方法,其特征在于,所述过滤掉攻击主机的IP地址对应的流量的方法,包括:
前端控制模块从路由器获取攻击主机的IP地址;
所述前端控制模块将所述攻击主机的IP地址发给过滤器,并向过滤器发送过滤命令;
所述过滤器接收到过滤命令后,过滤掉所述攻击主机的IP地址对应的流量。
11.如权利要求10所述的方法,其特征在于,所述攻击主机的IP地址是路由器确定,具体方法包括:
路由器监测每个IP地址对应的流量速率;并
将超过合法用户最大流量速率范围的流量视为攻击流量,攻击流量对应的IP地址视为攻击主机的IP地址。
12.如权利要求7所述的方法,其特征在于,还包括:
通知所述新运行的服务器与所述资源消耗超过设定值的服务器根据所述攻击主机的IP地址进行资源回收;
所述新运行的服务器与所述资源消耗超过设定值的服务器分别将攻击主机的IP地址与本服务器的资源分配信息对比,回收为该攻击主机的IP地址所分配的资源;
所述资源消耗超过设定值的服务器在执行完回收后重新生成资源分配信息,将所述重新生成的资源分配信息传递给所述新运行的服务器,并释放本服务器所有分配的资源;
所述新运行的服务器根据接收的所述重新生成的资源分配信息,为攻击主机以外的用户重新分配资源。
13.如权利要求11所述的方法,其特征在于,还包括:
所述路由器监测所述攻击主机的IP地址的流量速率,当所述IP地址的流量速率在所述合法用户最大流量速率的范围内的持续时间超过设定时间时,通知所述前端控制模块解除对所述IP地址流量的过滤;
所述前端控制模块通知过滤器解除对所述IP地址流量的过滤。
14.如权利要求7所述的方法,其特征在于,所述的网络攻击包括:拒绝服务攻击和分布式拒绝服务攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101642246A CN101127649B (zh) | 2007-09-30 | 2007-09-30 | 一种防御网络攻击的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101642246A CN101127649B (zh) | 2007-09-30 | 2007-09-30 | 一种防御网络攻击的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101127649A CN101127649A (zh) | 2008-02-20 |
| CN101127649B true CN101127649B (zh) | 2010-12-08 |
Family
ID=39095581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101642246A Expired - Fee Related CN101127649B (zh) | 2007-09-30 | 2007-09-30 | 一种防御网络攻击的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101127649B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488965B (zh) * | 2009-02-23 | 2012-02-15 | 中国科学院计算技术研究所 | 一种域名过滤系统及方法 |
| CN103179136B (zh) * | 2013-04-22 | 2016-01-20 | 南京铱迅信息技术股份有限公司 | 防御动态网站中饱和分布式拒绝服务攻击的方法和系统 |
| CN103618718B (zh) * | 2013-11-29 | 2016-09-21 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法及装置 |
| CN106411828B (zh) * | 2015-08-03 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 量化防御结果的方法、装置及系统 |
| CN105306251B (zh) * | 2015-09-14 | 2018-12-18 | 上海红神信息技术有限公司 | 一种拟态网络拓扑变换的方法 |
| CN105357187A (zh) * | 2015-10-12 | 2016-02-24 | 成都玩者天下网络技术有限公司 | 一种电子商务交易平台防御系统 |
| CN105429975B (zh) * | 2015-11-11 | 2018-07-31 | 上海斐讯数据通信技术有限公司 | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 |
| CN105589826B (zh) * | 2016-02-01 | 2019-08-16 | 国网福建省电力有限公司 | 基于即插即用的配电网多级总线信息交互方法 |
| CN105791408B (zh) * | 2016-03-29 | 2019-04-02 | 中国科学院信息工程研究所 | 一种p2p网络的构建方法及系统 |
| CN106657134B (zh) * | 2017-01-12 | 2020-01-07 | 比特大陆科技有限公司 | 稳定通信的方法、系统、挖矿服务器和客户端 |
| CN108540440A (zh) * | 2018-02-02 | 2018-09-14 | 努比亚技术有限公司 | Ddos攻击解决方法、服务器及计算机可读存储介质 |
| CN108366077B (zh) * | 2018-04-23 | 2023-07-04 | 沈康 | 裂变式防攻击网络接入系统 |
| CN112671704B (zh) * | 2020-11-18 | 2022-11-15 | 国网甘肃省电力公司信息通信公司 | 一种攻击感知的mMTC切片资源分配方法、装置及电子设备 |
| CN113238579B (zh) * | 2021-05-18 | 2022-06-07 | 西安电子科技大学 | 一种基于Oc-ACO算法的多无人机集群编队避障方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1640090A (zh) * | 2001-07-03 | 2005-07-13 | 英特尔公司 | 分布式服务拒绝攻击的安全的自动化的响应装置与方法 |
| CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
| CN1852307A (zh) * | 2005-10-10 | 2006-10-25 | 华为技术有限公司 | 一种数据下载方法 |
| CN1852162A (zh) * | 2006-01-16 | 2006-10-25 | 华为技术有限公司 | 基于检测模式的安全问题阻断方法及系统 |
| CN101035034A (zh) * | 2007-04-02 | 2007-09-12 | 华为技术有限公司 | 一种检测报文攻击的方法及装置 |
-
2007
- 2007-09-30 CN CN2007101642246A patent/CN101127649B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1640090A (zh) * | 2001-07-03 | 2005-07-13 | 英特尔公司 | 分布式服务拒绝攻击的安全的自动化的响应装置与方法 |
| CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
| CN1852307A (zh) * | 2005-10-10 | 2006-10-25 | 华为技术有限公司 | 一种数据下载方法 |
| CN1852162A (zh) * | 2006-01-16 | 2006-10-25 | 华为技术有限公司 | 基于检测模式的安全问题阻断方法及系统 |
| CN101035034A (zh) * | 2007-04-02 | 2007-09-12 | 华为技术有限公司 | 一种检测报文攻击的方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| WO 02/01834 A2,全文. |
| 许建真,许密画等.基于流量分析与双阈值包过滤策略的DDoS防范机制的研究.南京邮电大学学报(自然科学版)27 4.2007,27(4),24-28. |
| 许建真,许密画等.基于流量分析与双阈值包过滤策略的DDoS防范机制的研究.南京邮电大学学报(自然科学版)27 4.2007,27(4),24-28. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101127649A (zh) | 2008-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101127649B (zh) | 一种防御网络攻击的方法和系统 | |
| Heilman et al. | Eclipse attacks on {Bitcoin’s}{peer-to-peer} network | |
| Morein et al. | Using graphic turing tests to counter automated ddos attacks against web servers | |
| CN101083563B (zh) | 一种防分布式拒绝服务攻击的方法及设备 | |
| Wang et al. | Mitigating bandwidth-exhaustion attacks using congestion puzzles | |
| CN102281295B (zh) | 一种缓解分布式拒绝服务攻击的方法 | |
| WO2013089607A9 (en) | Method for detection of persistent malware on a network node | |
| CN108092940A (zh) | 一种dns的防护方法及相关设备 | |
| CN102595556B (zh) | 一种会话管理请求消息的传输控制方法和设备 | |
| CN104506559B (zh) | 一种基于Android系统的DDoS防御系统和方法 | |
| CN105207908B (zh) | 一种报文处理方法及系统 | |
| CN110012076B (zh) | 一种连接建立方法及装置 | |
| Navaz et al. | An efficient intrusion detection scheme for mitigating nodes using data aggregation in delay tolerant network | |
| CN102612164A (zh) | 一种针对网元重启后释放资源的方法、装置和系统 | |
| CN109005164A (zh) | 一种网络系统、设备、网络数据交互方法及存储介质 | |
| Umeda et al. | Interest flow control method based on user reputation and content name prefixes in named data networking | |
| CN106470193A (zh) | 一种DNS递归服务器抗DoS、DDoS攻击的方法及装置 | |
| Pradhan et al. | Blockchain based security framework for P2P filesharing system | |
| CN106941505A (zh) | 一种防御ddos攻击的方法及其系统 | |
| CN101459519A (zh) | 一种基于网络流量的泛洪拒绝服务攻击防御方法 | |
| Shah et al. | Incorporating trust in the bittorrent protocol | |
| CN104869116A (zh) | 电信网信令安全主动防护方法 | |
| Sanetachatanaruk et al. | A simulation study of the proactive server roaming for mitigating denial of service attacks | |
| CN104410964B (zh) | 一种标识更新方法、通信设备、网络设备及系统 | |
| CN102932266B (zh) | 服务器流量分配的控制方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: CHENGDU CITY HUAWEI SAIMENTEKE SCIENCE CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20090424 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090424 Address after: Qingshui River District, Chengdu high tech Zone, Sichuan Province, China: 611731 Applicant after: Chengdu Huawei Symantec Technologies Co., Ltd. Address before: Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Province, China: 518129 Applicant before: Huawei Technologies Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 Termination date: 20170930 |