CN103139246B - 负载均衡设备和负载均衡及防御方法 - Google Patents
负载均衡设备和负载均衡及防御方法 Download PDFInfo
- Publication number
- CN103139246B CN103139246B CN201110382550.0A CN201110382550A CN103139246B CN 103139246 B CN103139246 B CN 103139246B CN 201110382550 A CN201110382550 A CN 201110382550A CN 103139246 B CN103139246 B CN 103139246B
- Authority
- CN
- China
- Prior art keywords
- service
- request
- module
- load balancing
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提出一种负载均衡设备和负载均衡及防御方法。该设备包括配置模块,用于配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值;接收模块,用于接收来自客户的服务请求;监测模块,用于监测与服务请求对应的请求的服务的实际流量;调度模块,用于根据请求的服务的实际流量调度至各个服务器的流量分配;以及防御模块,用于根据请求的服务的实际流量以及请求的服务的流量阈值判断是否针对所述请求的服务进行防御。根据本发明实施例的负载均衡设备,可区别不同的业务类型,从而针对有攻击行为的业务开启攻击防御功能,对没有攻击行为的业务关闭攻击防御功能,减少运行负担,且简化了网络部署结构,同时也减少数据包传输的时延。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种负载均衡设备和负载均衡及防御方法。
背景技术
负载均衡设备(LoadBalancer,LB)能为各种不同的业务提供了一种通用的负载均衡方法。负载均衡设备主要面临以下的问题,一方面所有业务的数据包均需负载均衡设备处理,如果发生业务遭受网络攻击,则负载均衡设备会承受超过平常数倍的流量,从而导致负载均衡设备工作异常,另一方面,如果单一或部分的业务遭到网络攻击,则影响负载均衡设备上所有业务的正常运行。因此,负载均衡设备需要对网络攻击进行高效的防御。
现有技术采用在负载均衡设备的前端串接独立的DDOS(DistributedDenialofService,分布式拒绝服务攻击)防御设备进行网络攻击的防御,这种技术的特点是,使用独立的DDOS防御设备,在整个负载均衡系统的网络部署上DDOS防御设备串接在负载均衡设备之前,由DDOS防御设备进行网络攻击的防御,并采用通过syn代理的方法实现网络攻击的防御。现有技术存在以下缺陷:
(1)独立的DDOS防御设备串联在负载均衡设备前端,一方面导致负载均衡系统的网络部署结构复杂,增加网络的部署成本,另一方面数据包需经过DDOS防御设备处理,增加数据包传输的时延。
(2)串联在负载均衡设备前段的独立的DDOS防御设备与负载均衡设备的各个业务之间相互独立,当发生针对某些或某个业务的网络攻击时,DDOS防御设备不能有效地对业务类型进行区分。
(3)DDOS防御设备不能针对某些或某个业务开启或关闭防御功能,只能对所有的业务的流量均开启或关闭网络攻击防御,从而使得负载均衡设备的效率低下。
发明内容
本发明旨在至少解决上述技术问题之一。
为此,本发明的一个目的在于提出一种可以区分业务类型并针对受到攻击的业务进行开启网络攻击防御的负载均衡设备。
本发明的另一目的在于提出一种负载均衡及防御方法。
为了实现上述目的,根据本发明第一方面的实施例的负载均衡设备包括:配置模块,所述配置模块用于配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值;接收模块,所述接收模块用于接收来自客户的服务请求;监测模块,所述监测模块用于监测与所述服务请求对应的请求的服务的实际流量;调度模块,所述调度模块用于根据所述请求的服务的实际流量调度至各个服务器的流量分配;以及防御模块,所述防御模块用于根据所述请求的服务的实际流量以及所述请求的服务的流量阈值判断是否针对所述请求的服务进行防御。
根据本发明实施例的负载均衡设备,通过对各个业务所对应的服务的各个服务器集群的地址的配置可以区别不同的服务的业务类型,并检测与服务请求所对应的业务是否被攻击,针对遭受网络攻击的业务开启攻击防御功能,而对未遭受网络攻击的业务不进行攻击防御的开启,从而在不影响负载均衡设备正常工作的情况下,能有效且高效的进行网络攻击防御,同时,由于负载均衡设备已具有网络攻击防御功能,一方面减少了必要的防御攻击设备,简化网络部署结构,另一方面也减少了数据包传输的时延。
为了实现上述目的,根据本发明第二方面的实施例的负载均衡及防御方法包括以下步骤:配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值;接收来自客户的服务请求;监测与所述服务请求对应的请求的服务的实际流量;根据所述请求的服务的实际流量调度至各个服务器的流量分配;以及根据所述请求的服务的实际流量以及所述请求的服务的流量阈值判断是否针对所述请求的服务进行防御。
根据本发明实施例的负载均衡及防御方法,可以对各个业务所对应的服务的各个服务器集群的地址的进行配置可以区别不同的服务的业务类型,并检测与服务请求所对应的业务是否被攻击,从而能够实现以业务为单位,灵活地针对遭受网络攻击的业务进行攻击防御,而对未遭受攻击的业务不进行攻击防御,同时,可以实时的根据实际流量进行各个业务之间的流量分配,提高效率。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,
图1是根据本发明一个实施例的负载均衡设备的结构框图;
图2是根据本发明实施例的根据syn-cookie机制进行网络攻击防御的流程图;
图3是根据本发明一个实施例的负载均衡设备的结构框图;
图4是根据本发明一个实施例的负载均衡设备的结构框图;
图5是根据本发明一个实施例的负载均衡及防御方法的流程图;
图6是根据本发明一个实施例的负载均衡及防御方法的流程图;以及
图7是根据本发明一个实施例的负载均衡及防御方法的流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
下面参考说明书附图描述根据本发明实施例的负载均衡设备。
一种负载均衡设备,包括:配置模块,配置模块用于配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值;接收模块,接收模块用于接收来自客户的服务请求;监测模块,监测模块用于监测与服务请求对应的请求的服务的实际流量;调度模块,调度模块用于根据请求的服务的实际流量调度至各个服务器的流量分配;以及防御模块,防御模块用于根据请求的服务的实际流量以及请求的服务的流量阈值判断是否针对请求的服务进行防御。
图1为本发明一个实施例的负载均衡设备的结构框图。
如图1所示,根据本发明实施例的负载均衡设备1包括配置模块100、接收模块200、监测模块300、调度模块400和防御模块500。
具体地,配置模块100用于配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值。接收模块200用于接收来自客户的服务请求。监测模块300用于监测与服务请求对应的请求的服务的实际流量。调度模块400用于根据请求的服务的实际流量调度至各个服务器的流量分配。防御模块500用于根据请求的服务的实际流量以及请求的服务的流量阈值判断是否针对请求的服务进行防御。
其中,在本发明的一个实施例中,各个服务器集群的地址可以包括各个服务器集群中各个服务器的IP地址。
具体地,配置设备100对各个业务的服务器集群3中的各个业务的服务所对应的各个服务器集群进行地址配置。在具体的负载均衡系统(如图1所示,包括互联网2、负载均衡设备1和各个业务的服务器集群3的系统为负载均衡系统)中,每个服务可由一系列属于该服务的服务器的IP组成。根据配置设备100可根据每个业务的服务所对应的各个服务器集群的地址进行业务类型区分。
接收模块200与互联网2相连,接收来自互联网2中的客户的服务请求。例如,来自客户端的HTTP请求等。同时,接收模块200也可以接收来自内部网络的服务请求,例如,来自企业内网中对于某个内部业务的服务请求。
监测模块300与接收模块200相连,根据接收模块200所接收的互联网2中的客户的来自外部网络的外部服务请求或来自内部网络的内部服务请求,监测与其服务请求所对应的请求的服务的实际流量。
调度模块400与监测模块300相连,根据监测到的服务请求所对应的请求的服务的实际流量调度至各个服务器的流量分配。调度模块400为负载均衡设备1提供实时的流量分配。
防御模块500与监测模块300和配置模块100相连,防御模块500通过配置模块100共享各个服务器集群中的各个服务器的IP信息,从而能够区别各个业务类型。根据监测模块300所监测到的服务请求所对应的请求的服务的实际流量和配置模块100设置的该服务的流量阈值判断是否针对请求的服务进行防御。例如,当防御模块500发现某业务在一段时间内网络流量超过正常流量的最大值的数倍时,则认为该业务遭受异常流量的攻击,其中,正常流量的最大值可以根据监测模块300监测得到,也可以通过配置模块100按照经验值进行设置。
根据本发明实施例的负载均衡设备,通过对各个业务所对应的服务的各个服务器集群的地址的配置可以区别不同的服务的业务类型,并检测与服务请求所对应的业务是否被攻击,针对遭受网络攻击的业务开启攻击防御功能,而对未遭受网络攻击的业务不进行攻击防御的开启,从而在不影响负载均衡设备正常工作的情况下,能有效且高效的进行网络攻击防御,同时,由于负载均衡设备已具有网络攻击防御功能,一方面减少了必要的防御攻击设备,简化网络部署结构,另一方面也减少了数据包传输的时延。
在本发明的一个实施例中,防御模块500也可以通过使用syn-cookie机制来针对请求的服务进行防御。
图2为本发明实施例的根据syn-cookie机制进行网络攻击防御的流程图。如图2所示,在本发明的一个实施例中,防御模块500按照下述步骤判断是否针对请求的服务进行防御。
步骤S101,判断服务请求是否是syn包。
步骤S102,如果服务请求是syn包,则构建特殊编码的syn_ack包并发送至发出服务请求的客户端。
步骤S103,接收来自客户端对syn_ack的ack包。
步骤S104,判断特殊编码校验是否通过。
步骤S105,如果特殊编码校验通过,则判断为正常流量。
步骤S106,如果特殊编码校验没有通过,则判断为攻击流量并丢弃攻击流量。
根据本发明实施例的防御模块500根据syn-cookie机制进行网络攻击防御的工作过程,通过在TCP三次握手过程中加入特殊编码,能有效地实现针对syn-flood网络攻击的防御。
图3为本发明一个实施例的负载均衡设备的结构框图。
如图3所示,根据本发明实施例的负载均衡设备1包括配置模块100、接收模块200、监测模块300、调度模块400、防御模块500和分类模块600。
具体地,配置模块100用于配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值。接收模块200用于接收来自客户的服务请求。监测模块300用于监测与服务请求对应的请求的服务的实际流量。调度模块400用于根据请求的服务的实际流量调度至各个服务器的流量分配。防御模块500用于根据请求的服务的实际流量以及请求的服务的流量阈值判断是否针对请求的服务进行防御。分类模块600用于将与服务请求对应的请求的服务分类为来自内部网络的内部服务或来自外部网络的外部服务,其中,防御模块500仅针对外部服务判断是否进行防御
其中,在本发明的一个实施例中,各个服务器集群的地址可以包括各个服务器集群中各个服务器的IP地址。
具体地,配置设备100对各个业务的服务器集群3中的各个业务的服务所对应的各个服务器集群进行地址配置。在具体的负载均衡系统(如图1所示,包括互联网2、负载均衡设备1和各个业务的服务器集群3的系统为负载均衡系统)中,每个服务可由一系列属于该服务的服务器的IP组成。根据配置设备100可根据每个业务的服务所对应的各个服务器集群的地址进行业务类型区分。
接收模块200与互联网2相连,接收来自互联网2中的客户的服务请求。例如,来自客户端的HTTP请求等。同时,接收模块200也可以接收来自内部网络的服务请求,例如,来自企业内网中对于某个内部业务的服务请求。
监测模块300与接收模块200相连,根据接收模块200所接收的互联网2中的客户的来自外部网络的外部服务请求或来自内部网络的内部服务请求,监测与其服务请求所对应的请求的服务的实际流量。
调度模块400与监测模块300相连,根据监测到的服务请求所对应的请求的服务的实际流量调度至各个服务器的流量分配。调度模块400为负载均衡设备1提供实时的流量分配。
防御模块500与监测模块300和配置模块100相连,防御模块500通过配置模块100共享各个服务器集群中的各个服务器的IP信息,从而能够区别各个业务类型。根据监测模块300所监测到的服务请求所对应的请求的服务的实际流量和配置模块100设置的该服务的流量阈值判断是否针对请求的服务进行防御。例如,当防御模块500发现某业务在一段时间内网络流量超过正常流量的最大值的数倍时,则认为该业务遭受异常流量的攻击,其中,正常流量的最大值可以根据监测模块300监测得到,也可以通过配置模块100按照经验值进行设置。
具体地,分类模块600与接收模块200和防御模块500相连,将与服务请求对应的请求的服务分类为来自内部网络的内部服务(例如,来自企业内网中对于某个内部业务的服务请求等)或来自外部网络的外部服务(例如,来自外部客户端的服务请求等)。由于来自内部网络的服务请求通常都不会是恶性攻击,因而排除了内部网络流量,可以进一步提高防御的效率和精确度。
在本发明的一个实施例中,分类模块600为可选的。
根据本发明的实施例,防御模块500可以根据图2所示的根据syn-cookie机制进行网络攻击防御。
根据本发明实施例的负载均衡设备,通过增加的分类模块,在针对所请求的服务是否进行网络攻击防御的判断之前,对服务请求进行分类,从而减少了负载均衡设备额外的负担,从而使得负载均衡设备更加有针对性的进行攻击防御,提高了负载均衡设备的工作效率。
图4为本发明一个实施例的负载均衡设备的结构框图。
如图4所示,根据本发明实施例的负载均衡设备1包括包括配置模块100、接收模块200、监测模块300、调度模块400、防御模块500、分类模块600和统计模块700。
具体地,配置模块100用于配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值。接收模块200用于接收来自客户的服务请求。监测模块300用于监测与服务请求对应的请求的服务的实际流量。调度模块400用于根据请求的服务的实际流量调度至各个服务器的流量分配。防御模块500用于根据请求的服务的实际流量以及请求的服务的流量阈值判断是否针对请求的服务进行防御。分类模块600用于将与服务请求对应的请求的服务分类为来自内部网络的内部服务或来自外部网络的外部服务,其中,防御模块500仅针对外部服务判断是否进行防御。统计模块700用于统计预定时间段内各个业务的正常流量值。
其中,在本发明的一个实施例中,各个服务器集群的地址可以包括各个服务器集群中各个服务器的IP地址。
具体地,配置设备100对各个业务的服务器集群3中的各个业务的服务所对应的各个服务器集群进行地址配置。在具体的负载均衡系统(如图1所示,包括互联网2、负载均衡设备1和各个业务的服务器集群3的系统为负载均衡系统)中,每个服务可由一系列属于该服务的服务器的IP组成。根据配置设备100可根据每个业务的服务所对应的各个服务器集群的地址进行业务类型区分。
接收模块200与互联网2相连,接收来自互联网2中的客户的服务请求。例如,来自客户端的HTTP请求等。同时,接收模块200也可以接收来自内部网络的服务请求,例如,来自企业内网中对于某个内部业务的服务请求。
监测模块300与接收模块200相连,根据接收模块200所接收的互联网2中的客户的来自外部网络的外部服务请求或来自内部网络的内部服务请求,监测与其服务请求所对应的请求的服务的实际流量。
调度模块400与监测模块300相连,根据监测到的服务请求所对应的请求的服务的实际流量调度至各个服务器的流量分配。调度模块400为负载均衡设备1提供实时的流量分配。
防御模块500与监测模块300和配置模块100相连,防御模块500通过配置模块100共享各个服务器集群中的各个服务器的IP信息,从而能够区别各个业务类型。根据监测模块300所监测到的服务请求所对应的请求的服务的实际流量和配置模块100设置的该服务的流量阈值判断是否针对请求的服务进行防御。例如,当防御模块500发现某业务在一段时间内网络流量超过正常流量的最大值的数倍时,则认为该业务遭受异常流量的攻击,其中,正常流量的最大值可以根据监测模块300监测得到,也可以通过配置模块100按照经验值进行设置。
具体地,分类模块600与接收模块200和防御模块500相连,将与服务请求对应的请求的服务分类为来自内部网络的内部服务(例如,来自企业内网中对于某个内部业务的服务请求等)或来自外部网络的外部服务(例如,来自外部客户端的服务请求等)。由于来自内部网络的服务请求通常都不会是恶性攻击,因而排除了内部网络流量,可以进一步提高防御的效率和精确度。
具体地,预定时间段可以根据具体的各个业务的正常流量的时间段具体设置,统计模块700统计的各个业务的正常流量值可以作为各个业务的流量阈值设置的参考。例如,在本发明的一个实施例中,流量阈值可以设置为统计模块700所统计的正常流量值的三倍。
应理解的是,也可以根据具体的业务类型设置流量阈值,例如,为统计模块700所统计的正常流量值的三倍以上。
在本发明的一个实施例中,统计模块700为可选的。
根据本发明的实施例,防御模块500可以根据图2所示的根据syn-cookie机制进行网络攻击防御。
根据本发明实施例的负载均衡设备,通过增加的统计模块,能够根据统计模块所统计的各个业务的正常流量值对各个业务的流量阈值进行设置,从而使得设置的流量阈值能够更加的准确,且流量阈值可以随时更新。
下面参考说明书附图描述根据本发明实施例的负载均衡及防御方法。
一种负载均衡及防御方法,包括以下步骤:配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值;接收来自客户的服务请求;监测与服务请求对应的请求的服务的实际流量;根据请求的服务的实际流量调度至各个服务器的流量分配;以及根据请求的服务的实际流量以及请求的服务的流量阈值判断是否针对请求的服务进行防御。
图5为本发明一个实施例的负载均衡及防御方法的流程图。
如图5所示,根据本发明实施例的负载均衡及防御方法,包括下述步骤。
步骤S201,配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值。
在本发明的一个实施例中,各个服务器集群的地址包括各个服务器集群中各个服务器的IP地址。
步骤S202,接收来自客户的服务请求。该客户可以是通过互联网接入的客户,也可以是来自企业内网中的直接接入的客户。
步骤S203,监测与服务请求对应的请求的服务的实际流量。
根据接收的来自外部网络的外部服务请求或来自内部网络的内部服务请求,监测与其服务请求所对应的请求的服务的实际流量。
步骤S204,根据请求的服务的实际流量调度至各个服务器的流量分配。
步骤S205,根据请求的服务的实际流量以及请求的服务的流量阈值判断是否针对请求的服务进行防御。
例如,当发现某业务在一段时间内网络流量超过正常流量的最大值的数倍时,则认为该业务遭受异常流量的攻击,其中,正常流量的最大值可以监测得到,也可以按照经验值进行设置。
在本发明的一个实施例中,可以通过使用syn-cookie机制来针对请求的服务进行网络攻击防御。
根据本发明的实施例,可以根据如图2所示的根据syn-cookie机制进行网络攻击防御。
根据本发明实施例的负载均衡及防御方法,可以对各个业务所对应的服务的各个服务器集群的地址的进行配置可以区别不同的服务的业务类型,并检测与服务请求所对应的业务是否被攻击,从而能够实现以业务为单位,灵活地针对遭受网络攻击的业务进行攻击防御,而对未遭受攻击的业务不进行攻击防御,同时,可以实时的根据实际流量进行各个业务之间的流量分配,提高效率。
图6为本发明一个实施例的负载均衡及防御方法的流程图。
如图6所示,根据本发明实施例的负载均衡及防御方法包括下述步骤。
步骤S301,配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值。
在本发明的一个实施例中,各个服务器集群的地址包括各个服务器集群中各个服务器的IP地址。
步骤S302,接收来自客户的服务请求。该客户可以是通过互联网接入的客户,也可以是来自企业内网中的直接接入的客户。
步骤S303,监测与服务请求对应的请求的服务的实际流量。
根据接收的来自外部网络的外部服务请求或来自内部网络的内部服务请求,监测与其服务请求所对应的请求的服务的实际流量。
步骤S304,根据请求的服务的实际流量调度至各个服务器的流量分配。
步骤S305,将与所述服务请求对应的请求的服务分类为来自内部网络的内部服务或来自外部网络的外部服务,其中,仅针对所述外部服务判断是否进行防御。
由于来自内部网络的服务请求通常都不会是恶性攻击,因而排除了内部网络流量,可以进一步提高防御的效率和精确度。
步骤S306,根据请求的服务的实际流量以及请求的服务的流量阈值判断是否针对请求的服务进行防御。
例如,当发现某业务在一段时间内网络流量超过正常流量的最大值的数倍时,则认为该业务遭受异常流量的攻击,其中,正常流量的最大值可以监测得到,也可以按照经验值进行设置。
在本发明的一个实施例中,可以通过使用syn-cookie机制来针对请求的服务进行网络攻击防御。
根据本发明的实施例,可以根据如图2所示的根据syn-cookie机制进行网络攻击防御。
在本发明的一个实施例中,步骤S305是可选的。
根据本发明实施例的负载均衡及防御方法,增加分类步骤,在针对所请求的服务是否进行网络攻击防御的判断之前,对服务请求进行分类,从而可采取更加有针对性的攻击防御,提高了工作效率。
图7是根据本发明一个实施例的负载均衡及防御方法的流程图。
如图7所示,根据本发明实施例的负载均衡及防御方法包括下述步骤。
步骤S401,配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值。
在本发明的一个实施例中,各个服务器集群的地址包括各个服务器集群中各个服务器的IP地址。
步骤S402,接收来自客户的服务请求。该客户可以是通过互联网接入的客户,也可以是来自企业内网中的直接接入的客户。
步骤S403,监测与服务请求对应的请求的服务的实际流量。
根据接收的来自外部网络的外部服务请求或来自内部网络的内部服务请求,监测与其服务请求所对应的请求的服务的实际流量。
步骤S404,根据请求的服务的实际流量调度至各个服务器的流量分配。
步骤S405,将与所述服务请求对应的请求的服务分类为来自内部网络的内部服务或来自外部网络的外部服务,其中,仅针对所述外部服务判断是否进行防御。
步骤S406,统计预定时间段内各个业务的正常流量值。
步骤S407,根据请求的服务的实际流量以及请求的服务的流量阈值判断是否针对请求的服务进行防御。
例如,当发现某业务在一段时间内网络流量超过正常流量的最大值的数倍时,则认为该业务遭受异常流量的攻击,其中,正常流量的最大值可以监测得到,也可以按照经验值进行设置。
具体地,预定时间段可以根据具体的各个业务的正常流量的时间段具体设置,统计的各个业务的正常流量值可以作为各个业务的流量阈值设置的参考。
例如,在本发明的一个实施例中,流量阈值可以设置为根据统计的各个业务的正常流量值的三倍。
应理解的是,也可以根据具体的业务类型设置流量阈值,例如,为统计的各个业务的正常流量值的三倍以上。
根据本发明的实施例,可以采用如图2所示的根据syn-cookie机制进行网络攻击防御。
在本发明的一个实施例中,步骤S406为可选的。
根据本发明实施例的负载均衡及防御方法,通过增加的统计步骤,能够根据统计各个业务的正常流量值对各个业务的流量阈值进行设置,从而使得设置的流量阈值能够更加的准确,且流量阈值可以随时更新。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
Claims (12)
1.一种负载均衡设备,其特征在于,包括:
配置模块,所述配置模块用于配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值;
接收模块,所述接收模块用于接收来自客户的服务请求;
监测模块,所述监测模块用于监测与所述服务请求对应的请求的服务的实际流量;
调度模块,所述调度模块用于根据所述请求的服务的实际流量调度至各个服务器的流量分配;
分类模块,所述分类模块用于将与所述服务请求对应的请求的服务分类为来自内部网络的内部服务或来自外部网络的外部服务;以及
防御模块,所述防御模块用于根据所述请求的服务的实际流量以及所述请求的服务的流量阈值判断是否针对所述请求的服务进行防御,其中,所述防御模块仅针对所述外部服务判断是否进行防御。
2.根据权利要求1所述的设备,其特征在于,所述各个服务器集群的地址包括所述各个服务器集群中各个服务器的IP地址。
3.根据权利要求1所述的设备,其特征在于,所述防御模块通过使用syn-cookie机制来针对所述请求的服务进行防御。
4.根据权利要求3所述的设备,其特征在于,所述防御模块用于:
判断所述服务请求是否是syn包;
如果是,则构建特殊编码的syn_ack包并发送至发出所述服务请求的客户端;
接收来自所述客户端对所述syn_ack的ack包并判断特殊编码校验是否通过;
如果通过,则判断为正常流量;
如果没有通过,则判断为攻击流量并丢弃所述攻击流量。
5.根据权利要求1所述的设备,其特征在于,进一步包括:
统计模块,所述统计模块用于统计预定时间段内各个业务的正常流量值。
6.根据权利要求5所述的设备,其特征在于,
所述流量阈值是所述正常流量值的三倍。
7.一种负载均衡及防御方法,其特征在于,包括以下步骤:
配置用于各个服务的各个服务器集群的地址以及各个服务的流量阈值;
接收来自客户的服务请求;
监测与所述服务请求对应的请求的服务的实际流量;
根据所述请求的服务的实际流量调度至各个服务器的流量分配;
将与所述服务请求对应的请求的服务分类为来自内部网络的内部服务或来自外部网络的外部服务;以及
根据所述请求的服务的实际流量以及所述请求的服务的流量阈值判断是否针对所述请求的服务进行防御,其中,仅针对所述外部服务判断是否进行防御。
8.根据权利要求7所述的方法,其特征在于,所述各个服务器集群的地址包括所述各个服务器集群中各个服务器的IP地址。
9.根据权利要求7所述的方法,其特征在于,通过使用syn-cookie机制来针对所述请求的服务进行防御。
10.根据权利要求9所述的方法,其特征在于,使用syn-cookie机制来针对所述请求的服务进行防御包括以下步骤:
判断所述服务请求是否是syn包;
如果是,则构建特殊编码的syn_ack包并发送至发出所述服务请求的客户端;
接收来自所述客户端对所述syn_ack的ack包并判断特殊编码校验是否通过;
如果通过,则判断为正常流量;
如果没有通过,则判断为攻击流量并丢弃所述攻击流量。
11.根据权利要求7所述的方法,其特征在于,进一步包括步骤:
统计预定时间段内各个业务的正常流量值。
12.根据权利要求11所述的方法,其特征在于,
所述流量阈值是所述正常流量值的三倍。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110382550.0A CN103139246B (zh) | 2011-11-25 | 2011-11-25 | 负载均衡设备和负载均衡及防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110382550.0A CN103139246B (zh) | 2011-11-25 | 2011-11-25 | 负载均衡设备和负载均衡及防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103139246A CN103139246A (zh) | 2013-06-05 |
| CN103139246B true CN103139246B (zh) | 2016-06-15 |
Family
ID=48498548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110382550.0A Active CN103139246B (zh) | 2011-11-25 | 2011-11-25 | 负载均衡设备和负载均衡及防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103139246B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104492B (zh) * | 2014-06-09 | 2017-07-28 | 北京创毅视讯科技有限公司 | 一种lte系统链路增强的方法和装置 |
| CN104079563A (zh) * | 2014-06-10 | 2014-10-01 | 汉柏科技有限公司 | 一种抗ddos攻击的控制方法和装置 |
| CN104125213A (zh) * | 2014-06-18 | 2014-10-29 | 汉柏科技有限公司 | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 |
| CN106921511A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 服务器端异常监控方法及装置 |
| CN107154915A (zh) * | 2016-03-02 | 2017-09-12 | 阿里巴巴集团控股有限公司 | 防御分布式拒绝服务DDoS攻击的方法、装置及系统 |
| CN107426230B (zh) * | 2017-08-03 | 2019-08-23 | 优刻得科技股份有限公司 | 服务器调度方法、装置、系统、存储介质及设备 |
| CN109361749B (zh) * | 2018-10-24 | 2022-03-29 | 华为云计算技术有限公司 | 报文处理方法、相关设备及计算机存储介质 |
| CN110245031B (zh) * | 2019-06-03 | 2021-07-20 | 北京百度网讯科技有限公司 | 一种ai服务开放中台及方法 |
| CN113079124B (zh) * | 2020-01-03 | 2023-04-07 | 中国移动通信集团广东有限公司 | 入侵行为检测方法、系统及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN101360093A (zh) * | 2007-08-02 | 2009-02-04 | 华为技术有限公司 | 一种负载控制方法及其系统 |
| EP2136526A1 (en) * | 2007-04-28 | 2009-12-23 | Huawei Technologies Co., Ltd. | Method, device for identifying service flows and method, system for protecting against a denial of service attack |
| CN101631026A (zh) * | 2008-07-18 | 2010-01-20 | 北京启明星辰信息技术股份有限公司 | 一种防御拒绝服务攻击的方法及装置 |
| CN102014116A (zh) * | 2009-09-03 | 2011-04-13 | 丛林网络公司 | 防御分布式网络泛洪攻击 |
-
2011
- 2011-11-25 CN CN201110382550.0A patent/CN103139246B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| EP2136526A1 (en) * | 2007-04-28 | 2009-12-23 | Huawei Technologies Co., Ltd. | Method, device for identifying service flows and method, system for protecting against a denial of service attack |
| CN101360093A (zh) * | 2007-08-02 | 2009-02-04 | 华为技术有限公司 | 一种负载控制方法及其系统 |
| CN101631026A (zh) * | 2008-07-18 | 2010-01-20 | 北京启明星辰信息技术股份有限公司 | 一种防御拒绝服务攻击的方法及装置 |
| CN102014116A (zh) * | 2009-09-03 | 2011-04-13 | 丛林网络公司 | 防御分布式网络泛洪攻击 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103139246A (zh) | 2013-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103139246B (zh) | 负载均衡设备和负载均衡及防御方法 | |
| Moshref et al. | Trumpet: Timely and precise triggers in data centers | |
| Gao et al. | Detection and mitigation of DoS attacks in software defined networks | |
| EP2180644B1 (en) | Flow consistent dynamic load balancing | |
| US10637886B2 (en) | Software defined network capable of detecting DDoS attacks and switch included in the same | |
| US7835348B2 (en) | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch | |
| CN106357622B (zh) | 基于软件定义网络的网络异常流量检测防御系统 | |
| CN1946077B (zh) | 基于及早通知检测异常业务的系统和方法 | |
| EP3343864A1 (en) | Reputation-based application caching and white-listing | |
| CN105493450A (zh) | 动态检测网络中的业务异常的方法和系统 | |
| CN105025026A (zh) | 保护3g无线网络免于恶意攻击的方法和装置 | |
| US7814224B2 (en) | Information processor deactivates communication processing function without passing interrupt request for processing when detecting traffic inbound is in over-traffic state | |
| Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
| WO2016060751A1 (en) | Network traffic flow management using machine learning | |
| US9019863B2 (en) | Ibypass high density device and methods thereof | |
| US10771363B2 (en) | Devices for analyzing and mitigating dropped packets | |
| CN103988534A (zh) | 用于检测网络节点上的持续恶意软件的方法 | |
| WO2007081023A1 (ja) | トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム | |
| WO2014142792A1 (en) | Using learned flow reputation as a heuristic to control deep packet inspection under load | |
| JP2020500374A (ja) | 通信ネットワーク用の方法及び電子監視ユニット | |
| US8139494B2 (en) | System for testing ethernet paths and links without impacting non-test traffic | |
| CN102882894A (zh) | 一种识别攻击的方法及装置 | |
| CN102209010B (zh) | 一种网络测试系统和方法 | |
| US8948019B2 (en) | System and method for preventing intrusion of abnormal GTP packet | |
| CN109937563A (zh) | 用于通信网络的方法、和电子监测单元 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |