CN103685315A - 一种防御拒绝服务攻击的方法及系统 - Google Patents
一种防御拒绝服务攻击的方法及系统 Download PDFInfo
- Publication number
- CN103685315A CN103685315A CN201310745023.0A CN201310745023A CN103685315A CN 103685315 A CN103685315 A CN 103685315A CN 201310745023 A CN201310745023 A CN 201310745023A CN 103685315 A CN103685315 A CN 103685315A
- Authority
- CN
- China
- Prior art keywords
- load
- web server
- denial
- server
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种防御拒绝服务攻击的方法,包括以下步骤:在接入网络阶段以及进行TCP连接握手阶段,分别根据预设拦截策略拦截恶意接入IP;利用设置在路由器与WEB服务器之间的负载均衡服务器的代理机制屏蔽恶意接入IP;监控所述WEB服务器的负载,当所述WEB服务器的负载超过阈值时,向云主机申请虚拟资源,加入到所述负载均衡服务器中分担流量。本发明还提供了一种防御拒绝服务攻击的系统。本发明从网络接入开始设置合理的策略阻止恶意用户的接入,并且利用负载均衡中的代理程序实现进一步的防御,而且WEB资源可以在负载均衡机制下在面对攻击时自适应地调整,实现对恶意攻击的有效防御。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种防御拒绝服务攻击的方法及系统。
背景技术
目前,拒绝服务(DOS,Denial of Service)攻击在众多网络攻击技术中是一种简单有效且具有很大危害性的攻击方法,它通过各种手段消耗网络带宽和系统资源,或者攻击系统缺陷,使得系统的正常服务陷于瘫痪状态,不能对正常用户提供服务,从而实现拒绝正常用户访问服务。
随着网络设备性能越来越高、带宽越来越大,出现了一种基于DOS攻击的特殊形式-分布式拒绝服务(DDOS,Distributed Denial of Service)攻击,攻击者将多台受控制的计算机联合起来向目标计算机发起DOS攻击,使得传统的DOS攻击防范已经不能对用户提供很好的安全保障。DDOS恶意攻击在当前的网络环境中越来越猖獗,特别是在云计算环境下的攻击威胁更大,对用户造成了巨大的损失。
SYN Flood是常见且最有效的DDoS攻击之一,它是利用TCP协议中的建立连接的三次握手方法中的缺陷和IP欺骗技术,通过发送大量伪造的TCP连接请求,使得被攻击方资源耗尽。面对SYN Flood攻击,目前DDoS防御方法主要有特征匹配和资源比拼两大类。其中资源比拼方法主要是通过防御设备自身的运算和存储能力,以较小的代价消耗攻击者的攻击资源,常见资源比拼方法有SYN Proxy、SYN Cache和SYN Cookie三种。
现有防御方法一般是通过修改内核参数实现资源缓解,包括以下方法:
1、启用SYN Cookie缓解服务器资源压力,也即将内核参数net.ipv4.tcp_syncookies的值设置为1;
2、修改tcp_max_syn_backlog参数,使用服务器的内存资源,换取更大的等待队列长度,让攻击数据包不至于占满所有连接而导致正常用户无法完成握手;
3、修改net.ipv4.tcp_synack_retries参数,降低服务器SYN+ACK报文重试次数,尽快释放等待资源。
除了定制TCP/IP协议栈之外,还有一种常见做法是TCP首包丢弃方法,当接到一个SYN报文后比对黑白名单,根据比对结果执行丢弃或转发等操作。
虽然上述防御方法在一定程序上起到了防御作用,但传统的防御技术比较单一,对于各种类型的组合攻击防御能力比较低。同时,定制TCP/IP协议栈的难度比较大,不具有通用性;而利用黑名单阻止恶意攻击的方式容易产生误伤的情况,也即可能存在将正常的程序或用户拉入黑名单的情况,防御准确性不高。
发明内容
本发明针对上述问题,提出了一种防御拒绝服务攻击的方法及系统,从接入网络、负载均衡和web服务器三个角度构建了多方位的防护体系,更好的实现安全保障。
在一个方面,本发明提供了一种防御拒绝服务攻击的方法,包括以下步骤:
在接入网络阶段以及进行TCP连接握手阶段,分别根据预设拦截策略拦截恶意接入IP;
利用设置在路由器与WEB服务器之间的负载均衡服务器的代理机制屏蔽恶意接入IP;
监控WEB服务器的负载,当WEB服务器的负载超过阈值时,向云主机申请虚拟资源,加入到负载均衡服务器中分担流量。
在另一个方面,本发明提供了一种防御拒绝服务攻击的系统,包括:
拦截模块,用于在接入网络阶段以及TCP连接握手阶段,分别根据预设拦截策略拦截恶意接入IP;
代理模块,用于利用代理机制屏蔽恶意接入IP;
负载监控模块,用于监控WEB服务器的负载;
资源分配模块,用于当WEB服务器的负载超过阈值时,向云主机申请虚拟资源,加入申请到的虚拟资源以分担流量。
本发明从网络接入开始设置合理的策略阻止恶意用户的接入,并且利用负载均衡中的代理程序实现进一步的防御,而且web资源可以在负载均衡机制下在面对攻击时自适应地调整,实现对恶意攻击的有效防御。
附图说明
下面将参照附图描述本发明的具体实施例,其中:
图1示出了本发明实施例的防御拒绝服务攻击方法的方法流程图;
图2示出了本发明实施例的防御体系结构示意图;
图3示出了本发明实施例负载均衡服务器的代理原理示意图;
图4示出了本发明实施例的另一防御体系结构示意图;
图5示出了本发明实施例的防御拒绝服务攻击系统的结构示意图。
具体实施方式
为了使本发明的技术方案及优点更加清楚明白,以下结合附图对本发明的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本发明的一部分实施例,而不是所有实施例的穷举。
本发明从网络接入开始设置合理的策略阻止恶意用户的接入,并且利用负载均衡中的代理程序实现进一步的防御,而且web资源可以在负载均衡机制下在面对攻击时自适应地调整,实现对恶意攻击的有效防御。所谓负载均衡是指在现有网络结构基础上,利用负载均衡策略扩展网络设备和服务器的带宽、增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。
本发明实施例提供了一种防御拒绝服务攻击的方法,图1示出了该防御方法的方法流程图,具体包括以下步骤:
S101、在接入网络阶段,通过预先设置接入策略对恶意互联网协议(IP,Internet Protocol)地址拦截,屏蔽该恶意IP的网络接入。例如,利用黑白名单,将不符合网络接口的恶意IP拦截,并将其放到黑名单中;也可以将数据包的包头数量大于一定阈值的数据包作为恶意攻击进行拦截。
S102、在TCP连接进行三次握手阶段,再次进行拦截,拦截方式可以采用黑白名单或其他各种拦截方式,本发明对此不作限制。
由于一些拒绝服务攻击是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的,本发明实施例在握手阶段再次设置拦截机制,可以检查在单位时间内收到的SYN连接是否超过预设的阈值。如果单位时间内收到大量的SYN数据包时,通知防火墙阻断连接请求或直接丢弃这些数据包,最后将这些被拦截下来的IP加入黑名单内。
本发明实施例将接入网络阶段没有成功拦截的恶意IP拦截下来,从而降低内存消耗,减少被攻击主机的性能损失。
S103、在路由器与WEB服务器之间部署负载均衡服务器的代理机制来屏蔽各种恶意接入,从而提升被攻击主机的性能。
图2示出了本发明实施例的防御体系结构示意图。首先,访问IP通过互联网服务提供商(ISP,Internet Service Provider)接入互联网,再经过路由器的拦截。本发明实施例在路由器与WEB服务器之间根据实际访问需求的数量设置一个或多个负载均衡服务器,当访问IP通过路由器之后,由负载均衡服务器的代理机制再次进行拦截防御。
负载均衡服务器的代理机制的原理图如图3所示。在客户端Client与服务器资源Resource之间建立正常的网络连接时,客户端首先发出一个与服务器建立连接的请求(SYN报文)。其中,SYN(全称为synchronous)是TCP/IP建立连接时使用的握手信号。SYN代理(SYN Proxy)接收到该SYN消息后,先代替服务器向客户端回应正常的SYN ACK报文。如果收到客户端回应的ACK报文,则认为该TCP连接请求通过SYN代理的验证。然后SYN代理再向服务器发送同样的SYN报文,待收到服务器的SYN ACK报文后再发送回应的ACK报文至服务器,完成连接建立。
当访问IP通过负载均衡服务器的代理机制后,即可分发到相应的WEB服务器上获取资源。
S104、监控WEB服务器的负载变化情况,当WEB服务器的负载过高时,向云主机申请虚拟资源。对WEB服务器的负载变化情况进行监控可以通过监控CPU利用率、内存利用率等实现,本领域技术人员也可以对负载的其他具体内容进行监控,本发明对此不作限制。
云主机根据申请请求生成相应的虚拟资源,当获取到从云主机获得的虚拟资源后,加入到负载均衡服务器中来分担流量。图4示出了得到虚拟资源并加入到负载均衡服务器后的结构示意图,虚线连接的WEB服务器为新申请得到的虚拟资源。
基于同一发明构思,本发明实施例还提供了一种防御拒绝服务攻击的系统,如图5所示,包括:
拦截模块201,用于在接入网络阶段以及进行TCP连接握手阶段,分别根据预设拦截策略对访问IP进行检测,拦截恶意接入IP。本发明实施例预先设置的拦截策略可以是利用黑名单、白名单的方式对网络接口或数据包进行拦截,也可以是判断数据包大小超过一定阈值时进行拦截,本发明对具体的拦截策略不作限制。
代理模块202,用于利用SYN代理机制屏蔽恶意接入IP。
负载监控模块203,用于监控WEB服务器的负载,这里所说的负载可以是CPU利用率,也可以是内存利用率,本发明对此不作限制。
资源分配模块204,用于负载监控模块203监控到WEB服务器的负载超过预先设置的阈值时,向云主机申请虚拟资源。将申请到的虚拟资源加入进来,以分担流量,缓解负载压力。
本发明所提供的防御拒绝服务攻击的方法及系统,从网络接入阶段有效阻止恶意IP连接,并且进一步利用负载均衡服务器的代理机制进行拦截,层层保护。除此之外,当出现负载过高时,还可以利用负载均衡机制自适应的调整WEB资源,缓解资源压力。
以上实施例仅用以说明本发明的技术方案,而非对其进行限制。因此,在不背离本发明的精神及其实质的情况下,本领域技术人员可作出各种改变、替换和变型。很显然,但这些改变、替换和变型都应涵盖于本发明权利要求的保护范围之内。
Claims (7)
1.一种防御拒绝服务攻击的方法,其特征在于,包括以下步骤:
在接入网络阶段以及进行TCP连接握手阶段,分别根据预设拦截策略拦截恶意接入IP;
利用设置在路由器与WEB服务器之间的负载均衡服务器的代理机制屏蔽恶意接入IP;
监控所述WEB服务器的负载,当所述WEB服务器的负载超过阈值时,向云主机申请虚拟资源,加入到所述负载均衡服务器中分担流量。
2.如权利要求1所述的防御拒绝服务攻击的方法,其特征在于,所述拦截策略为利用黑名单方式对网络接口进行拦截,或者通过判断数据包数量超过阈值进行拦截。
3.如权利要求1所述的防御拒绝服务攻击的方法,其特征在于,设置在路由器与WEB服务器之间的负载均衡服务器根据实际访问需求可以为一个或多个。
4.如权利要求1所述的防御拒绝服务攻击的方法,其特征在于,所述监控所述WEB服务器的负载是通过监控CPU利用率和/或内存利用率实现。
5.一种防御拒绝服务攻击的系统,其特征在于,包括:
拦截模块,用于在接入网络阶段以及TCP连接握手阶段,分别根据预设拦截策略拦截恶意接入IP;
代理模块,用于利用代理机制屏蔽恶意接入IP;
负载监控模块,用于监控WEB服务器的负载;
资源分配模块,用于当所述WEB服务器的负载超过阈值时,向云主机申请虚拟资源,加入申请到的虚拟资源以分担流量。
6.如权利要求5所述的防御拒绝服务攻击的系统,其特征在于,所述拦截模块利用黑名单方式对网络接口进行拦截,或者判断数据包数量超过阈值进行拦截。
7.如权利要求5所述的防御拒绝服务攻击的系统,其特征在于,所述负载监控模块用于监控WEB服务器的CPU利用率和/或内存利用率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310745023.0A CN103685315A (zh) | 2013-12-30 | 2013-12-30 | 一种防御拒绝服务攻击的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310745023.0A CN103685315A (zh) | 2013-12-30 | 2013-12-30 | 一种防御拒绝服务攻击的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103685315A true CN103685315A (zh) | 2014-03-26 |
Family
ID=50321629
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310745023.0A Pending CN103685315A (zh) | 2013-12-30 | 2013-12-30 | 一种防御拒绝服务攻击的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103685315A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN104202314A (zh) * | 2014-08-22 | 2014-12-10 | 中国联合网络通信集团有限公司 | 一种阻止ddos攻击的方法及装置 |
| CN106534068A (zh) * | 2016-09-29 | 2017-03-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
| CN106790310A (zh) * | 2017-03-31 | 2017-05-31 | 网宿科技股份有限公司 | 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统 |
| CN107395554A (zh) * | 2016-05-17 | 2017-11-24 | 阿里巴巴集团控股有限公司 | 流量攻击的防御处理方法及装置 |
| CN112671781A (zh) * | 2020-12-24 | 2021-04-16 | 北京华顺信安信息技术有限公司 | 基于rasp的防火墙系统 |
| CN115150199A (zh) * | 2022-09-02 | 2022-10-04 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、系统、设备及介质 |
| CN115296844A (zh) * | 2022-06-29 | 2022-11-04 | 武汉极意网络科技有限公司 | 一种安全防护方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1469591A (zh) * | 2002-07-18 | 2004-01-21 | ��Ϊ��������˾ | 一种防御网络传输控制协议同步报文泛滥攻击的方法 |
| CN1510872A (zh) * | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
| US7251692B1 (en) * | 2000-09-28 | 2007-07-31 | Lucent Technologies Inc. | Process to thwart denial of service attacks on the internet |
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN103188162A (zh) * | 2011-12-30 | 2013-07-03 | 上海盛霄云计算技术有限公司 | 一种负载均衡方法及系统 |
-
2013
- 2013-12-30 CN CN201310745023.0A patent/CN103685315A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7251692B1 (en) * | 2000-09-28 | 2007-07-31 | Lucent Technologies Inc. | Process to thwart denial of service attacks on the internet |
| CN1469591A (zh) * | 2002-07-18 | 2004-01-21 | ��Ϊ��������˾ | 一种防御网络传输控制协议同步报文泛滥攻击的方法 |
| CN1510872A (zh) * | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN103188162A (zh) * | 2011-12-30 | 2013-07-03 | 上海盛霄云计算技术有限公司 | 一种负载均衡方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 黄宸: "Web服务DDoS攻击的防御技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN104065644B (zh) * | 2014-05-28 | 2017-11-21 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN104202314A (zh) * | 2014-08-22 | 2014-12-10 | 中国联合网络通信集团有限公司 | 一种阻止ddos攻击的方法及装置 |
| CN104202314B (zh) * | 2014-08-22 | 2018-04-20 | 中国联合网络通信集团有限公司 | 一种阻止ddos攻击的方法及装置 |
| CN107395554B (zh) * | 2016-05-17 | 2021-03-09 | 阿里巴巴集团控股有限公司 | 流量攻击的防御处理方法及装置 |
| CN107395554A (zh) * | 2016-05-17 | 2017-11-24 | 阿里巴巴集团控股有限公司 | 流量攻击的防御处理方法及装置 |
| CN106534068A (zh) * | 2016-09-29 | 2017-03-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
| CN106534068B (zh) * | 2016-09-29 | 2023-12-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
| CN106790310A (zh) * | 2017-03-31 | 2017-05-31 | 网宿科技股份有限公司 | 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统 |
| CN106790310B (zh) * | 2017-03-31 | 2021-02-02 | 网宿科技股份有限公司 | 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统 |
| CN112671781A (zh) * | 2020-12-24 | 2021-04-16 | 北京华顺信安信息技术有限公司 | 基于rasp的防火墙系统 |
| CN115296844A (zh) * | 2022-06-29 | 2022-11-04 | 武汉极意网络科技有限公司 | 一种安全防护方法和装置 |
| CN115150199A (zh) * | 2022-09-02 | 2022-10-04 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、系统、设备及介质 |
| CN115150199B (zh) * | 2022-09-02 | 2023-01-31 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103685315A (zh) | 一种防御拒绝服务攻击的方法及系统 | |
| JP3993092B2 (ja) | サービス拒否攻撃を防ぐための方法 | |
| US8856913B2 (en) | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring | |
| Ambrosin et al. | Lineswitch: Efficiently managing switch flow in software-defined networking while effectively tackling dos attacks | |
| KR101312905B1 (ko) | 네트워크 증폭 공격 완화 방법 | |
| US9634957B2 (en) | Systems and methods for reducing server resources associated with a client connection | |
| CN111385235B (zh) | 一种基于动态变换的DDoS攻击防御系统和方法 | |
| RU2666289C1 (ru) | Система и способ для ограничения запросов доступа | |
| CN110266678B (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
| CA2492494A1 (en) | Denial of service defense by proxy | |
| JP2012522295A (ja) | フィルタリング方法、システムおよびネットワーク機器 | |
| Moustis et al. | Evaluating security controls against HTTP-based DDoS attacks | |
| KR101200906B1 (ko) | 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법 | |
| Wu et al. | Fmd: A DoS mitigation scheme based on flow migration in software‐defined networking | |
| CN114301996A (zh) | 传输数据处理方法及装置 | |
| Ubale et al. | SRL: An TCP SYNFLOOD DDoS mitigation approach in software-defined networks | |
| US20170149821A1 (en) | Method And System For Protection From DDoS Attack For CDN Server Group | |
| CN112714102A (zh) | 一种多核异构平台下SYN Flood攻击防御方法 | |
| CN107395550B (zh) | 一种网络攻击的防御方法及服务器 | |
| Wang et al. | An approach for protecting the openflow switch from the saturation attack | |
| Verma et al. | A service governance and isolation based approach to mitigate internal collateral damages in cloud caused by DDoS attack | |
| Kumar et al. | Experimental evaluation of juniper network's netscreen-5gt security device against layer4 flood attacks | |
| CN103973584B (zh) | 动态切换数据包的转发方式的方法和设备 | |
| Yuan et al. | A lab implementation of SYN flood attack and defense | |
| CN114024731A (zh) | 报文处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140326 |