CN104202297B

CN104202297B - 一种动态地适应服务器性能的防攻击方法和设备

Info

Publication number: CN104202297B
Application number: CN201410369907.5A
Authority: CN
Inventors: 王国利; 郗二军
Original assignee: New H3C Technologies Co Ltd
Current assignee: New H3C Technologies Co Ltd
Priority date: 2014-07-30
Filing date: 2014-07-30
Publication date: 2018-09-14
Anticipated expiration: 2034-07-30
Also published as: CN104202297A

Abstract

本发明公开了一种动态地适应服务器性能的防攻击方法和设备，该方法包括：网络设备计算连接会话数量和半连接率；当连接会话数量大于预设第一阈值，半连接率不大于预设第二阈值时，网络设备调整预设第一阈值为当前预设第一阈值与M之和，并设置服务器的状态为正常状态；当连接会话数量大于预设第一阈值，半连接率大于预设第二阈值时，网络设备调整预设第一阈值为当前预设第一阈值与N之差，并设置服务器的状态为攻击状态；网络设备在服务器的状态为正常状态时，允许向服务器发送报文；在服务器的状态为攻击状态时，丢弃向服务器发送的报文。本发明实施例中，可以得每个服务器都响应正常的连接会话，并且可以承受一定的DOS攻击。

Description

一种动态地适应服务器性能的防攻击方法和设备

技术领域

本发明涉及通信技术领域，尤其是涉及了一种动态地适应服务器性能的防攻击方法和设备。

背景技术

DOS(Deny Of Service，拒绝服务)攻击是指：攻击者使用大量数据包堵塞服务器对外提供的服务，使服务器无法接受正常用户的请求。例如，攻击者利用协议栈向服务器发送大量半连接报文，这些半连接报文会导致服务器维护大量半连接会话，这些半连接会话会消耗服务器的大量资源，导致正常用户无法访问服务器，直到半连接会话超时被删除，服务器的资源才被释放。

如图1所示，为DOS攻击网络的组网示意图，防火墙设备所保护的私网内下挂了多个受保护的服务器。为了避免DOS攻击，防火墙设备会为每个服务器配置相同的阈值，当向某个服务器发送报文的速率超过配置的阈值时，则防火墙设备将丢弃向该服务器发送的报文；当向该服务器发送报文的速率未超过配置的阈值时，则防火墙设备将允许向该服务器发送的报文通过。

但是，由于多个受保护的服务器的性能可能并不一样，因此，如果上述配置的阈值很低，则会导致性能高的服务器不能发挥其高性能的特性；进一步的，如果上述配置的阈值很高，则会导致性能低的服务器的负载过重。

发明内容

本发明实施例提供一种动态地适应服务器性能的防攻击方法，所述方法包括以下步骤：

网络设备统计服务器对应的全连接会话数量和半连接会话数量，并利用所述全连接会话数量和所述半连接会话数量计算连接会话数量和半连接率；

当所述连接会话数量大于预设第一阈值，并且所述半连接率不大于预设第二阈值时，所述网络设备调整预设第一阈值为当前预设第一阈值与M之和，并设置所述服务器的状态为正常状态；其中，所述M为正整数；

当所述连接会话数量大于预设第一阈值，并且所述半连接率大于预设第二阈值时，所述网络设备调整预设第一阈值为当前预设第一阈值与N之差，并设置所述服务器的状态为攻击状态；其中，所述N为正整数；

所述网络设备在所述服务器的状态为正常状态时，允许向所述服务器发送报文；在所述服务器的状态为攻击状态时，丢弃向所述服务器发送的报文。

所述网络设备利用所述全连接会话数量和所述半连接会话数量计算连接会话数量和半连接率，具体包括：

所述网络设备计算所述连接会话数量为全连接会话数量与半连接会话数量之和，并计算所述半连接率为半连接会话数量除以所述连接会话数量。

所述方法进一步包括：

在调整预设第一阈值为当前预设第一阈值与N之差时，如果当前预设第一阈值与N之差小于所述服务器对应的初始连接配置限制值，则所述网络设备调整预设第一阈值为所述服务器对应的初始连接配置限制值。

所述方法进一步包括：

所述网络设备为服务器维护统计节点表项，所述统计节点表项中记录有所述服务器对应的IP地址、预设第一阈值、连接会话数量、半连接率、状态。

所述网络设备具体包括防火墙设备，所述防火墙设备所保护的私网内下挂一个或者多个受保护的服务器。

本发明实施例提供一种网络设备，所述网络设备具体包括：

计算模块，用于统计服务器对应的全连接会话数量和半连接会话数量，并利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率；

调整模块，用于当所述连接会话数量大于预设第一阈值，并且所述半连接率不大于预设第二阈值时，调整预设第一阈值为当前预设第一阈值与M之和，并设置所述服务器的状态为正常状态；其中，所述M为正整数；

当所述连接会话数量大于预设第一阈值，并且所述半连接率大于预设第二阈值时，调整预设第一阈值为当前预设第一阈值与N之差，并设置所述服务器的状态为攻击状态；其中，所述N为正整数；

处理模块，用于在服务器的状态为正常状态时，允许向所述服务器发送报文；在服务器的状态为攻击状态时，丢弃向所述服务器发送的报文。

所述计算模块，具体用于在利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率时，计算连接会话数量为全连接会话数量与半连接会话数量之和，并计算半连接率为半连接会话数量除以所述连接会话数量。

所述调整模块，进一步用于在调整预设第一阈值为当前预设第一阈值与N之差时，如果当前预设第一阈值与N之差小于所述服务器对应的初始连接配置限制值，则调整预设第一阈值为所述服务器对应的初始连接配置限制值。

还包括：

维护模块，用于为服务器维护统计节点表项，该统计节点表项中记录有所述服务器对应的IP地址、预设第一阈值、连接会话数量、半连接率、状态。

基于上述技术方案，本发明实施例中，在多个受保护的服务器的性能并不一样时，网络设备能够为每个服务器分别配置连接会话数量的阈值，并且在网络设备所保护的服务器达到性能瓶颈或者遭受DOS攻击时，网络设备可以根据服务器的性能和状态自动调整该服务器的连接会话数量的阈值，使得每个服务器都可以响应正常的连接会话，也可以承受一定的DOS攻击。

附图说明

图1是DOS攻击网络的组网示意图；

图2是本发明实施例提供的一种动态地适应服务器性能的防攻击方法流程示意图；

图3是本发明实施例提供的一种网络设备的结构示意图。

具体实施方式

针对现有技术中存在的问题，本发明实施例提供一种动态地适应服务器性能的防攻击方法，该方法应用在网络设备所保护的私网内下挂一个或者多个受保护的服务器的网络中。以图1为本发明实施例的应用场景示意图，在网络设备所保护的私网内下挂了多个受保护的服务器，多个受保护的服务器分别为HTTP(Hyper Text Transfer Protocol，超文本传输协议)服务器、SMTP(Simple Mail Transfer Protocol，简单邮件传输协议)服务器、DNS(Domain Name System，域名系统)服务器、FTP(File Transfer Protocol，文件传输协议)服务器等。其中，该网络设备具体包括但不限于防火墙设备、高端路由器设备等。

本发明实施例中，对于各服务器的处理方式相同，下面以一个服务器(如HTTP服务器)的处理为例，对本发明实施例提供的技术方案进行详细说明。如图2所示，该动态地适应服务器性能的防攻击方法具体可以包括以下步骤：

步骤201，网络设备统计服务器对应的全连接会话数量和半连接会话数量，并利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率。

其中，全连接会话是指已经成功建立连接的会话，对于正常用户，其会在短时间内与服务器建立连接，因此正常用户的连接会话通常是全连接会话。半连接会话是指没有成功建立连接的会话，对于攻击者，其会在很长时间内与服务器保持半连接状态，即攻击者通过向服务器发送大量半连接报文，使得服务器维护大量的半连接会话，因此攻击者的连接会话通常是半连接会话。在服务器与正常用户、攻击者建立会话的过程中，网络设备能够统计出服务器对应的全连接会话数量，并能够统计出服务器对应的半连接会话数量。

本发明实施例中，网络设备利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率的过程，具体包括：网络设备计算连接会话数量为全连接会话数量与半连接会话数量之和，即连接会话数量＝全连接会话数量+半连接会话数量，并计算半连接率为半连接会话数量除以连接会话数量，即半连接率＝半连接会话数量/(全连接会话数量+半连接会话数量)。

本发明实施例中，网络设备可以为每个服务器维护一个统计节点表项，且该统计节点表项中记录有服务器对应的IP地址、预设第一阈值、连接会话数量、半连接率和状态。基于此，当服务器(如HTTP服务器)开始对外网提供服务之后，一旦有用户访问到该HTTP服务器，则网络设备会生成该HTTP服务器对应的统计节点表项，如表1所示。该统计节点表项中记录的IP地址为HTTP服务器的IP地址；预设第一阈值为管理员初始配置的HTTP服务器对应的初始连接配置限制值，如管理员配置初始连接配置限制值为800时，预设第一阈值为800；连接会话数量和半连接率由网络设备通过步骤201的过程确定；状态有正常状态和攻击状态两种，且状态的初始值为正常状态。

表1

IP地址	预设第一阈值	连接会话数量	半连接率	状态
					33.3.3.3	800	1	0％	正常状态

本发明实施例中，预设第一阈值可以为服务器对应的下限阈值，在实际应用中，统计节点表项中还可以记录服务器对应的上限阈值，且上限阈值的初始值可以为管理员初始配置的HTTP服务器对应的初始连接配置上限值(如1000)，且在后续过程中，上限阈值的调整方式与下限阈值的调整方式相同。此外，统计节点表项中还可以记录服务器对应的协议类型，如HTTP服务器对应的协议类型为TCP(Transmission Control Protocol，传输控制协议)。

步骤202，网络设备判断连接会话数量是否大于预设第一阈值；当连接会话数量大于预设第一阈值时，则执行步骤203；否则，结束流程。

步骤203，网络设备判断半连接率是否大于预设第二阈值；当半连接率不大于预设第二阈值时，则执行步骤204；否则，执行步骤205。其中，预设第二阈值可以为管理员配置的允许半连接率的阈值，如预设第二阈值为10％。

本发明实施例中，网络设备可以周期性统计服务器对应的全连接会话数量和半连接会话数量，并利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率。基于当前统计得到的连接会话数量，网络设备通过查询表1所示的统计节点表项，可以判断出连接会话数量是否大于预设第一阈值。当连接会话数量不大于预设第一阈值时，则结束流程，并等待下次统计服务器对应的连接会话数量和半连接率。当连接会话数量大于预设第一阈值时，基于当前统计得到的半连接率，网络设备可以判断出半连接率是否大于预设第二阈值；如果否，则执行步骤204；如果是，则执行步骤205。

步骤204，网络设备调整预设第一阈值为当前预设第一阈值与M之和，并设置服务器的状态为正常状态；其中，M为正整数。

步骤205，网络设备调整预设第一阈值为当前预设第一阈值与N之差，并设置服务器的状态为攻击状态；其中，N为正整数。

在本发明实施例中，M的值与N的值可以相同，也可以不同，后续以M的值与N的值相同，且M的值与N的值均为500为例进行说明。

本发明实施例中，在调整预设第一阈值为当前预设第一阈值与N之差时，如果当前预设第一阈值与N之差小于服务器对应的初始连接配置限制值，则网络设备调整预设第一阈值为服务器对应的初始连接配置限制值。其中，服务器对应的初始连接配置限制值是管理员初始配置的服务器对应的初始连接配置限制值。

例如，基于表1所示的统计节点表项，假设当前有900个全连接会话，且没有半连接会话，则连接会话数量为900，半连接率为0。由于连接会话数量900大于当前预设第一阈值800，且半连接率0小于预设第二阈值10％，因此，网络设备调整预设第一阈值为当前预设第一阈值(800)与M(500)之和，并设置服务器的状态为正常状态，处理后的统计节点表项如表2所示。

表2

IP地址	预设第一阈值	连接会话数量	半连接率	状态
					33.3.3.3	1300	900	0％	正常状态

基于表2所示的统计节点表项，假设当前有1000个全连接会话，有900个半连接会话(即攻击者模拟900个不存在的主机向服务器发起请求)，则连接会话数量为1900，半连接率为47％(900/1900)。由于连接会话数量1900大于当前预设第一阈值1300，且半连接率47％大于预设第二阈值10％，因此，网络设备调整预设第一阈值为当前预设第一阈值(1300)与N(500)之差，并设置服务器的状态为攻击状态，处理后的统计节点表项如表3所示。

表3

IP地址	预设第一阈值	连接会话数量	半连接率	状态
					33.3.3.3	800	1900	47％	攻击状态

步骤206，在服务器的状态为正常状态时，网络设备允许向服务器发送报文；在服务器的状态为攻击状态时，网络设备丢弃向服务器发送的报文。

基于表2所示的统计节点表项，网络设备获知服务器的状态为正常状态，此时允许向服务器发送报文，即将目的地址为33.3.3.3的报文均转发给服务器。基于表3所示的统计节点表项，网络设备获知服务器的状态为攻击状态，此时不允许向服务器发送报文，即丢弃所有目的地址为33.3.3.3的报文。

本发明实施例的上述过程是以一个服务器的处理为例进行说明的，对于网络设备所保护的私网内下挂的多个服务器，每个服务器的处理方式与上述服务器的处理方式相同，因此网络设备可以维护表4所示的统计节点表项。IP地址为33.3.3.3的统计节点表项对应于HTTP服务器、IP地址为33.3.3.4的统计节点表项对应于SMTP服务器、IP地址为33.3.3.5的统计节点表项对应于DNS服务器、IP地址为33.3.3.6的统计节点表项对应于FTP服务器。

表3

IP地址	预设第一阈值	连接会话数量	半连接率	状态
					33.3.3.3	800	1900	47％	攻击状态
33.3.3.4	5000	4800	5％	正常状态
					33.3.3.5	6800	10000	40％	攻击状态
33.3.3.6	10000	8000	0％	正常状态

基于与上述方法同样的发明构思，本发明实施例中还提供了一种网络设备，如图3所示，所述网络设备具体包括：

计算模块11，用于统计服务器对应的全连接会话数量和半连接会话数量，并利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率；

调整模块12，用于当所述连接会话数量大于预设第一阈值，并且所述半连接率不大于预设第二阈值时，调整预设第一阈值为当前预设第一阈值与M之和，并设置所述服务器的状态为正常状态；其中，所述M为正整数；

处理模块13，用于在服务器的状态为正常状态时，允许向所述服务器发送报文；在服务器的状态为攻击状态时，丢弃向所述服务器发送的报文。

所述计算模块11，具体用于在利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率时，计算连接会话数量为全连接会话数量与半连接会话数量之和，并计算半连接率为半连接会话数量除以所述连接会话数量。

所述调整模块12，进一步用于在调整预设第一阈值为当前预设第一阈值与N之差时，如果当前预设第一阈值与N之差小于所述服务器对应的初始连接配置限制值，调整预设第一阈值为所述服务器对应的初始连接配置限制值。

本发明实施例中，所述网络设备，还包括：维护模块14，用于为服务器维护统计节点表项，该统计节点表项中记录有所述服务器对应的IP地址、预设第一阈值、连接会话数量、半连接率、状态。

本发明实施例中，所述网络设备具体包括但不限于防火墙设备，且所述防火墙设备所保护的私网内下挂一个或者多个受保护的服务器。

其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims

1.一种动态地适应服务器性能的防攻击方法，其特征在于，该方法包括：

所述网络设备在所述服务器的状态为正常状态时，允许向所述服务器发送的报文通过；在所述服务器的状态为攻击状态时，丢弃向所述服务器发送的报文。

2.如权利要求1所述的方法，其特征在于，所述网络设备利用所述全连接会话数量和所述半连接会话数量计算连接会话数量和半连接率，具体包括：

3.如权利要求1所述的方法，其特征在于，所述方法进一步包括：

4.如权利要求1所述的方法，其特征在于，所述方法进一步包括：

5.如权利要求1-4任一项所述的方法，其特征在于，

6.一种网络设备，其特征在于，所述网络设备具体包括：

处理模块，用于在服务器的状态为正常状态时，允许向所述服务器发送的报文通过；在服务器的状态为攻击状态时，丢弃向所述服务器发送的报文。

7.如权利要求6所述的网络设备，其特征在于，

8.如权利要求6所述的网络设备，其特征在于，

9.如权利要求6所述的网络设备，其特征在于，还包括：

10.如权利要求6-9任一项所述的网络设备，其特征在于，