CN104601542A - 一种适用于虚拟机的ddos主动防护方法 - Google Patents
一种适用于虚拟机的ddos主动防护方法 Download PDFInfo
- Publication number
- CN104601542A CN104601542A CN201410737209.6A CN201410737209A CN104601542A CN 104601542 A CN104601542 A CN 104601542A CN 201410737209 A CN201410737209 A CN 201410737209A CN 104601542 A CN104601542 A CN 104601542A
- Authority
- CN
- China
- Prior art keywords
- linking number
- port
- virtual machine
- ddos
- defence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及云计算技术领域,特别是指一种适用于虚拟机的DDOS主动防护方法。本发明首先在宿主物理机上安装网络数据包过滤工具,用于过滤数据链路层数据包;然后设置防御连接数,防御端口及轮询时间;每次轮询查询所有连接到服务器的活跃的网络连接,并过滤出连接到当前防御端口的活跃网络链接;根据查询结果计算连接到防御端口的IP地址和连接数,并按照连接数排序;其次对比当前所有IP地址对应连接数与预先设置防御连接数大小;最后关闭对于连接数大于防御连接数的IP连接;本发明可对虚拟机DDOS防护进行主动防护,提前将攻击关闭;可应用于虚拟机的DDOS防护。
Description
技术领域
本发明涉及云计算技术领域,特别是指一种适用于虚拟机的DDOS主动防护方法。
背景技术
在云计算环境下,随着越来越多的公司开始使用虚拟化数据中心和云服务,DDOS攻击也开始由原来利用大量数据流进行暴力式攻击转变为针对基础应用程序的技术性攻击。大多数的针对DDOS攻击的网络对策方案无法使网络免受DDoS攻击,因为它们无法阻止通信的大量涌入,而且典型情况是,它们都不能区分好的内容和坏的内容。传统的IPS、WAF之类根据特征来识别网络数据是有效的,但是对于内容合法而目的不良的攻击却束手无策。因此,DDOS攻击将会是云计算环境下虚拟机安全面临的重要威胁之一,目前在虚拟机上采取的DDOS攻击防护手段都是基于虚拟机设置及网络设备,一般有如下:
1、采用高性能的网络设备,要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。
2、在虚拟机内部关闭不必要的服务,限制同时打开的Syn半连接数目,及时更新系统补丁的方式防止DDOS攻击。
上述方法存在以下弊端:
1、防御成本高昂,市面上2G硬防单价在10W左右;
2、防御手段过于被动,不能主动发现DDOS攻击现象,提前将攻击关闭。
3、防御手段复杂,需要在每台虚拟机上做防护设置,定期更新补丁。
发明内容
本发明解决的技术问题在于提供一种适用于虚拟机的DDOS主动防护方法;解决传统方法存在的不足,降低防护成本,提供一种易操作及主动防御的解决方案。
本发明解决上述技术问题的技术方案是:
所述的方法具体包括如下步骤:
步骤1:在宿主物理机上安装网络数据包过滤工具,用于过滤数据链路层数据包;
步骤2:设置防御连接数,防御端口及轮询时间;
步骤3:每次轮询查询所有连接到服务器的活跃的网络连接,并过滤出连接到当前防御端口的活跃网络链接;
步骤4:根据查询结果计算连接到防御端口的IP地址和连接数,并按照连接数排序;
步骤5:对比当前所有IP地址对应连接数与预先设置防御连接数大小;
步骤6:关闭连接数大于防御连接数的IP连接。
所述的网络数据包过滤工具是Linux下的iptables;如果Linux系统连接到因特网、LAN或服务器,或连接LAN和因特网的代理服务器,则有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。
所述的连接数,当访问者访问应用时,他就占用至少一个连接;有时根据程序的不同,一个访问者也可能占用多个连接数;
所述的防御端口,一般是应用对外开放的端口,用户通过这个端口访问服务器;
所述的轮询时间,即循环检测的时间间隔。
所述的活跃网络连接,即当前访问者正处于交互状态。
本发明的方法可降低防护成本,减少设备和基础设施的投资以及其他硬件解决方案。本发明的方法提高了防护的易操作性,不需要在虚拟机上做任何配置,对原有系统无任何的侵入性。本发明的方法是一种主动防护的方法,对虚拟机DDOS防护进行主动防护,提前将攻击关闭。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的流程图;
具体实施方式
本发明的实施方式有多种,这里以Linux下的iptables为例说明其中一种实现方法,流程图如图1所示,具体实施过程如下:
1、在宿主物理机上安装网络数据包过滤工具,用于过滤数据链路层数据包,
比如Linux下的iptables等;
取yum install iptables.x86_64-y
2、设置防御连接数,防御端口及轮询时间;
3、每次轮询查询所有连接到服务器的活跃的网络连接,并过滤出连接到当前防御端口的活跃网络链接;
netstat-an|grep:$conPort|sort
#conPort为设置的防御端口,也就是应用对外端口
4、根据查询结果计算连接到防御端口的IP地址和连接数,并按照连接数排序;
netstat-plan|grep:conPort|awk{'print$5'}|cut-d:-f 1|sort|uniq-c|sort-nk 1
#conPort为设置的防御端口,也就是应用对外端口
5、对比当前所有IP地址对应连接数与预先设置防御连接数大小;
将获取的IP地址及连接数与预先设置的防御连接数对比,大于防御连接数的关闭,如果小于,则对比下一个IP地址连接数,完成对比后,等待下一个轮询。
6、关闭对于连接数大于防御连接数的IP连接;
iptables-A INPUT 1-s$IPADRESS-j DROP/REJECT
#IPADRESS为连接数大于防御连接数的IP地址。
Claims (5)
1.一种适用于虚拟机的DDOS主动防护方法,其特征在于:所述的方法具体包括如下步骤:
步骤1:在宿主物理机上安装网络数据包过滤工具,用于过滤数据链路层数据包;
步骤2:设置防御连接数,防御端口及轮询时间;
步骤3:每次轮询查询所有连接到服务器的活跃的网络连接,并过滤出连接到当前防御端口的活跃网络链接;
步骤4:根据查询结果计算连接到防御端口的IP地址和连接数,并按照连接数排序;
步骤5:对比当前所有IP地址对应连接数与预先设置防御连接数大小;
步骤6:关闭连接数大于防御连接数的IP连接。
2.根据权利要求1所述的适用于虚拟机的DDOS主动防护方法,其特征在于:所述的网络数据包过滤工具是Linux下的iptables;如果Linux系统连接到因特网、LAN或服务器,或连接LAN和因特网的代理服务器,则有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。
3.根据权利要求1所述的适用于虚拟机的DDOS主动防护方法,其特征在于:所述的连接数,当访问者访问应用时,他就占用至少一个连接;有时根据程序的不同,一个访问者也可能占用多个连接数;
所述的防御端口,一般是应用对外开放的端口,用户通过这个端口访问服务器;
所述的轮询时间,即循环检测的时间间隔。
4.根据权利要求2所述的适用于虚拟机的DDOS主动防护方法,其特征在于:所述的连接数,当访问者访问应用时,他就占用至少一个连接;有时根据程序的不同,一个访问者也可能占用多个连接数;
所述的防御端口,一般是应用对外开放的端口,用户通过这个端口访问服务器;
所述的轮询时间,即循环检测的时间间隔。
5.根据权利要求1至4任一项所述的适用于虚拟机的DDOS主动防护方法,其特征在于:所述的活跃网络连接,即当前访问者正处于交互状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410737209.6A CN104601542A (zh) | 2014-12-05 | 2014-12-05 | 一种适用于虚拟机的ddos主动防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410737209.6A CN104601542A (zh) | 2014-12-05 | 2014-12-05 | 一种适用于虚拟机的ddos主动防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104601542A true CN104601542A (zh) | 2015-05-06 |
Family
ID=53127049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410737209.6A Pending CN104601542A (zh) | 2014-12-05 | 2014-12-05 | 一种适用于虚拟机的ddos主动防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104601542A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105827615A (zh) * | 2016-04-22 | 2016-08-03 | 浪潮电子信息产业股份有限公司 | 一种Smart Rack防止DDOS攻击的优化方法 |
CN106302347A (zh) * | 2015-05-28 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网络攻击处理方法和装置 |
CN106789892A (zh) * | 2016-11-22 | 2017-05-31 | 国云科技股份有限公司 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
CN107659511A (zh) * | 2017-08-16 | 2018-02-02 | 华为技术有限公司 | 一种过载控制方法、主机和存储介质以及程序产品 |
CN111541706A (zh) * | 2020-04-30 | 2020-08-14 | 成都安恒信息技术有限公司 | 一种系统抗DDoS性能的检测方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1697397A (zh) * | 2004-05-13 | 2005-11-16 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
US7484011B1 (en) * | 2003-10-08 | 2009-01-27 | Cisco Technology, Inc. | Apparatus and method for rate limiting and filtering of HTTP(S) server connections in embedded systems |
CN102752208A (zh) * | 2012-07-06 | 2012-10-24 | 汉柏科技有限公司 | 防止半连接攻击的方法及系统 |
US20130133068A1 (en) * | 2010-12-07 | 2013-05-23 | Huawei Technologies Co., Ltd. | Method, apparatus and system for preventing ddos attacks in cloud system |
CN104023011A (zh) * | 2014-05-30 | 2014-09-03 | 国云科技股份有限公司 | 一种适用于虚拟机的网络防火墙的实现方法 |
-
2014
- 2014-12-05 CN CN201410737209.6A patent/CN104601542A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7484011B1 (en) * | 2003-10-08 | 2009-01-27 | Cisco Technology, Inc. | Apparatus and method for rate limiting and filtering of HTTP(S) server connections in embedded systems |
CN1697397A (zh) * | 2004-05-13 | 2005-11-16 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
US20130133068A1 (en) * | 2010-12-07 | 2013-05-23 | Huawei Technologies Co., Ltd. | Method, apparatus and system for preventing ddos attacks in cloud system |
CN102752208A (zh) * | 2012-07-06 | 2012-10-24 | 汉柏科技有限公司 | 防止半连接攻击的方法及系统 |
CN104023011A (zh) * | 2014-05-30 | 2014-09-03 | 国云科技股份有限公司 | 一种适用于虚拟机的网络防火墙的实现方法 |
Non-Patent Citations (2)
Title |
---|
张文盛; 侯整风: "基于Netfilter的内网流量监控系统应用研究", 《山东理工大学学报(自然科学版)》 * |
未知: "Linux下如何防止DOS和linux如何防火墙防止DDOS攻击方法", 《百度文库》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302347A (zh) * | 2015-05-28 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网络攻击处理方法和装置 |
CN106302347B (zh) * | 2015-05-28 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 一种网络攻击处理方法和装置 |
CN105827615A (zh) * | 2016-04-22 | 2016-08-03 | 浪潮电子信息产业股份有限公司 | 一种Smart Rack防止DDOS攻击的优化方法 |
CN106789892A (zh) * | 2016-11-22 | 2017-05-31 | 国云科技股份有限公司 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
CN106789892B (zh) * | 2016-11-22 | 2020-05-22 | 国云科技股份有限公司 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
CN107659511A (zh) * | 2017-08-16 | 2018-02-02 | 华为技术有限公司 | 一种过载控制方法、主机和存储介质以及程序产品 |
CN111541706A (zh) * | 2020-04-30 | 2020-08-14 | 成都安恒信息技术有限公司 | 一种系统抗DDoS性能的检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104601542A (zh) | 一种适用于虚拟机的ddos主动防护方法 | |
US20190104136A1 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
CN105681250B (zh) | 一种僵尸网络分布式实时检测方法和系统 | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
Choi | Implementation of content-oriented networking architecture (CONA): a focus on DDoS countermeasure | |
KR102451237B1 (ko) | 컨테이너 네트워크를 위한 보안 | |
CN104734903B (zh) | 基于动态跟踪技术的opc协议的安全防护方法 | |
CN106899612B (zh) | 一种自动检测假冒主机arp欺骗的方法 | |
EP2767056A1 (en) | A method and a system to detect malicious software | |
Oktian et al. | Mitigating denial of service (dos) attacks in openflow networks | |
CN110933111B (zh) | 一种基于DPI的DDoS攻击识别方法及装置 | |
US20140380457A1 (en) | Adjusting ddos protection | |
CN106686007B (zh) | 一种发现内网被控重路由节点的主动流量分析方法 | |
US20200007395A1 (en) | Dynamic segmentation management | |
WO2016048962A1 (en) | Collaborative deep packet inspection systems and methods | |
Graham et al. | Botnet detection within cloud service provider networks using flow protocols | |
WO2021202116A1 (en) | Multiple sourced classification | |
CN106789892B (zh) | 一种云平台通用的防御分布式拒绝服务攻击的方法 | |
Singh | A Study on Cooperative Defense Against Network Attacks | |
CN112702347A (zh) | 一种基于sdn入侵检测技术 | |
Mehta | Distributed Denial of service Attacks on Cloud Environment. | |
Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
KR102207289B1 (ko) | 소프트웨어 정의 네트워크를 이용하여 디도스 공격을 회피하는 방법, 장치 및 컴퓨터 프로그램 | |
CN114172697B (zh) | 一种防御高速网络中IP地址欺骗DDoS攻击的方法 | |
US20230110265A1 (en) | Agentless network traffic mapping |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150506 |
|
RJ01 | Rejection of invention patent application after publication |