CN106789892B - 一种云平台通用的防御分布式拒绝服务攻击的方法 - Google Patents
一种云平台通用的防御分布式拒绝服务攻击的方法 Download PDFInfo
- Publication number
- CN106789892B CN106789892B CN201611031797.7A CN201611031797A CN106789892B CN 106789892 B CN106789892 B CN 106789892B CN 201611031797 A CN201611031797 A CN 201611031797A CN 106789892 B CN106789892 B CN 106789892B
- Authority
- CN
- China
- Prior art keywords
- packet
- chain
- virtual
- machine
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及云平台安全领域,特别是一种云平台通用的防御分布式拒绝服务攻击的方法。本发明首先虚拟机挂载基于虚拟路由创建的虚拟网卡;接着云平台自动添加公共防御规则、物理机专属防御规则、虚拟机专属防御规则;然后物理机或虚拟你在使用的过程中,受到外部或者内部发起分布式拒绝服务攻击,当攻击发送超过一定的数量包,丢弃非法请求包;用户正常访问物理机或虚拟机。本发明解决了外网分布式拒绝服务攻击、局域网防御成本高、同一个宿主机的虚拟机相互攻击无法防御、防御方法不够通用等问题,可应用于云平台安全控制。
Description
技术领域
本发明涉及云平台安全领域,特别是一种云平台通用的防御分布式拒绝服务攻击的方法。
背景技术
一般的公有云计算平台上有多个计算节点,而每个计算节点上都有多个正在运行的虚拟机,每个虚拟机上都可能允许了一个或多个应用程序,由于许多物理机和虚拟机都连通外部网络或多个局域网,这样会带来以下隐患:
一是物理机或者虚拟机容易受到外部网络分布式拒绝服务攻击,导致应用程序服务异常。
二是物理机或虚拟机被非法操作之后,发起内部分布式拒绝服务攻击,导致整个局域网的物理机和虚拟机都出现异常。一般机房都只部署一台防火墙设备,用来防御外部分布式拒绝服务攻击,而每个局域网都安装硬件防火墙的成本非常高昂,导致无法防御内部的分布式拒绝服务攻击。
三是虚拟机发送分布式拒绝服务攻击给同一个宿主机上的另外一台虚拟机时候,不经过硬件防火墙,这种请求防不胜防。
四是不同厂商的硬件防火墙配置复杂,工作效率低。
发明内容
本发明提供一种云平台通用的防御分布式拒绝服务攻击的方法,解决了外网分布式拒绝服务攻击、局域网防御成本高、同一个宿主机的虚拟机相互攻击无法防御、防御方法不够通用等问题,提供较低成本的防御方法。
本发明解决上述技术问题的技术方案是,包括如下步骤:
步骤1:虚拟机挂载基于虚拟路由创建的虚拟网卡;
步骤2:添加公共防御规则、物理机专属防御规则、虚拟机专属防御规则;
步骤3:物理机或虚拟机在使用的过程中,受到外部或者内部发起分布式拒绝服务攻击,当攻击发送超过一定的数量包,丢弃非法请求包;
步骤4:用户正常访问物理机或虚拟机;
所述的步骤2中添加公共防御规则,具体是指云平台自动在Iptables的指定PREROUTING链添加单位时间发送UDP协议包、新建TCP连接和重建TCP连接数量限制规则;
所述的Iptables,是一种IP信息包过滤系统,也是一种软件防火墙,可以防御非法IP包请求,Iptables的包过滤顺序是PREROUTING链过滤一>分类发送一>INPUT链/FORWARD链过滤;
所述的PREROUTING链过滤,是指进入PREROUTING链的IP包,在IP包被修改之前,就丢弃不符合要求的IP包请求,可设置某个地址单位时间发送UDP协议包超过数量限制、新建连接超过数量限制、重连次数超过数量限制;
所述的分类发送,是指INPUT链收到的IP包是发送到本机的包,也是发送给物理机的包,每个包请求先进入PREROUTING链的过滤,再进入INPUT链,若在PREROUTING链丢弃的包,不会进入INPUT链过滤,FORWARD链收到的IP包不是发给物理机的包,实则是发送给宿主机上所有虚拟机或虚拟路由的包;
所述的步骤2中添加物理机专属防御规则,具体是指云平台自动在Iptables的INPUT链添加每个IP包的连接数总上限,并且优先级是INPUT链中最高的规则,可设置为匹配发送给物理机的IP包,若该IP包超过连接数总上限就丢弃,物理机的IP包连接数总上限不能在PREROUTING链生效,选择在INPUT链;
所述的步骤2中添加虚拟机专属防御规则,具体是指云平台自动在宿主机Iptables的FORWARD链添加每个IP包的连接数总上限,并且优先级是FORWARD链中最高的规则,可设置为匹配发送给虚拟机的IP包,若该IP包超过连接数总上限就丢弃,虚拟机IP包连接数总上限不能在PREROUTING链生效,选择在FORWARD链。
所述的步骤1,具体是指基于虚拟路由创建的虚拟网卡,挂载到虚拟机上使用。
所述步骤3,具体是指物理机或虚拟机在使用的过程中受到分布式拒绝服务攻击,Iptables单位时间收到某IP地址发送大量的UDP协议包、新建TCP连接、重建TCP连接的IP包请求,超过匹配防御规则,丢弃该IP地址发送的包请求;
所述的步骤4,具体是指用户正常访问物理机或虚拟机的IP包不受影响。
本发明方案的有益效果如下:
1、本发明的方法是云平台自动通过Iptables软件防火墙配置规则,区别于一般需要人工配置的硬件的防火墙。
2、本发明的方法是云平台通用的防御方法,区别于一般不能同时防御物理机和虚拟机分布式拒绝服务攻击的方法。
3、本发明的方法只需要在宿主机上设置一次,不需要重复设置,也不需要在虚拟机上设置,区别于一般需要多次设置或需要到虚拟机上设置的方法。
附图说明
下面结合附图对本发明进一步说明:
图1为流程图。
图2为本发明软件防火墙逻辑结构图。
具体实施方式
本发明的实施方式有多种,这里以云平台为例说明其中一种实现方法,流程图如图1所示,具体实施过程如下
1、虚拟机挂载基于虚拟路由创建的虚拟网卡,代码如下:
2、添加公共防御规则,代码如下:
3、添加物理机专属防御规则,代码如下:
4、添加虚拟机专属防御规则,代码如下:
5、物理机或虚拟机在使用的过程中,受到外部或者内部发起分布式拒绝服务攻击;
6、当攻击发送超过一定的数量包,丢弃非法请求包;
7、用户正常访问物理机或虚拟机不受影响。
整个流程结束。
图2为本发明软件防火墙逻辑结构图,对流程具体实现进行描述:
Iptables的包过滤顺序是PREROUTING链过滤一>分类发送一>INPUT链/FORWARD链过滤,云平台自动在Iptables的指定PREROUTING链添加单位时间发送UDP协议包、新建TCP连接和重建TCP连接数量限制规则,进入PREROUTING链的IP包,在IP包被修改之前,就丢弃不符合要求的IP包请求,如某个地址单位时间发送UDP协议包超过数量限制、新建连接超过数量限制、重连次数超过数量限制等;PREROUTING链过滤后,需发送到本机的包,也是发送给物理机的包发送到INPUT链,每个包请求都是先进入PREROUTING链的过滤,再进入INPUT链,若在PREROUTING链丢弃的包,不会进入INPUT链过滤,需发送给宿主机上所有虚拟机或虚拟路由的包则发送到FORWARD链。
云平台自动在Iptables的INPUT链添加每个IP的连接数总上限,并且优先级是INPUT链中最高的规则,物理机IP包连接数总上限不能在PREROUTING链生效,选择在INPUT链,进入INPUT链的IP包,则需匹配发送给物理机的IP包,若该IP包超过总连接上限就丢弃,过滤后发送到物理机上的应用程序。
云平台自动在宿主机Iptables的FORWARD链添加每个IP的连接数总上限,并且优先级是FORWARD链中最高的规则,虚拟机IP包连接数总上限不能在PREROUTING链生效,选择在FORWARD链,进入FORWARD链的IP包,则需匹配发送给虚拟机的IP包,若该IP包超过总连接上限就丢弃,过滤后发送到虚拟机上的应用程序。
Claims (3)
1.一种云平台通用的防御分布式拒绝服务攻击的方法,其特征在于,包括如下步骤:
步骤1:虚拟机挂载基于虚拟路由创建的虚拟网卡;
步骤2:添加公共防御规则、物理机专属防御规则、虚拟机专属防御规则;
步骤3:物理机或虚拟机在使用的过程中,受到外部或者内部发起分布式拒绝服务攻击,当攻击发送超过一定的数量包,丢弃非法请求包;
步骤4:用户正常访问物理机或虚拟机;
所述的步骤2中添加公共防御规则,具体是指云平台自动在Iptables的指定PREROUTING链添加单位时间发送UDP协议包、新建TCP连接和重建TCP连接数量限制规则;
所述的Iptables,是一种IP信息包过滤系统,也是一种软件防火墙,可以防御非法IP包请求,Iptables的包过滤顺序是PREROUTING链过滤->分类发送->INPUT链/FORWARD链过滤;
所述的PREROUTING链过滤,是指进入PREROUTING链的IP包,在IP包被修改之前,就丢弃不符合要求的IP包请求,可设置某个地址单位时间发送UDP协议包超过数量限制、新建连接超过数量限制、重连次数超过数量限制;
所述的分类发送,是指INPUT链收到的IP包是发送到本机的包,也是发送给物理机的包,每个包请求先进入PREROUTING链的过滤,再进入INPUT链,若在PREROUTING链丢弃的包,不会进入INPUT链过滤,FORWARD链收到的IP包不是发给物理机的包,实则是发送给宿主机上所有虚拟机或虚拟路由的包;
所述的步骤2中添加物理机专属防御规则,具体是指云平台自动在Iptables的INPUT链添加每个IP包的连接数总上限,并且优先级是INPUT链中最高的规则,可设置为匹配发送给物理机的IP包,若该IP包超过连接数总上限就丢弃,物理机的IP包连接数总上限不能在PREROUTING链生效,选择在INPUT链;
所述的步骤2中添加虚拟机专属防御规则,具体是指云平台自动在宿主机Iptables的FORWARD链添加每个IP包的连接数总上限,并且优先级是FORWARD链中最高的规则,可设置为匹配发送给虚拟机的IP包,若该IP包超过连接数总上限就丢弃,虚拟机IP包连接数总上限不能在PREROUTING链生效,选择在FORWARD链。
2.根据权利要求1所述的方法,其特征在于,所述的步骤1,具体是指基于虚拟路由创建的虚拟网卡,挂载到虚拟机上使用。
3.根据权利要求1或2所述的方法,其特征在于,所述步骤3,具体是指物理机或虚拟机在使用的过程中受到分布式拒绝服务攻击,Iptables单位时间收到某IP地址发送大量的UDP协议包、新建TCP连接、重建TCP连接的IP包请求,超过匹配防御规则,丢弃该IP地址发送的包请求;
所述的步骤4,具体是指用户正常访问物理机或虚拟机的IP包不受影响。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611031797.7A CN106789892B (zh) | 2016-11-22 | 2016-11-22 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611031797.7A CN106789892B (zh) | 2016-11-22 | 2016-11-22 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106789892A CN106789892A (zh) | 2017-05-31 |
CN106789892B true CN106789892B (zh) | 2020-05-22 |
Family
ID=58970828
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611031797.7A Active CN106789892B (zh) | 2016-11-22 | 2016-11-22 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106789892B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108091164B (zh) * | 2017-12-20 | 2021-03-16 | 浙江正元智慧科技股份有限公司 | 一种停车场智能控制系统 |
CN108989145A (zh) * | 2018-06-26 | 2018-12-11 | 郑州云海信息技术有限公司 | 一种网卡虚拟化特性的测试方法及装置 |
CN109150890A (zh) * | 2018-09-05 | 2019-01-04 | 杭州迪普科技股份有限公司 | 新建连接攻击的防护方法及相关设备 |
CN110381041B (zh) * | 2019-06-28 | 2021-12-14 | 奇安信科技集团股份有限公司 | 分布式拒绝服务攻击态势检测方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103731514A (zh) * | 2013-12-29 | 2014-04-16 | 国云科技股份有限公司 | 一种虚拟网络管理方法 |
CN104363230A (zh) * | 2014-11-14 | 2015-02-18 | 山东乾云启创信息科技有限公司 | 一种在桌面虚拟化中防护洪水攻击的方法 |
CN104601542A (zh) * | 2014-12-05 | 2015-05-06 | 国云科技股份有限公司 | 一种适用于虚拟机的ddos主动防护方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101621499B (zh) * | 2008-07-03 | 2012-09-05 | 中兴通讯股份有限公司 | 在终端设备上同时实现远程访问控制和隔离区应用的方法 |
CN102932377B (zh) * | 2012-11-28 | 2015-05-06 | 成都卫士通信息产业股份有限公司 | 一种ip报文过滤方法及装置 |
US9686162B2 (en) * | 2014-10-17 | 2017-06-20 | International Business Machines Corporation | Identifying configuration inconsistency in edge-based software defined networks (SDN) |
-
2016
- 2016-11-22 CN CN201611031797.7A patent/CN106789892B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103731514A (zh) * | 2013-12-29 | 2014-04-16 | 国云科技股份有限公司 | 一种虚拟网络管理方法 |
CN104363230A (zh) * | 2014-11-14 | 2015-02-18 | 山东乾云启创信息科技有限公司 | 一种在桌面虚拟化中防护洪水攻击的方法 |
CN104601542A (zh) * | 2014-12-05 | 2015-05-06 | 国云科技股份有限公司 | 一种适用于虚拟机的ddos主动防护方法 |
Non-Patent Citations (1)
Title |
---|
"Linux平台下应对DDoS攻击检测过滤技术研究";陈勇;《中国优秀硕士学位论文全文数据库 信息科技辑》;20160515;正文第29-46页 * |
Also Published As
Publication number | Publication date |
---|---|
CN106789892A (zh) | 2017-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3226508B1 (en) | Attack packet processing method, apparatus, and system | |
US9455956B2 (en) | Load balancing in a network with session information | |
EP3192230B1 (en) | System and method for providing an integrated firewall for secure network communication in a multi-tenant environment | |
CN106789892B (zh) | 一种云平台通用的防御分布式拒绝服务攻击的方法 | |
EP2974215B1 (en) | Protecting networks from cyber attacks and overloading | |
US7633864B2 (en) | Method and system for creating a demilitarized zone using network stack instances | |
RU2649290C1 (ru) | Система и способ фильтрации трафика при обнаружении DDoS-атаки | |
CN104468624B (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
Choi | Implementation of content-oriented networking architecture (CONA): a focus on DDoS countermeasure | |
CN102263788B (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
CN104639504B (zh) | 网络协同防御方法、装置和系统 | |
CN107995324A (zh) | 一种基于隧道模式的云防护方法及装置 | |
US20060059552A1 (en) | Restricting communication service | |
KR101553264B1 (ko) | 네트워크 침입방지 시스템 및 방법 | |
US20060165108A1 (en) | Method and system for unidirectional packet processing at data link layer | |
CN102594834B (zh) | 网络攻击的防御方法及装置、网络设备 | |
CN105939267A (zh) | 带外管理方法及装置 | |
US20160205135A1 (en) | Method and system to actively defend network infrastructure | |
Chang et al. | Cloud-clustered firewall with distributed SDN devices | |
JP5625394B2 (ja) | ネットワークセキュリティシステムおよび方法 | |
US20160080287A1 (en) | Governing bare metal guests | |
CN110995586A (zh) | 一种bgp报文的处理方法、装置、电子设备及存储介质 | |
CN113839933B (zh) | 一种利用安全组解决多网卡流量的方法 | |
CN104009967A (zh) | 防止非信任服务器攻击的方法 | |
Lotlikar et al. | DoShield Through SDN for IoT Enabled Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder |
Address after: 523808 19th Floor, Cloud Computing Center, Chinese Academy of Sciences, No. 1 Kehui Road, Songshan Lake Hi-tech Industrial Development Zone, Dongguan City, Guangdong Province Patentee after: G-CLOUD TECHNOLOGY Co.,Ltd. Address before: 523808 Guangdong province Dongguan City Songshan Lake Science and Technology Industrial Park Building No. 14 Keyuan pine Patentee before: G-CLOUD TECHNOLOGY Co.,Ltd. |
|
CP02 | Change in the address of a patent holder |