專利名稱:云系統(tǒng)分布式拒絕服務攻擊防護方法以及裝置和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及計算機技術領域�����,具體涉及云系統(tǒng)分布式拒絕服務攻擊防護方法�����、云 計算系統(tǒng)內防護節(jié)點和云計算系統(tǒng)內防護系統(tǒng)�。
背景技術:
分布式拒絕服務(DDOS,Distributed Denial of Service)攻擊主要是指攻擊者 利用主控主機做跳板(可能多級多層)�,控制大量受感染而被控制的主機組成攻擊網絡來 對受害主機進行大規(guī)模的拒絕服務攻擊。
DDOS攻擊可以利用攻擊網絡對受害主機發(fā)起互聯(lián)網(Internet)控制報文協(xié)議 (ICMP, Internet Control Message Protocol)洪水(Flood)�����、用戶數(shù)據包協(xié)議(UDP, User Datagram Protocol) flood��、同步(SYN���,Synchronize) flood 等攻擊����,DDOS 攻擊往往能把單 個攻擊者的攻擊以級數(shù)形式進行放大����,從而對用戶主機造成重大影響,甚至造成癱瘓��,對網 絡也會造成嚴重擁塞�。
目前通過虛擬機軟件,可以在一臺物理計算機上模擬出一臺或多臺虛擬的計算 機���,而這些虛擬機就像真正的計算機那樣進行工作����,虛擬機上可安裝操作系統(tǒng)、安裝應用程 序�����、訪問網絡資源等等���。對于在虛擬機中運行的應用程序而言����,虛擬機就像是在真正的計算 機中進行工作���。
云計算系統(tǒng)(可簡稱云系統(tǒng))可看成是在通用硬件上進行分布式計算�、存儲及管 理的一種集群系統(tǒng)�����,云系統(tǒng)可提供高吞吐量的數(shù)據訪問��,能夠應用于大規(guī)模數(shù)據計算和存 儲�����。
隨著云系統(tǒng)技術的發(fā)展����,一個云系統(tǒng)可能包括成千上萬個虛擬機,使得云系統(tǒng)內 的各虛擬機的安全防護也日漸受到關注�,有效防護云系統(tǒng)內各個虛擬機間的DDOS攻擊的 顯得尤為重要,但現(xiàn)有的DDOS防護機制主要針對不同云系統(tǒng)之間���,云系統(tǒng)與云系統(tǒng)外的主 機之間���、非云系統(tǒng)的各主機之間的DDOS攻擊進行防護,并不適用于防護云系統(tǒng)內各個虛擬 機間的DDOS攻擊����。發(fā)明內容
本發(fā)明實施例提供一種云系統(tǒng)分布式拒絕服務攻擊防護方法以及裝置和系統(tǒng),以 有效的防護云系統(tǒng)內各個虛擬機間的DDOS攻擊��。
為解決上述技術問題��,本發(fā)明實施例提供以下技術方案
一種云系統(tǒng)分布式拒絕服務攻擊防護方法���,包括
云計算系統(tǒng)內的防護節(jié)點監(jiān)測注入虛擬機的數(shù)據流量����,其中,所述云計算系統(tǒng)包 括防護節(jié)點和多個虛擬機����,各個虛擬機之間交互的數(shù)據流經過防護節(jié)點;
若監(jiān)測到注入所述虛擬機的數(shù)據流量發(fā)生異常��,提取待注入所述虛擬機的數(shù)據 流�;
將提取的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗;
接收所述流量清洗裝置進行流量清洗后的數(shù)據流�;
向所述虛擬機注入清洗后的數(shù)據流。
一種云計算系統(tǒng)內的防護節(jié)點�����,云計算系統(tǒng)包括防護節(jié)點和多個虛擬機����,各個虛 擬機之間交互的數(shù)據流經過防護節(jié)點,所述防護節(jié)點包括
監(jiān)測模塊����,用于監(jiān)測注入虛擬機的數(shù)據流量;
提取發(fā)送模塊����,用于在所述監(jiān)測模塊監(jiān)測到注入所述虛擬機的數(shù)據流量發(fā)生異 常時,提取待注入所述虛擬機的數(shù)據流����,將提取的數(shù)據流發(fā)送給流量清洗裝置進行流量清 洗;
接收模塊���,用于接收所述流量清洗裝置進行流量清洗后的數(shù)據流�;
注入模塊�����,用于向所述虛擬機注入所述接收模塊接收的清洗后的數(shù)據流���。
一種云計算系統(tǒng)的防護系統(tǒng)�,云計算系統(tǒng)包括防護節(jié)點和多個虛擬機����,各個虛擬 機之間交互的數(shù)據流經過防護節(jié)點,所述防護系統(tǒng)包括
云計算系統(tǒng)內防護節(jié)點���,用于監(jiān)測注入虛擬機的數(shù)據流量��;若監(jiān)測到注入所述虛 擬機的數(shù)據流量發(fā)生異常�����,提取待注入所述虛擬機的數(shù)據流����,將提取的數(shù)據流發(fā)送給流量 清洗裝置進行流量清洗;接收所述流量清洗裝置進行流量清洗后的數(shù)據流��;向所述虛擬機 注入清洗后的數(shù)據流���。
流量清洗裝置�,用于對來自云計算系統(tǒng)內防護節(jié)點的待注入虛擬機的數(shù)據流進行 流量清洗���,向所述云計算系統(tǒng)內防護節(jié)點發(fā)送進行流量清洗后的數(shù)據流���。
由上可見,本發(fā)明實施例中在云計算系統(tǒng)內部署防護節(jié)點�����,由云計算系統(tǒng)內防護 節(jié)點來監(jiān)測注入虛擬機的數(shù)據流量��;若監(jiān)測到注入該虛擬機的數(shù)據流量發(fā)生異常,提取待 注入該虛擬機的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗�;并將流量清洗裝置進行流量清 洗后的數(shù)據流回注到該虛擬機。由于是利用部署在云計算系統(tǒng)內的防護節(jié)點進行DDOS防 護����,因而不僅可以防護外網對云計算系統(tǒng)內虛擬機的DDOS攻擊,更可有效的防護云計算系 統(tǒng)內的各個虛擬機間的DDOS攻擊,進而可全面提升云系統(tǒng)的安全性和可靠性��。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案����,下面將對實施例或現(xiàn) 有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地��,下面描述中的附圖僅僅是本 發(fā)明的一些實施例��,對于本領域普通技術人員來講���,在不付出創(chuàng)造性勞動性的前提下,還可 以根據這些附圖獲得其他的附圖。
圖Ι-a是本發(fā)明實施例提供的一種Xen虛擬化環(huán)境示意圖Ι-b是本發(fā)明實施例提供的一種Domain 0驅動結構示意圖1-c是本發(fā)明實施例提供的一種Domain U驅動結構示意圖Ι-d是本發(fā)明實施例提供的一種Domain 0進程守護Domain U示意圖2是本發(fā)明實施例提供的一種DDOS攻擊示意圖3是本發(fā)明實施例一提供的一種云系統(tǒng)DDOS攻擊防護方法流程圖4是本發(fā)明實施例二提供的一種云系統(tǒng)DDOS攻擊防護方法流程圖5-a是本發(fā)明實施例三提供的一種云計算系統(tǒng)內的防護節(jié)點示意圖5_b是本發(fā)明實施例三提供的另一種云計算系統(tǒng)內的防護節(jié)點示意圖6是本發(fā)明實施例四提供的一種云計算系統(tǒng)內的防護系統(tǒng)示意圖����。
具體實施方式
本發(fā)明實施例提供一種云系統(tǒng)分布式拒絕服務攻擊防護方法以及裝置和云系統(tǒng), 以有效的防護云系統(tǒng)內各個虛擬機間的DDOS攻擊��。
為了使本技術領域的人員更好地理解本發(fā)明方案��,下面將結合本發(fā)明實施例中的 附圖�����,對本發(fā)明實施例中的技術方案進行清楚��、完整地描述��,顯然����,所描述的實施例僅僅是 本發(fā)明一部分的實施例,而不是全部的實施例�。基于本發(fā)明中的實施例�,本領域普通技術 人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都應當屬于本發(fā)明保護的范圍�。
為便于理解�����,下面先簡單介紹一種虛擬系統(tǒng)運行模式��。
參見圖Ι-a,一個Xen虛擬化環(huán)境可包括如下相互配合的元素
Xen Hypervisor
Domain 0
Domain U PV 客戶系統(tǒng)
Domain U HVM 客戶系統(tǒng)
其中,Xen Hypervisor是一個介于硬件和操作系統(tǒng)之間的軟件層����,主要負責 在各虛擬機之間進行中央處理器(CPU���,central processing unit)調度和內存分配 (partitioning)�����。Xen Hypervisor不僅抽象出硬件層�,同時控制各虛擬機的運行�,因為這些 虛擬機共享同一個處理環(huán)境���。Xen Hypervisor—般不會處理網絡�����、存儲設備、視頻以及其它 輸入 / 輸出(1/0,Input/Output)請求����。
Domain O通常是一個修改過的Linux kernel (或其它內核)�����,Domain O可看成是 其它虛擬機的管理節(jié)點�����,Domain O通常是唯一運行在Xen Hypervisor之上的虛擬機,通常 擁有訪問物理1/0資源的權限�����,同時和虛擬系統(tǒng)上運行的其它虛擬機進行交互�。Domain O 需要在其它Domain啟動之前啟動�����。其中��,Domain O中通常包含兩個驅動(如圖l_b所示) 網絡支持驅動(Network Backend Driver)和塊支持驅動(Block Backend Driver)�����,分別負 責處理來自Domain U的網絡和本地磁盤請求��。Network Backend Driver可直接和本地網 絡硬件進行通信,以處理所有來自Domain U上客戶操作系統(tǒng)的網絡請求。Block Backend Driver可和本地存儲設備進行通信,以處理來自Domain U的讀寫請求等����。
Domain U是運行在Xen Hypervisor上虛擬機�,其中,全虛擬化虛擬機被稱為 "Domain U HVM Guests”���,其上運行著不用修改內核的操作系統(tǒng)�,如Windows等�����;半虛擬化 (paravirtualized)虛擬機被稱之為"Domain U PV Guests”�,其上運行著被修改過內核的 操作系統(tǒng)��,例如Linux�����、Solaris, FreeBSD或其它操作系統(tǒng)等�����。
Domain U PV Guests也可包含兩個驅動(如圖l_c所示)半虛擬化網絡驅動(PV Network Driver)和半虛擬化塊驅動(PV Block Driver)��。
Domain U HVM Guests虛擬機內沒有半虛擬化驅動(PV Driver),而是在Domain O里為每一個全虛擬化客戶端(HVM Guest)啟動一個特殊的守護進程Qemu-dm�,由Qemu-dm 負責客戶操作系統(tǒng)的網絡和磁盤請求����。
常見圖1-d,Domain U HVM Guests可初始化為某類機器��,并在Domain U上附加Xen虛擬固件來模擬BIOS。
對云系統(tǒng)的網絡攻擊可如圖2所示��,主要包括三種
云計算系統(tǒng)外外網攻擊,主要是外部網絡發(fā)起的攻擊流量���;
云計算系統(tǒng)內不同物理主機間的攻擊�,其主要是云計算系統(tǒng)內的不同物理主機間 發(fā)起的攻擊流量���;
云計算系統(tǒng)內同一物理主機的不同虛擬機間的攻擊�,主要是云計算系統(tǒng)內的相同 物理不同虛擬主機間發(fā)起的攻擊����。
本發(fā)明實施例主要針對云計算系統(tǒng)內同一物理主機以及不同物理主機的不同虛 擬機間的DDOS攻擊的防護進行研究。
下面通過具體實施例進行詳細介紹�。
實施例一
本發(fā)明云系統(tǒng)分布式拒絕服務攻擊防護方法的一個實施例,可包括云計算系統(tǒng) 內防護節(jié)點監(jiān)測注入虛擬機的數(shù)據流量;若監(jiān)測到注入該虛擬機的數(shù)據流量發(fā)生異常�,提 取待注入該虛擬機的數(shù)據流����,將提取的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗���;接收該 流量清洗裝置進行流量清洗后的數(shù)據流�����;向上述虛擬機注入該清洗后的數(shù)據流��。
參見圖3�,具體步驟可以包括
310�、云計算系統(tǒng)內防護節(jié)點監(jiān)測注入虛擬機的數(shù)據流量;
其中,云計算系統(tǒng)包括防護節(jié)點和多個虛擬機���,各個虛擬機之間交互的數(shù)據流經 過防護節(jié)點。
在一種應用場景下��,云計算系統(tǒng)內的防護節(jié)點可為云計算系統(tǒng)內的虛擬機管理節(jié) 點(該云計算系統(tǒng)內虛擬機管理節(jié)點可管理一臺或多臺位于相同或不同云計算系統(tǒng)內物 理主機上的虛擬機)�����,也可以是部署在云計算系統(tǒng)內虛擬機管理節(jié)點和云計算系統(tǒng)內各個 虛擬機之間的裝置���。外網與云計算系統(tǒng)內各虛擬機間交互的數(shù)據流����,以及云計算系統(tǒng)內各 個虛擬機間交互的數(shù)據流都經過該云計算系統(tǒng)內的防護節(jié)點����,云計算系統(tǒng)內的防護節(jié)點可 以監(jiān)測注入各個虛擬機的數(shù)據流����。其中����,注入某虛擬機的數(shù)據流可能來自外網����,也可能來自 云計算系統(tǒng)內的其它虛擬機��。
在實際應用中���,云計算系統(tǒng)內防護節(jié)點例如可統(tǒng)計在預定時長(例如30秒、一分 鐘或其它值)內注入虛擬機的數(shù)據流量大小���;若統(tǒng)計出的在預定時長內注入某一虛擬機的 數(shù)據流量大小超過設定閾值(例如50MB�����、100MB或其它值)����,則可確定注入該虛擬機的數(shù)據流量發(fā)生異常。
320��、云計算系統(tǒng)內防護節(jié)點若監(jiān)測到注入上述虛擬機的數(shù)據流量發(fā)生異常��,則提 取待注入該虛擬機的數(shù)據流�,將提取的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗;
在一種應用場景,云計算系統(tǒng)內防護節(jié)點若監(jiān)測到注入上述虛擬機的數(shù)據流量發(fā) 生異常����,云計算系統(tǒng)內防護節(jié)點可直接提取待注入該虛擬機的數(shù)據流�����,并直接將提取的數(shù) 據流發(fā)送給流量清洗裝置進行流量清洗�����。或者�,云計算系統(tǒng)內防護節(jié)點在監(jiān)測到注入上述 虛擬機的數(shù)據流量發(fā)生異常后��,可先向流量清洗裝置發(fā)送指示請求流量清洗的流量清洗請 求���;若接收來自該流量清洗裝置的指示允許流量清洗的流量清洗響應(說明流量清洗裝置 有足夠的清洗資源����,清洗資源可指空閑處理能力)�����,再提取待注入該虛擬機的數(shù)據流�����,并將 提取的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗��;此外���,若接收來自該流量清洗裝置的指示不允許流量清洗的流量清洗響應(說明流量清洗裝置可能暫時沒有足夠的清洗資源), 則云計算系統(tǒng)內防護節(jié)點可再等待一定時長(例如2秒�����、5秒或其它值)后,再向流量清洗 裝置發(fā)送指示請求流量清洗的流量清洗請求�����,并以此重復��,直至流量清洗裝置完成流量清 洗���。特別的,如果有多臺流量清洗裝置可以供選擇��,則若當前請求流量清洗的流量清洗裝置 暫無足夠的清洗資源�,云計算系統(tǒng)內防護節(jié)點可請求其它流量清洗裝置來進行流量清洗。
在實際應用中�����,數(shù)據流量異??赡苡蒛DP fiood、SYN flood����、ICMP Flood或其它 DDOS攻擊引起的,而發(fā)起該DDOS攻擊的可能是外網����,也可能是云計算系統(tǒng)內的其它虛擬 機。
流量清洗裝置可以是獨立設置的流量清洗板����,亦可是其它部署架構,流量清洗裝 置可選用SYN反彈��、TCP代理���、UDP限流���、空連接檢測、DNS TC反彈和/或現(xiàn)有的其它一種或 多種技術進行流量清洗��。
330�����、云計算系統(tǒng)內防護節(jié)點接收上述流量清洗裝置進行流量清洗后的數(shù)據流;
340��、云計算系統(tǒng)內防護節(jié)點向上述虛擬機注入清洗后的數(shù)據流��。
可以理解���,云計算系統(tǒng)內防護節(jié)點將流量清洗裝置進行流量清洗后的干凈的數(shù)據 流回注到對應虛擬機中,因此該虛擬機可接收到干凈的數(shù)據流�����,也就可以進行正常的響應 和處理�。
由上可見,本實施例中在云計算系統(tǒng)內部署防護節(jié)點����,由云計算系統(tǒng)內防護節(jié)點 來監(jiān)測注入虛擬機的數(shù)據流量;若監(jiān)測到注入該虛擬機的數(shù)據流量發(fā)生異常����,提取待注入 該虛擬機的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗;并將流量清洗裝置進行流量清洗后 的干凈的數(shù)據流回注到該虛擬機�。由于是利用部署在云計算系統(tǒng)內的防護節(jié)點進行DDOS 防護,因而不僅可防護外網對云計算系統(tǒng)內虛擬機的DDOS攻擊����,更可有效的防護云計算系 統(tǒng)內的各個虛擬機間的DDOS攻擊��,進而可全面提升云系統(tǒng)的安全性和可靠性�。
實施例二
為便于更好的理解本發(fā)明實施例的技術方案�����,下面以云計算系統(tǒng)內虛擬機管理節(jié) 點對云計算系統(tǒng)內的某虛擬機Ai的DDOS攻擊防護的過程為例����,進行更詳細的描述。
參見圖4���,具體可以包括
401����、云計算系統(tǒng)內虛擬機管理節(jié)點監(jiān)測注入虛擬機Ai的數(shù)據流量����;
在一種應用場景,云計算系統(tǒng)內虛擬機管理節(jié)點可管理一臺或多臺位于相同或不 同云計算系統(tǒng)內物理主機上的虛擬機(其中包括虛擬機Ai)�。
外網與云計算系統(tǒng)內各虛擬機間交互的數(shù)據流量,以及云計算系統(tǒng)內各個虛擬機 間交互的數(shù)據流量都經過該云計算系統(tǒng)內虛擬機管理節(jié)點�����,云計算系統(tǒng)內虛擬機管理節(jié)點 可監(jiān)測注入各個虛擬機的數(shù)據流量。其中�����,注入某虛擬機的數(shù)據流量可能來自外網����,也可能 來自云計算系統(tǒng)內的其它虛擬機。
其中����,可如圖Ι-a所示��,若將Domain 0看作是云計算系統(tǒng)內虛擬機管理節(jié)點�����, Domain U則是其所管理的虛擬機��。
在實際應用中���,云系統(tǒng)內的虛擬機管理節(jié)點例如可以統(tǒng)計在預定時長(例如30 秒�、1分鐘或其它值)內注入虛擬機Ai的數(shù)據流量大小��;若虛擬機Ai有網際協(xié)議地址(IP����, Internet Protocol)、媒體訪問控制(MAC�����,Media Access Control)地址或其它對外地址�, 則云計算系統(tǒng)內虛擬機管理節(jié)點可基于數(shù)量流量的目的地址,生成監(jiān)控表�,對注入虛擬機Ai的數(shù)據流量進行監(jiān)測,可利用監(jiān)控表來記錄統(tǒng)計信息�。
402、云計算系統(tǒng)內虛擬機管理節(jié)點若監(jiān)測到注入虛擬機Ai的數(shù)據流量異常�����,向 流量清洗裝置發(fā)送指示請求流量清洗的流量清洗請求����;
具體的,云計算系統(tǒng)內虛擬機管理節(jié)點若統(tǒng)計出在預定時長內注入虛擬機Ai的 數(shù)據流量超過設定閾值(例如50MB���、100MB或其它值)����,則可確定注入虛擬機Ai的數(shù)據流量 發(fā)生異常,此時啟動流量清洗機制����。其中,流量清洗請求中還可以攜帶虛擬機Ai的標識����,流 量清洗裝置可據此獲知注入虛擬機Ai的數(shù)據流量異常。
403�、流量清洗裝置向云計算系統(tǒng)內虛擬機管理節(jié)點發(fā)送流量清洗響應;
在實際應用中��,流量清洗裝置可檢測當前是否有足夠的清洗資源(清洗資源可值 可指空閑處理能力)���,若當前有足夠的清洗資源,則可向云計算系統(tǒng)內虛擬機管理節(jié)點發(fā)送 指示允許流量清洗的流量清洗響應(其中仍可攜帶虛擬機Ai的標識)���。
當然����,若流量清洗裝置檢測到當前沒有足夠的清洗資源,則可向云計算系統(tǒng)內虛 擬機管理節(jié)點發(fā)送指示暫時不允許流量清洗的流量清洗響應(其中仍可攜帶虛擬機Ai的 標識)��,則云計算系統(tǒng)內虛擬機管理節(jié)點可再等待一定時長(例如2秒���、5秒或其它值)后����, 再向流量清洗裝置發(fā)送指示請求流量清洗的流量清洗請求��,以此重復���,直至流量清洗裝置 完成流量清洗����。特別的����,如果有多臺流量清洗裝置可供選擇,則若當前請求流量清洗的流量 清洗裝置暫無足夠的清洗資源��,云計算系統(tǒng)內虛擬機管理節(jié)點可請求其它流量清洗裝置來 進行流量清洗�。
此處,以流量清洗裝置當前有足夠的清洗資源為虛擬機Ai提供流量清洗服務的 場景為例。
404�����、云計算系統(tǒng)內虛擬機管理節(jié)點接收來自流量清洗裝置的指示允許流量清洗 的流量清洗響應�,并提取待注入該虛擬機Ai的數(shù)據流,將提取的數(shù)據流發(fā)送給流量清洗裝 置進行流量清洗�����;
在實際應用中��,數(shù)據流量異?���?赡苡蒛DP flood、SYN flood����、ICMP Flood或其它 DDOS攻擊引起的,而發(fā)起該DDOS攻擊的可能是外網���,也可能是云計算系統(tǒng)內的其它虛擬 機。
流量清洗裝置可以是獨立設置的流量清洗板����,亦可是其它部署架構�,流量清洗裝 置可選用SYN反彈���、TCP代理�����、UDP限流�、空連接檢測�����、DNS TC反彈和/或現(xiàn)有的其它一種或 多種技術對虛擬機Ai的異常流量進行流量清洗�����,以除去可疑流量��。
舉例來說�����,若流量清洗裝置基于SYN反彈機制來進行流量清洗����,則收到客戶端到 目的服務器的SYN包���,流量清洗裝置可偽造其為目的服務器,和客戶端進行通信�����,回應一個 特殊構造的確認序列號的SYN-ACK包�����,如果SYN包內的客戶端源IP是真實的����,則該客戶端 會收到流量清洗裝置發(fā)送過來的特殊的SYN-ACK包,同時其會構造一個原確認序列號的相 同的序列號的RST包����,流量清洗裝置根據包的信息進行判斷,如果該序列號和初試構造的 SYN-ACK包的序列號相同�����,則認為是真實的����,并把該IP加入白名單。然后該客戶端會自動重 新發(fā)SYN包����,流量清洗裝置收到后查詢到白名單,則可以直接轉發(fā)�����。
若流量清洗裝置基于TCP代理機制來進行流量清洗�����,則當客戶端SYN包到達流量 清洗裝置時����,其SYN代理并不轉發(fā)SYN包,而是以服務器的名義主動回復客戶端SYN-ACK包 給客戶�,如果收到客戶端的ACK包,表明這是正常的訪問���,此時流量清洗裝置向服務器發(fā)送SYN包并完成三次握手����,然后流量清洗裝置代表客戶端和服務端分別進行與服務端和客戶 端進行通信,完成轉發(fā)�����。
若流量清洗裝置基于UDP限流機制來進行流量清洗���,則當流量超過閾值時�,流量 清洗裝置對其流量進行限制���,從而達到防護的目的��。
若流量清洗裝置基于空連接檢測進行流量清洗����,流量清洗裝置可定時對防御防護 IP的TCP連接數(shù)目進行統(tǒng)計�,一旦發(fā)現(xiàn)該統(tǒng)計數(shù)值超過閾值,則判斷發(fā)生空連接攻擊�����,則可 以對發(fā)起連接過多的源IP進行限制��。
若流量清洗裝置基于DNS TC反彈機制進行流量清洗�����,流量清洗裝置可通過把DNS 的UDP通信方式轉化為TCP通信方式來解決DNS的安全防范問題,大幅增強DNS安全防護 能力����。DNS有一個特性����,就是當客戶端發(fā)出請求,如果DNS服務器準備應答時��,發(fā)現(xiàn)數(shù)據量過 大�����,超過512字節(jié)��,就會把DNS的報頭的Flag字段中的TC標記至1��,然后把512個截斷的數(shù) 據返回給客戶端���,客戶端的域名解析器收到這個報文后首先讀取TC字段���,知道該報文是截 斷的�,則采用TCP連接的方式主動向DNS的TCP端口進行連接�,重新發(fā)出請求,進行信息交 換����。
可以理解,本實施例流量清洗裝置不限于使用上述流量清洗機制����,當然還可以根 據需要采用其它流量清洗方式進行流量清洗,此處不再贅述���。
405�、流量清洗裝置向云計算系統(tǒng)內虛擬機管理節(jié)點發(fā)送進行流量清洗后的數(shù)據流量��;
406��、云計算系統(tǒng)內虛擬機管理節(jié)點接收來自流量清洗裝置的進行流量清洗后的 數(shù)據流���,向虛擬機Ai注入該清洗后的數(shù)據流量��。
可以理解�����,云計算系統(tǒng)內虛擬機管理節(jié)點將流量清洗裝置進行流量清洗后的數(shù)據 流回注到虛擬機Ai中�,因此虛擬機Ai可接收到清洗后的數(shù)據流,也就可以進行正常的響應 和處理��,有效的防護了外網或云計算系統(tǒng)內其它虛擬機對虛擬機Ai的DDOS攻擊����。
由上可見�,本實施例中由云計算系統(tǒng)內虛擬機管理節(jié)點來監(jiān)測注入虛擬機的數(shù)據 流量;若監(jiān)測到注入該虛擬機的數(shù)據流量發(fā)生異常���,提取待注入該虛擬機的數(shù)據流發(fā)送給 流量清洗裝置進行流量清洗�;并將流量清洗裝置進行流量清洗后的數(shù)據流回注到該虛擬 機�����。由于是利用部署在云計算系統(tǒng)內的防護節(jié)點進行DDOS防護���,因而不僅可防護外網對云 計算系統(tǒng)內虛擬機的DDOS攻擊�����,更可有效的防護云計算系統(tǒng)內的各個虛擬機間的DDOS攻 擊�,進而可全面提升云系統(tǒng)的安全性和可靠性。
為便于更好的實施本發(fā)明實施例的上述技術方案���,下面還提供用于實施上述技術 方案的裝置和系統(tǒng)�����。
實施例三
參見圖5����,本發(fā)明實施例提供的一種云計算系統(tǒng)內的防護節(jié)點500����,其中云計算系 統(tǒng)包括防護節(jié)點和多個虛擬機,各個虛擬機之間交互的數(shù)據流經過防護節(jié)點�,云計算系統(tǒng) 內防護節(jié)點500具體可以包括監(jiān)測模塊510、提取發(fā)送模塊520����、接收模塊530和注入模塊 540。
其中��,監(jiān)測模塊510�,用于監(jiān)測注入虛擬機的數(shù)據流量;
在一種應用場景下,云計算系統(tǒng)內防護節(jié)點500可以是云計算系統(tǒng)內虛擬機管理 節(jié)點(該云計算系統(tǒng)內虛擬機管理節(jié)點可管理一臺或多臺位于相同或不同云計算系統(tǒng)內10物理主機上的虛擬機)���,也可以是部署在云計算系統(tǒng)內虛擬機管理節(jié)點和云計算系統(tǒng)內各 個虛擬機之間的裝置�。外網與云計算系統(tǒng)內各虛擬機間交互的數(shù)據流���,以及云計算系統(tǒng)內 各個虛擬機間交互的數(shù)據流都經過該云計算系統(tǒng)內防護節(jié)點500���,云計算系統(tǒng)內防護節(jié)點 500可監(jiān)測注入各個虛擬機的數(shù)據流。其中�����,注入某虛擬機的數(shù)據流可能來自外網����,也可能 來自云計算系統(tǒng)內的其它虛擬機�。
其中,監(jiān)測模塊510可具體用于����,統(tǒng)計在預定時長(例如30秒、一分鐘或其它值) 內注入上述虛擬機的數(shù)據流量大?��?;若統(tǒng)計出的預定時長內注入上述虛擬機的數(shù)據流量大 小超過設定閾值(例如50MB、100MB或其它值)����,則確定注入上述虛擬機的數(shù)據流量發(fā)生異堂巾ο
提取發(fā)送模塊520,用于在監(jiān)測模塊510監(jiān)測到注入上述虛擬機的數(shù)據流量發(fā)生 異常時�,提取待注入上述虛擬機的數(shù)據流,將提取的數(shù)據流發(fā)送給流量清洗裝置進行流量 清洗�;
接收模塊530,用于接收上述流量清洗裝置進行流量清洗后的數(shù)據流����;
注入模塊M0,用于向上述虛擬機注入接收模塊530接收的清洗后的數(shù)據流���。
參見圖5-b�����,在一種應用場景下��,云計算系統(tǒng)內防護節(jié)點500還可包括
請求模塊550���,用于在提取發(fā)送模塊520提取待注入上述虛擬機的數(shù)據流之前,向 流量清洗裝置發(fā)送指示請求流量清洗的流量清洗請求;
響應模塊560�����,用于接收來自上述流量清洗裝置的指示允許流量清洗的流量清洗 響應����。
需要說明的是,本實施例的云計算系統(tǒng)內防護節(jié)點500可如上述方法實施例中的 云計算系統(tǒng)內虛擬機管理節(jié)點��,可以用于配合實現(xiàn)上述方法實施例中的全部技術方案����,其 各個功能模塊的功能可以根據上述方法實施例中的方法具體實現(xiàn),其具體實現(xiàn)過程可參照 上述實施例中的相關描述�����,此處不再贅述�。
由上可見��,本實施例中在云計算系統(tǒng)內部署防護節(jié)點���,由云計算系統(tǒng)內防護節(jié)點 500來監(jiān)測注入虛擬機的數(shù)據流量��;若監(jiān)測到注入該虛擬機的數(shù)據流量發(fā)生異常�,提取待 注入該虛擬機的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗;并將流量清洗裝置進行流量清 洗后的數(shù)據流回注到該虛擬機��。由于是利用部署在云計算系統(tǒng)內的防護節(jié)點進行DDOS防 護�,因而不僅可防護外網對云計算系統(tǒng)內虛擬機的DDOS攻擊,更可有效的防護云計算系統(tǒng) 內的各個虛擬機間的DDOS攻擊�,進而可全面提升云系統(tǒng)的安全性和可靠性。
實施例四
參見圖6����,本發(fā)明實施例提供的一種云計算系統(tǒng)的防護系統(tǒng),其中����,云計算系統(tǒng)包 括防護節(jié)點和多個虛擬機,各個虛擬機之間交互的數(shù)據流經過防護節(jié)點���,防護系統(tǒng)可包括 云計算系統(tǒng)內防護節(jié)點610和流量清洗裝置620
其中����,云計算系統(tǒng)內防護節(jié)點610����,用于監(jiān)測注入虛擬機的數(shù)據流量��;若監(jiān)測到注 入上述虛擬機的數(shù)據流量發(fā)生異常����,提取待注入上述虛擬機的數(shù)據流�,將提取的數(shù)據流發(fā) 送給流量清洗裝置620進行流量清洗;接收流量清洗裝置620進行流量清洗后的數(shù)據流��; 向上述虛擬機注入流量清洗裝置620進行流量清洗后的數(shù)據流�����。
流量清洗裝置620�����,用于對來自云計算系統(tǒng)內防護節(jié)點610的待注入虛擬機的數(shù) 據流進行流量清洗�,向云計算系統(tǒng)內防護節(jié)點610發(fā)送進行流量清洗后的數(shù)據流。11
在一種應用場景下�����,云計算系統(tǒng)內防護節(jié)點610可為云計算系統(tǒng)內虛擬機管理節(jié) 點(該云計算系統(tǒng)內虛擬機管理節(jié)點可管理一臺或多臺位于相同或不同云計算系統(tǒng)內物 理主機上的虛擬機)�����,也可以是部署在云計算系統(tǒng)內虛擬機管理節(jié)點和云計算系統(tǒng)內各個 虛擬機之間的裝置�����。外網與云計算系統(tǒng)內各虛擬機間交互的數(shù)據流��,以及云計算系統(tǒng)內各 個虛擬機間交互的數(shù)據流都經過云計算系統(tǒng)內防護節(jié)點610�����,云計算系統(tǒng)內防護節(jié)點610 可監(jiān)測注入各個虛擬機的數(shù)據流�。其中,注入某虛擬機的數(shù)據流可能來自外網�,也可能來自 云計算系統(tǒng)內的其它虛擬機。
在實際應用中��,云計算系統(tǒng)內防護節(jié)點610例如可統(tǒng)計在預定時長(例如30秒����、 一分鐘或其它值)內注入虛擬機的數(shù)據流量大小�;若統(tǒng)計出的在預定時長內注入某一虛擬 機的數(shù)據流量大小超過設定閾值(例如50MB、100MB或其它值)����,則可確定注入該虛擬機的數(shù)據流量發(fā)生異常����。
在一種應用場景�����,云計算系統(tǒng)內防護節(jié)點610若監(jiān)測到注入上述虛擬機的數(shù)據流 量發(fā)生異常�,云計算系統(tǒng)內防護節(jié)點610可直接提取待注入該虛擬機的數(shù)據流,并直接將 提取的數(shù)據流量發(fā)送給流量清洗裝置620進行流量清洗����。或者���,云計算系統(tǒng)內防護節(jié)點610 在監(jiān)測到注入上述虛擬機的數(shù)據流量發(fā)生異常后���,可先向流量清洗裝置620發(fā)送指示請求 流量清洗的流量清洗請求;若接收來自該流量清洗裝置620的指示允許流量清洗的流量清 洗響應(說明流量清洗裝置620有足夠的清洗資源)����,再提取待注入該虛擬機的數(shù)據流,并 將提取的數(shù)據流發(fā)送給流量清洗裝置620進行流量清洗��;此外���,若接收來自該流量清洗裝 置620的指示不允許流量清洗的流量清洗響應(說明流量清洗裝置620可能暫時沒有足夠 的清洗資源)�,則云計算系統(tǒng)內防護節(jié)點610可再等待一定時長(例如2秒�����、5秒或其它值) 后�����,再向流量清洗裝置620發(fā)送指示請求流量清洗的流量清洗請求���,以此重復���,直至流量清 洗裝置620完成流量清洗。
特別的�,如果有多臺流量清洗裝置可供選擇,則若當前請求流量清洗的流量清洗 裝置620暫無足夠的清洗資源�,云計算系統(tǒng)內防護節(jié)點610可請求其它流量清洗裝置來進 行流量清洗。
在實際應用中����,數(shù)據流量異常可能由UDP flood�、SYN flood�、ICMP Flood或其它 DDOS攻擊引起的�����,而發(fā)起該DDOS攻擊的可能是外網�����,也可能是云計算系統(tǒng)內的其它虛擬 機��。
流量清洗裝置620可為獨立設置的流量清洗板��,亦可是其它部署架構����,流量清洗 裝置620可選用SYN反彈、TCP代理���、UDP限流�、空連接檢測�、DNS TC反彈和/或現(xiàn)有的其它 一種或多種技術進行流量清洗。
需要說明的是���,對于前述的各方法實施例���,為了簡單描述����,故將其都表述為一系列 的動作組合����,但是本領域技術人員應該知悉����,本發(fā)明并不受所描述的動作順序的限制,因為 依據本發(fā)明��,某些步驟可以采用其他順序或者同時進行��。其次�����,本領域技術人員也應該知 悉�,說明書中所描述的實施例均屬于優(yōu)選實施例,所涉及的動作和模塊并不一定是本發(fā)明 所必須的�。
在上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部 分�,可以參見其他實施例的相關描述。
綜上��,本發(fā)明實施例中在云計算系統(tǒng)內部署防護節(jié)點���,由云計算系統(tǒng)內防護節(jié)點來監(jiān)測注入虛擬機的數(shù)據流量�����;若監(jiān)測到注入該虛擬機的數(shù)據流量發(fā)生異常����,提取待注入 該虛擬機的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗�����;并將流量清洗裝置進行流量清洗后 的數(shù)據流回注到該虛擬機��。由于是利用部署在云計算系統(tǒng)內的防護節(jié)點進行DDOS防護���,因 而不僅可防護外網對云計算系統(tǒng)內虛擬機的DDOS攻擊��,更可有效的防護云計算系統(tǒng)內的 各個虛擬機間的DDOS攻擊���,進而可全面提升云系統(tǒng)的安全性和可靠性��。
本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可 以通過程序來指令相關的硬件來完成��,該程序可以存儲于一計算機可讀存儲介質中���,存儲 介質可以包括只讀存儲器、隨機存儲器����、磁盤或光盤等��。
以上對本發(fā)明實施例所提供的云系統(tǒng)分布式拒絕服務攻擊防護方法以及裝置和 系統(tǒng)進行了詳細介紹��,本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述���,以 上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想��;同時��,對于本領域的一般 技術人員���,依據本發(fā)明的思想,在具體實施方式
及應用范圍上均會有改變之處,綜上�,本說 明書內容不應理解為對本發(fā)明的限制。
權利要求
1.一種云系統(tǒng)分布式拒絕服務攻擊防護方法���,其特征在于��,包括云計算系統(tǒng)內的防護節(jié)點監(jiān)測注入虛擬機的數(shù)據流量��,其中��,所述云計算系統(tǒng)包括防 護節(jié)點和多個虛擬機�,各個虛擬機之間交互的數(shù)據流經過防護節(jié)點�;若監(jiān)測到注入所述虛擬機的數(shù)據流量發(fā)生異常,提取待注入所述虛擬機的數(shù)據流�����; 將提取的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗�����; 接收所述流量清洗裝置進行流量清洗后的數(shù)據流�; 向所述虛擬機注入清洗后的數(shù)據流。
2.根據權利要求1所述的方法�����,其特征在于,所述云計算系統(tǒng)內防護節(jié)點包括云計算系統(tǒng)內虛擬機管理節(jié)點�����。
3.根據權利要求1或2所述的方法�����,其特征在于��, 所述監(jiān)測注入虛擬機的數(shù)據流量�����,包括統(tǒng)計在預定時長內注入所述虛擬機的數(shù)據流量大?�?�;若統(tǒng)計出的預定時長內注入所述虛擬機的數(shù)據流量大小超過設定閾值����,則確定注入所 述虛擬機的數(shù)據流量發(fā)生異常���。
4.根據權利要求1或2所述的方法�,其特征在于,所述提取待注入所述虛擬機的數(shù)據流 量���,之前還包括向流量清洗裝置發(fā)送指示請求流量清洗的流量清洗請求��; 接收來自所述流量清洗裝置的指示允許流量清洗的流量清洗響應�����。
5.一種云計算系統(tǒng)內的防護節(jié)點���,其特征在于,云計算系統(tǒng)包括防護節(jié)點和多個虛擬 機�����,各個虛擬機之間交互的數(shù)據流經過防護節(jié)點�,所述防護節(jié)點包括監(jiān)測模塊,用于監(jiān)測注入虛擬機的數(shù)據流量��;提取發(fā)送模塊�,用于在所述監(jiān)測模塊監(jiān)測到注入所述虛擬機的數(shù)據流量發(fā)生異常時, 提取待注入所述虛擬機的數(shù)據流�����,將提取的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗; 接收模塊�����,用于接收所述流量清洗裝置進行流量清洗后的數(shù)據流���; 注入模塊�,用于向所述虛擬機注入所述接收模塊接收的清洗后的數(shù)據流���。
6.根據權利要求1所述的防護節(jié)點�����,其特征在于���, 所述防護節(jié)點包括云計算系統(tǒng)內虛擬機管理節(jié)點���。
7.根據權利要求5或6所述的防護節(jié)點����,其特征在于,所述監(jiān)測模塊具體用于�,統(tǒng)計在預定時長內注入所述虛擬機的數(shù)據流量大小��;若統(tǒng)計 出的預定時長內注入所述虛擬機的數(shù)據流量大小超過設定閾值�,則確定注入所述虛擬機的 數(shù)據流量發(fā)生異常。
8.根據權利要求5或6所述的防護節(jié)點�����,其特征在于����,還包括發(fā)送模塊,用于在所述提取發(fā)送模塊提取待注入所述虛擬機的數(shù)據流量之前�,向流量 清洗裝置發(fā)送指示請求流量清洗的流量清洗請求;接收模塊�����,用于接收來自所述流量清洗裝置的指示允許流量清洗的流量清洗響應�����。
9.一種云計算系統(tǒng)的防護系統(tǒng)���,其特征在于���,云計算系統(tǒng)包括防護節(jié)點和多個虛擬機�����, 各個虛擬機之間交互的數(shù)據流經過防護節(jié)點��,所述防護系統(tǒng)包括云計算系統(tǒng)內防護節(jié)點��,用于監(jiān)測注入虛擬機的數(shù)據流量��;若監(jiān)測到注入所述虛擬機 的數(shù)據流量發(fā)生異常�����,提取待注入所述虛擬機的數(shù)據流�,將提取的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗�����;接收所述流量清洗裝置進行流量清洗后的數(shù)據流��;向所述虛擬機注入 清洗后的數(shù)據流����;流量清洗裝置,用于對來自云計算系統(tǒng)內防護節(jié)點的待注入虛擬機的數(shù)據流進行流量 清洗��,向所述云計算系統(tǒng)內防護節(jié)點發(fā)送進行流量清洗后的數(shù)據流�。
10.根據權利要求9所述的防護系統(tǒng),其特征在于�, 所述云計算系統(tǒng)內防護節(jié)點包括云計算系統(tǒng)內虛擬機管理節(jié)點。
全文摘要
本發(fā)明實施例公開了一種云系統(tǒng)分布式拒絕服務攻擊防護方法以及裝置和系統(tǒng)���,其中�����,一種云系統(tǒng)分布式拒絕服務攻擊防護方法��,包括云計算系統(tǒng)內的防護節(jié)點監(jiān)測注入虛擬機的數(shù)據流量�����,其中���,該云計算系統(tǒng)包括防護節(jié)點和多個虛擬機,各個虛擬機之間交互的數(shù)據流經過防護節(jié)點;若監(jiān)測到注入該虛擬機的數(shù)據流量發(fā)生異常�,提取待注入該虛擬機的數(shù)據流;將提取的數(shù)據流發(fā)送給流量清洗裝置進行流量清洗���;接收該流量清洗裝置進行流量清洗后的數(shù)據流����;向上述虛擬機注入清洗后的數(shù)據流���。本發(fā)明實施例提供的方案�,能夠有效的防護云系統(tǒng)內各個虛擬機間的分布式拒絕服務攻擊����。
文檔編號G06F21/00GK102043917SQ20101057722
公開日2011年5月4日 申請日期2010年12月7日 優(yōu)先權日2010年12月7日
發(fā)明者蔣武 申請人:成都市華為賽門鐵克科技有限公司