技術(shù)特征:1.一種云平臺通用的防御分布式拒絕服務(wù)攻擊的方法��,其特征在于�,包括如下步驟:
步驟1:虛擬機掛載基于虛擬路由創(chuàng)建的虛擬網(wǎng)卡;
步驟2:添加公共防御規(guī)則���、物理機專屬防御規(guī)則�����、虛擬機專屬防御規(guī)則�;
步驟3:物理機或虛擬機在使用的過程中,受到外部或者內(nèi)部發(fā)起分布式拒絕服務(wù)攻擊��,當(dāng)攻擊發(fā)送超過一定的數(shù)量包��,丟棄非法請求包���;
步驟4:用戶正常訪問物理機或虛擬機���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述的步驟1����,具體是指基于虛擬路由創(chuàng)建的虛擬網(wǎng)卡�����,掛載到虛擬機上使用。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,所述的步驟2中添加公共防御規(guī)則�����,具體是指云平臺自動在Iptables的指定PREROUTING鏈添加單位時間發(fā)送UDP協(xié)議包��、新建TCP連接和重建TCP連接數(shù)量限制規(guī)則��;
所述的Iptables�,是一種IP信息包過濾系統(tǒng)���,也是一種軟件防火墻����,可以防御非法IP包請求�,Iptables的包過濾順序是PREROUTING鏈過濾->分類發(fā)送->INPUT鏈/FORWARD鏈過濾;
所述的PREROUTING鏈過濾�����,是指進(jìn)入PREROUTING鏈的IP包,在IP包被修改之前����,就丟棄不符合要求的IP包請求,可設(shè)置某個地址單位時間發(fā)送UDP協(xié)議包超過數(shù)量限制��、新建連接超過數(shù)量限制����、重連次數(shù)超過數(shù)量限制等;
所述的分類發(fā)送���,是指INPUT鏈?zhǔn)盏降腎P包是發(fā)送到本機的包����,也是發(fā)送給物理機的包�����,每個包請求先進(jìn)入PREROUTING鏈的過濾����,再進(jìn)入INPUT鏈,若在PREROUTING鏈丟棄的包���,不會進(jìn)入INPUT鏈過濾���,F(xiàn)ORWARD鏈?zhǔn)盏降腎P包不是發(fā)給物理機的包,實則是發(fā)送給宿主機上所有虛擬機或虛擬路由的包����。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于�,所述的步驟2中添加物理機專屬防御規(guī)則,具體是指云平臺自動在Iptables的INPUT鏈添加每個IP的連接數(shù)總上限�����,并且優(yōu)先級是INPUT鏈中最高的規(guī)則�,可設(shè)置為匹配發(fā)送給物理機的IP包,若該IP包超過總連接上限就丟棄��,物理機IP包連接數(shù)總上限不能在PREROUTING鏈生效�����,選擇在INPUT鏈�。
5.根據(jù)權(quán)利要求1至4任一項所述的方法�����,其特征在于����,所述的步驟2中添加物理機專屬防御規(guī)則���,具體是指云平臺自動在Iptables的INPUT鏈添加每個IP的連接數(shù)總上限���,并且優(yōu)先級是INPUT鏈中最高的規(guī)則,可設(shè)置為匹配發(fā)送給物理機的IP包���,若該IP包超過總連接上限就丟棄��,物理機IP包連接數(shù)總上限不能在PREROUTING鏈生效�,選擇在INPUT鏈���。
6.根據(jù)權(quán)利要求1至4任一項所述的方法�,其特征在于��,所述的步驟2中添加虛擬機專屬防御規(guī)則,具體是指云平臺自動在宿主機Iptables的FORWARD鏈添加每個IP的連接數(shù)總上限���,并且優(yōu)先級是FORWARD鏈中最高的規(guī)則,可設(shè)置為匹配發(fā)送給虛擬機的IP包�,若該IP包超過總連接上限就丟棄,虛擬機IP包連接數(shù)總上限不能在PREROUTING鏈生效�����,選擇在FORWARD鏈��。
7.根據(jù)權(quán)利要求5所述的方法�,其特征在于,所述的步驟2中添加虛擬機專屬防御規(guī)則�����,具體是指云平臺自動在宿主機Iptables的FORWARD鏈添加每個IP的連接數(shù)總上限�����,并且優(yōu)先級是FORWARD鏈中最高的規(guī)則�,可設(shè)置為匹配發(fā)送給虛擬機的IP包,若該IP包超過總連接上限就丟棄����,虛擬機IP包連接數(shù)總上限不能在PREROUTING鏈生效��,選擇在FORWARD鏈���。
8.根據(jù)權(quán)利要求1至4任一項所述的方法,其特征在于����,所述步驟3,具體是指物理機或虛擬機在使用的過程中受到分布式拒絕服務(wù)攻擊�,Iptables單位時間收到某IP地址發(fā)送大量的UDP協(xié)議包、新建TCP連接����、重建TCP連接等IP包請求,超過匹配防御規(guī)則��,丟棄該IP地址發(fā)送的包請求���;
所述的步驟4�,具體是指用戶正常訪問物理機或虛擬機的IP包不受影響����。
9.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述步驟3��,具體是指物理機或虛擬機在使用的過程中受到分布式拒絕服務(wù)攻擊�,Iptables單位時間收到某IP地址發(fā)送大量的UDP協(xié)議包、新建TCP連接���、重建TCP連接等IP包請求,超過匹配防御規(guī)則�,丟棄該IP地址發(fā)送的包請求;
所述的步驟4����,具體是指用戶正常訪問物理機或虛擬機的IP包不受影響。
10.根據(jù)權(quán)利要求7所述的方法��,其特征在于�����,所述步驟3�,具體是指物理機或虛擬機在使用的過程中受到分布式拒絕服務(wù)攻擊,Iptables單位時間收到某IP地址發(fā)送大量的UDP協(xié)議包���、新建TCP連接�、重建TCP連接等IP包請求,超過匹配防御規(guī)則���,丟棄該IP地址發(fā)送的包請求��;
所述的步驟4��,具體是指用戶正常訪問物理機或虛擬機的IP包不受影響���。