一種抵抗DDoS攻擊的主動(dòng)防御方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,尤其涉及一種抵抗DDoS攻擊的主動(dòng)防御方法�����。
【背景技術(shù)】
[0002]DoS是Denial of Service的簡稱���,即拒絕服務(wù),造成DoS的攻擊行為被稱為DoS攻擊�����,其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)�。在DoS攻擊中��,攻擊者通過發(fā)送大量的服務(wù)請(qǐng)求,使得服務(wù)器消耗資源來處理這些無效請(qǐng)求���。當(dāng)服務(wù)器的資源大量消耗后��,其對(duì)正常用戶的服務(wù)能力將會(huì)下降甚至完全喪失��,從而造成服務(wù)器對(duì)于正常服務(wù)請(qǐng)求響應(yīng)的中斷���。服務(wù)器對(duì)外服務(wù)最關(guān)鍵的資源是網(wǎng)絡(luò)帶寬以及服務(wù)器處理時(shí)間,因此DoS攻擊通常以消耗這兩類資源為目標(biāo)���。
[0003]隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)的增強(qiáng)以及計(jì)算機(jī)技術(shù)的發(fā)展��,服務(wù)器可用的網(wǎng)絡(luò)帶寬以及服務(wù)器處理能力都得到了極大的提高��,因此攻擊者利用單臺(tái)攻擊主機(jī)實(shí)現(xiàn)DoS攻擊的難度逐漸增大��,即單臺(tái)攻擊主機(jī)無法消耗服務(wù)器所擁有的全部資源���,攻擊失效。因此攻擊者將使用大量的攻擊主機(jī)對(duì)服務(wù)器進(jìn)行攻擊�����,這些攻擊主機(jī)可位于互聯(lián)網(wǎng)的不同物理位置,攻擊者通過網(wǎng)絡(luò)軟件控制攻擊主機(jī)同時(shí)發(fā)起攻擊�。因此,此類攻擊稱為DDoS (DistributedDenial of Service)���,也就是分布式拒絕服務(wù)攻擊��。
[0004]DDoS攻擊已經(jīng)成為威脅網(wǎng)絡(luò)服務(wù)的一種重要攻擊方法�����,尤其在個(gè)人與企業(yè)活動(dòng)日益依賴于網(wǎng)絡(luò)的狀況下����,DDoS攻擊帶來的損失也日益嚴(yán)重��。據(jù)來自卡巴斯基的調(diào)查分析顯示����,一個(gè)單個(gè)的DDoS攻擊將對(duì)企業(yè)平均造成40萬美元的傷害,并且38%的DDoS攻擊的受害者無力保護(hù)其核心業(yè)務(wù)免遭攻擊����。
[0005]總體來說,當(dāng)前技術(shù)對(duì)于DDoS的防范手段以被動(dòng)式防御為基本方式����。采取安全域劃分,配置防火墻��、入侵檢測(cè)和防范系統(tǒng)�����,減緩攻擊�。采用分布式組網(wǎng)、負(fù)載均衡�����、提升系統(tǒng)容量等可靠性措施���,增強(qiáng)總體服務(wù)能力��。具體措施包括:
[0006]1��、采用高性能的網(wǎng)絡(luò)設(shè)備
[0007]保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸�����,因此選擇路由器����、交換機(jī)、硬件防火墻等設(shè)備時(shí)應(yīng)選擇能支持預(yù)期最大訪問流量并增加冗余性能的設(shè)備���。
[0008]2�����、采用簡單的網(wǎng)絡(luò)架構(gòu)與協(xié)議
[0009]無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用��,NAT協(xié)議需要對(duì)地址來回轉(zhuǎn)換�,轉(zhuǎn)換過程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算�,因此會(huì)大量增加網(wǎng)絡(luò)設(shè)備性能負(fù)擔(dān)。
[0010]3��、提供充足的網(wǎng)絡(luò)接入帶寬
[0011]網(wǎng)絡(luò)帶寬直接決定了能抗受DDoS攻擊的能力�����,如果攻擊流量將所有接入帶寬消耗完畢�����,則所有的防御手段都將失效���,因此至少要選擇百兆的共享帶寬�。
[0012]4����、提高服務(wù)器性能
[0013]在有網(wǎng)絡(luò)帶寬保證的前提下,DDoS攻擊可能消耗資源的瓶頸轉(zhuǎn)移為服務(wù)器���,因此應(yīng)提供足夠的服務(wù)器性能��,其中包括:CPU性能���、內(nèi)存容量以及磁盤10性能。
[0014]然而����,由于現(xiàn)有的DDoS攻擊防御方法是一種被動(dòng)的防御,其基本思路為提供盡可能高的資源��,以增加攻擊者消耗完所有的資源的難度��,因此其具有如下缺點(diǎn):
[0015]1����、DDoS攻擊防御成本高
[0016]由于DDoS攻擊者可產(chǎn)生的流量及訪問請(qǐng)求遠(yuǎn)高于正常用戶訪問���,為了應(yīng)對(duì)可能發(fā)生的DDoS攻擊,系統(tǒng)應(yīng)預(yù)備遠(yuǎn)超正常訪問所需的帶寬及計(jì)算資源���,因此對(duì)于未發(fā)生攻擊的大多數(shù)時(shí)間���,會(huì)額外花費(fèi)大量的資源。
[0017]2��、對(duì)DDoS攻擊應(yīng)對(duì)性差
[0018]在傳統(tǒng)的DDoS攻擊防御方法中����,依賴于網(wǎng)絡(luò)硬件設(shè)施的部署與性能提升,硬件的更新及性能提升均不夠靈活��,一旦發(fā)生超過預(yù)期的DDoS攻擊�,無法及時(shí)升級(jí)應(yīng)對(duì)措施,對(duì)抗攻擊流量�����。
【發(fā)明內(nèi)容】
[0019]為了解決上述現(xiàn)有技術(shù)存在的問題���,本發(fā)明旨在提供一種抵抗DDoS攻擊的主動(dòng)防御方法�����,以使受攻擊服務(wù)器自動(dòng)迀移與躲避���,并對(duì)異常與正常訪問請(qǐng)求進(jìn)行自動(dòng)區(qū)分與引流�,從而實(shí)現(xiàn)對(duì)DDoS攻擊的主動(dòng)防御����。
[0020]本發(fā)明所述的一種抵抗DDoS攻擊的主動(dòng)防御方法��,其特征在于����,所述方法包括以下步驟:
[0021]步驟S1,提供網(wǎng)絡(luò)流量分離組件以及用于生成虛擬服務(wù)器的虛擬化服務(wù)器集群���,其中���,所述網(wǎng)絡(luò)流量分離組件通過外部網(wǎng)絡(luò)接收外部訪問請(qǐng)求,并通過內(nèi)部網(wǎng)絡(luò)將所述外部訪問請(qǐng)求重定向至所述虛擬服務(wù)器以使其響應(yīng)所述外部訪問請(qǐng)求�����;
[0022]步驟S2,將當(dāng)前接收到外部訪問請(qǐng)求的虛擬服務(wù)器作為原服務(wù)器���,監(jiān)測(cè)所述原服務(wù)器的性能指標(biāo)����,當(dāng)該性能指標(biāo)異常時(shí)���,執(zhí)行步驟S3���,否則,執(zhí)行步驟S6 ;
[0023]步驟S3��,通過所述網(wǎng)絡(luò)流量分離組件將所述原服務(wù)器接收到的外部訪問請(qǐng)求按照該外部訪問請(qǐng)求所對(duì)應(yīng)的源IP地址隨機(jī)分割成兩部分��,且每部分外部訪問請(qǐng)求所對(duì)應(yīng)的源IP地址的數(shù)量相同���,同時(shí)使所述原服務(wù)器暫停響應(yīng)所述外部訪問請(qǐng)求�����;
[0024]步驟S4�,通過所述虛擬化服務(wù)器集群生成兩臺(tái)新的虛擬服務(wù)器,并為新的所述虛擬服務(wù)器分配內(nèi)網(wǎng)IP地址����;
[0025]步驟S5,通過所述網(wǎng)絡(luò)流量分離組件將兩部分外部訪問請(qǐng)求分別重定向至兩臺(tái)新的所述虛擬服務(wù)器����,使兩臺(tái)新的所述虛擬服務(wù)器響應(yīng)各自接收到的所述外部訪問請(qǐng)求,并返回執(zhí)行所述步驟S2;
[0026]步驟S6�����,使所述原服務(wù)器保持響應(yīng)所述外部訪問請(qǐng)求�,以提供正常服務(wù)��。
[0027]在上述的抵抗DDoS攻擊的主動(dòng)防御方法中��,所述步驟S2還包括:當(dāng)監(jiān)測(cè)到所述原服務(wù)器的性能指標(biāo)異常時(shí)���,判斷該原服務(wù)器接收到的外部訪問請(qǐng)求所對(duì)應(yīng)的源IP地址的數(shù)量是否小于所述網(wǎng)絡(luò)流量分離組件接收到的外部訪問請(qǐng)求所對(duì)應(yīng)的源IP地址的總數(shù)量的2%�����,若是�,則通過所述網(wǎng)絡(luò)流量分離組件阻斷所述原服務(wù)器響應(yīng)所述外部訪問請(qǐng)求,否貝1J����,執(zhí)行所述步驟S3。
[0028]在上述的抵抗DDoS攻擊的主動(dòng)防御方法中����,所述步驟S2還包括:通過卡爾曼濾波檢測(cè)算法監(jiān)測(cè)所述原服務(wù)器的性能指標(biāo)。
[0029]在上述的抵抗DDoS攻擊的主動(dòng)防御方法中����,所述原服務(wù)器的性能指標(biāo)包括流量增長指標(biāo)以及CPU資源消耗指標(biāo)。
[0030]在上述的抵抗DDoS攻擊的主動(dòng)防御方法中��,所述步驟S5還包括:使所述原服務(wù)器退出服務(wù)���,并銷毀所述原服務(wù)器����。
[0031 ] 在上述的抵抗DDoS攻擊的主動(dòng)防御方法中�,在所述步驟S5中,所述網(wǎng)絡(luò)流量分離組件根據(jù)所述新的虛擬服務(wù)器的內(nèi)網(wǎng)IP地址將兩部分訪問請(qǐng)求分別重定向至兩臺(tái)所述新的虛擬服務(wù)器����。
[0032]在上述的抵抗DDoS攻擊的主動(dòng)防御方法中�����,還包括:在所述步驟S6之后執(zhí)行步驟S7��,所述步驟S7包括將所有所述原服務(wù)器接收到的所述外部訪問請(qǐng)求合并發(fā)送至單個(gè)原服務(wù)器�。
[0033]由于采用了上述的技術(shù)解決方案�,本發(fā)明采用主動(dòng)防御的思路,S卩�����,將DDoS攻擊流量與正常服務(wù)流量自動(dòng)區(qū)分開來����,使攻擊流量將被主動(dòng)引流至偽裝服務(wù)器,而正常流量則在真實(shí)服務(wù)器得到服務(wù)���。在本發(fā)明中,原服務(wù)器一旦受到異常流量攻擊造成服務(wù)性能指標(biāo)下降�����,則可利用網(wǎng)絡(luò)流量分離組件通過外部訪問請(qǐng)求的源IP地址將異常流量(即異常的訪問請(qǐng)求產(chǎn)生的流量)區(qū)分出來�,同時(shí)通過虛擬化服務(wù)器集群生成兩個(gè)新的虛擬服務(wù)器并分配新的內(nèi)網(wǎng)IP地址���,并最終使其中一個(gè)虛擬服務(wù)器成為引入異常流量的偽裝服務(wù)器,并使該服務(wù)器退出服務(wù)并銷毀�;而使另一個(gè)虛擬服務(wù)器成為引入正常流量(即正常的訪問請(qǐng)求產(chǎn)生的流量)的真實(shí)服務(wù)器為用戶提供正常服務(wù),換句話說�,相當(dāng)于使受到DDoS攻擊的原服務(wù)器主動(dòng)更換內(nèi)網(wǎng)IP地址,并重新啟動(dòng)服務(wù)從而與原有攻擊流量脫離��,從而避免針對(duì)正常流量服務(wù)的服務(wù)器的性能消耗�,進(jìn)而能保證對(duì)后續(xù)正常流量的服務(wù)能力。
【附圖說明】
[0034]圖1是本發(fā)明一種抵抗DDoS攻擊的主動(dòng)防御方法中采用的網(wǎng)絡(luò)流量分離組件以及虛擬化服務(wù)器集群的連接結(jié)構(gòu)示意圖�;
[0035]圖2是本發(fā)明一種抵抗DDoS攻擊的主動(dòng)防御方法中步驟S2-S6的主要流程圖。
【具體實(shí)施方式】
[0036]下面結(jié)合附圖��,給出本發(fā)明的較佳實(shí)施例��,并予以詳細(xì)描述�����。
[0037]請(qǐng)參閱圖1��、2��,本發(fā)明�����,即一種抵抗DDoS攻擊的主動(dòng)防御方法,其包括以下步驟:
[0038]步驟S1�����,提供網(wǎng)絡(luò)流量分離組件1以及用于生成虛擬服務(wù)器20的虛擬化服務(wù)器集群2�����,其中�,網(wǎng)絡(luò)流量分離組件1通過外部網(wǎng)絡(luò)接收外部訪問請(qǐng)求,并通過內(nèi)部網(wǎng)絡(luò)將外部訪問請(qǐng)求重定向至虛擬服務(wù)器20以使其響應(yīng)外部訪問請(qǐng)求����,從而提供相應(yīng)服務(wù);
[0039]步驟