一种抵抗DDoS攻击的主动防御方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种抵抗DDoS攻击的主动防御方法。
【背景技术】
[0002]DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。在DoS攻击中,攻击者通过发送大量的服务请求,使得服务器消耗资源来处理这些无效请求。当服务器的资源大量消耗后,其对正常用户的服务能力将会下降甚至完全丧失,从而造成服务器对于正常服务请求响应的中断。服务器对外服务最关键的资源是网络带宽以及服务器处理时间,因此DoS攻击通常以消耗这两类资源为目标。
[0003]随着网络基础设施建设的增强以及计算机技术的发展,服务器可用的网络带宽以及服务器处理能力都得到了极大的提高,因此攻击者利用单台攻击主机实现DoS攻击的难度逐渐增大,即单台攻击主机无法消耗服务器所拥有的全部资源,攻击失效。因此攻击者将使用大量的攻击主机对服务器进行攻击,这些攻击主机可位于互联网的不同物理位置,攻击者通过网络软件控制攻击主机同时发起攻击。因此,此类攻击称为DDoS (DistributedDenial of Service),也就是分布式拒绝服务攻击。
[0004]DDoS攻击已经成为威胁网络服务的一种重要攻击方法,尤其在个人与企业活动日益依赖于网络的状况下,DDoS攻击带来的损失也日益严重。据来自卡巴斯基的调查分析显示,一个单个的DDoS攻击将对企业平均造成40万美元的伤害,并且38%的DDoS攻击的受害者无力保护其核心业务免遭攻击。
[0005]总体来说,当前技术对于DDoS的防范手段以被动式防御为基本方式。采取安全域划分,配置防火墙、入侵检测和防范系统,减缓攻击。采用分布式组网、负载均衡、提升系统容量等可靠性措施,增强总体服务能力。具体措施包括:
[0006]1、采用高性能的网络设备
[0007]保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备时应选择能支持预期最大访问流量并增加冗余性能的设备。
[0008]2、采用简单的网络架构与协议
[0009]无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,NAT协议需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此会大量增加网络设备性能负担。
[0010]3、提供充足的网络接入带宽
[0011]网络带宽直接决定了能抗受DDoS攻击的能力,如果攻击流量将所有接入带宽消耗完毕,则所有的防御手段都将失效,因此至少要选择百兆的共享带宽。
[0012]4、提高服务器性能
[0013]在有网络带宽保证的前提下,DDoS攻击可能消耗资源的瓶颈转移为服务器,因此应提供足够的服务器性能,其中包括:CPU性能、内存容量以及磁盘10性能。
[0014]然而,由于现有的DDoS攻击防御方法是一种被动的防御,其基本思路为提供尽可能高的资源,以增加攻击者消耗完所有的资源的难度,因此其具有如下缺点:
[0015]1、DDoS攻击防御成本高
[0016]由于DDoS攻击者可产生的流量及访问请求远高于正常用户访问,为了应对可能发生的DDoS攻击,系统应预备远超正常访问所需的带宽及计算资源,因此对于未发生攻击的大多数时间,会额外花费大量的资源。
[0017]2、对DDoS攻击应对性差
[0018]在传统的DDoS攻击防御方法中,依赖于网络硬件设施的部署与性能提升,硬件的更新及性能提升均不够灵活,一旦发生超过预期的DDoS攻击,无法及时升级应对措施,对抗攻击流量。
【发明内容】
[0019]为了解决上述现有技术存在的问题,本发明旨在提供一种抵抗DDoS攻击的主动防御方法,以使受攻击服务器自动迀移与躲避,并对异常与正常访问请求进行自动区分与引流,从而实现对DDoS攻击的主动防御。
[0020]本发明所述的一种抵抗DDoS攻击的主动防御方法,其特征在于,所述方法包括以下步骤:
[0021]步骤S1,提供网络流量分离组件以及用于生成虚拟服务器的虚拟化服务器集群,其中,所述网络流量分离组件通过外部网络接收外部访问请求,并通过内部网络将所述外部访问请求重定向至所述虚拟服务器以使其响应所述外部访问请求;
[0022]步骤S2,将当前接收到外部访问请求的虚拟服务器作为原服务器,监测所述原服务器的性能指标,当该性能指标异常时,执行步骤S3,否则,执行步骤S6 ;
[0023]步骤S3,通过所述网络流量分离组件将所述原服务器接收到的外部访问请求按照该外部访问请求所对应的源IP地址随机分割成两部分,且每部分外部访问请求所对应的源IP地址的数量相同,同时使所述原服务器暂停响应所述外部访问请求;
[0024]步骤S4,通过所述虚拟化服务器集群生成两台新的虚拟服务器,并为新的所述虚拟服务器分配内网IP地址;
[0025]步骤S5,通过所述网络流量分离组件将两部分外部访问请求分别重定向至两台新的所述虚拟服务器,使两台新的所述虚拟服务器响应各自接收到的所述外部访问请求,并返回执行所述步骤S2;
[0026]步骤S6,使所述原服务器保持响应所述外部访问请求,以提供正常服务。
[0027]在上述的抵抗DDoS攻击的主动防御方法中,所述步骤S2还包括:当监测到所述原服务器的性能指标异常时,判断该原服务器接收到的外部访问请求所对应的源IP地址的数量是否小于所述网络流量分离组件接收到的外部访问请求所对应的源IP地址的总数量的2%,若是,则通过所述网络流量分离组件阻断所述原服务器响应所述外部访问请求,否贝1J,执行所述步骤S3。
[0028]在上述的抵抗DDoS攻击的主动防御方法中,所述步骤S2还包括:通过卡尔曼滤波检测算法监测所述原服务器的性能指标。
[0029]在上述的抵抗DDoS攻击的主动防御方法中,所述原服务器的性能指标包括流量增长指标以及CPU资源消耗指标。
[0030]在上述的抵抗DDoS攻击的主动防御方法中,所述步骤S5还包括:使所述原服务器退出服务,并销毁所述原服务器。
[0031 ] 在上述的抵抗DDoS攻击的主动防御方法中,在所述步骤S5中,所述网络流量分离组件根据所述新的虚拟服务器的内网IP地址将两部分访问请求分别重定向至两台所述新的虚拟服务器。
[0032]在上述的抵抗DDoS攻击的主动防御方法中,还包括:在所述步骤S6之后执行步骤S7,所述步骤S7包括将所有所述原服务器接收到的所述外部访问请求合并发送至单个原服务器。
[0033]由于采用了上述的技术解决方案,本发明采用主动防御的思路,S卩,将DDoS攻击流量与正常服务流量自动区分开来,使攻击流量将被主动引流至伪装服务器,而正常流量则在真实服务器得到服务。在本发明中,原服务器一旦受到异常流量攻击造成服务性能指标下降,则可利用网络流量分离组件通过外部访问请求的源IP地址将异常流量(即异常的访问请求产生的流量)区分出来,同时通过虚拟化服务器集群生成两个新的虚拟服务器并分配新的内网IP地址,并最终使其中一个虚拟服务器成为引入异常流量的伪装服务器,并使该服务器退出服务并销毁;而使另一个虚拟服务器成为引入正常流量(即正常的访问请求产生的流量)的真实服务器为用户提供正常服务,换句话说,相当于使受到DDoS攻击的原服务器主动更换内网IP地址,并重新启动服务从而与原有攻击流量脱离,从而避免针对正常流量服务的服务器的性能消耗,进而能保证对后续正常流量的服务能力。
【附图说明】
[0034]图1是本发明一种抵抗DDoS攻击的主动防御方法中采用的网络流量分离组件以及虚拟化服务器集群的连接结构示意图;
[0035]图2是本发明一种抵抗DDoS攻击的主动防御方法中步骤S2-S6的主要流程图。
【具体实施方式】
[0036]下面结合附图,给出本发明的较佳实施例,并予以详细描述。
[0037]请参阅图1、2,本发明,即一种抵抗DDoS攻击的主动防御方法,其包括以下步骤:
[0038]步骤S1,提供网络流量分离组件1以及用于生成虚拟服务器20的虚拟化服务器集群2,其中,网络流量分离组件1通过外部网络接收外部访问请求,并通过内部网络将外部访问请求重定向至虚拟服务器20以使其响应外部访问请求,从而提供相应服务;
[0039]步骤