S2,将当前接收到外部访问请求的虚拟服务器20作为原服务器,监测(例如通过卡尔曼滤波检测算法等)原服务器的性能指标(性能指标例如包括流量增长指标以及CPU资源消耗指标),当该性能指标异常(例如流量异常增长以及CPU资源大量消耗)时,执行步骤S3,否则,执行步骤S6(在该步骤S2中,由于服务器性能指标的异常检测为本领域公知的内容,故此处不再赘述);
[0040]步骤S3,通过网络流量分离组件1将性能指标异常的原服务器(即受到DDoS攻击的服务器)接收到的外部访问请求按照该外部访问请求所对应的源IP地址随机分割成两部分,且每部分外部访问请求所对应的源IP地址的数量相同,同时使该原服务器暂停响应外部访问请求(即暂停服务);
[0041]步骤S4,通过虚拟化服务器集群2生成两台新的虚拟服务器20,并为新的虚拟服务器20分配内网IP地址;
[0042]步骤S5,通过所述网络流量分离组件根据新的虚拟服务器20的内网IP地址将两部分外部访问请求分别重定向至两台新的虚拟服务器20,使两台新的虚拟服务器20响应各自接收到的外部访问请求,同时使原服务器退出服务,并销毁原服务器,并返回执行步骤S2(即,对两台新的虚拟服务器20同样进行性能指标的监测);
[0043]步骤S6,使性能指标正常的原服务器(即未受到DDoS攻击的服务器)保持响应外部访问请求,以提供正常服务。
[0044]根据上述步骤可知,如果所有发出访问请求的用户的源IP地址的数量为n,则分离单一的攻击IP流量需经过Log (η)次流量分离。因此,为提高分离效率,本发明还采用了以下两种措施:
[0045]1、步骤S2还包括:当监测到原服务器的性能指标异常时,判断该原服务器接收到的外部访问请求所对应的源IP地址的数量是否小于网络流量分离组件1接收到的外部访问请求所对应的源IP地址的总数量的2%,若是,则通过网络流量分离组件1阻断该原服务器响应外部访问请求(即,使该原服务器终止服务,因为此时可以确定该原服务器接收到的请求均为异常请求,因此只要直接终止服务就可以避免DDoS攻击),否则,执行步骤S3。
[0046]2、在步骤S6之后执行步骤S7,该步骤S7包括将所有性能指标正常的原服务器接收到的外部访问请求合并发送至单个原服务器,从而提高虚拟服务器20的使用效率。
[0047]至此,通过以上过程的迭代实施即可实现对异常访问请求的分离与阻断,同时实现对正常访问请求的逐步集中服务。
[0048]综上所述,本发明可将系统中的资源有效地用于正常用户,将异常访问请求产生的流量引流至有限的服务器中,从而保证在DDoS攻击环境中,仍然保证对正常用户的服务质量。其主要具有以下优点:
[0049]1、异常的攻击访问产生的流量可被有效区分出来
[0050]由于DDoS访问请求来自于攻击者控制的网络主机,在一次攻击中其源IP地址是固定的。因此通过基于源IP地址的筛选,可将发出攻击流量的主机区分出来。通过随机对源IP地址进行二分可减少单个组的用户数量,也有利于将异常用户跟正常用户进行区分。通过实验表明,当攻击访问请求的源IP地址所占所有外部访问请求的源IP地址的比例不超过门限值时,可在有限时间将发出攻击访问请求对应的源IP地址分离出来,从而实现异常流量的区分。
[0051 ] 2、通过服务器地址动态变化及重启保证后续服务质量
[0052]通过虚拟化技术可实现服务器实例的快速还原与重启,并可动态修改虚拟服务器的内网IP地址,阻断原有的攻击路径。承担外部访问请求接入的流量分离组件因只做网络层的IP过滤与分离,因此可有较高的性能,也就是可忍受DDoS攻击流量,其通过将不同IP的用户流量按照前述方式分离至内部虚拟服务器,实现正常用户与攻击流量的分离。通过对虚拟服务器的关闭与还原,即可为用户生成全新的未受攻击影响的虚拟服务器,并将用户迀移到新服务器可保障后续正常用户的服务质量,而原来易受攻击的服务器则退出服务并销毁。
[0053]3、实现对DDoS攻击的动态应对
[0054]由于服务器以虚拟机的方式提供服务,在正常服务过程中可启动较少数量的服务器,在感受到异常流量后,可启动新的虚拟服务器用于异常流量筛选。
[0055]4、降低防御成本
[0056]由于异常流量将会被分离与引流,可用接近正常服务所需的资源为正常用户提供可用的服务。异常流量将被集中于少量服务器,因而应对DDoS攻击所需要的额外资源将会较少。
[0057]以上所述的,仅为本发明的较佳实施例,并非用以限定本发明的范围,本发明的上述实施例还可以做出各种变化。即凡是依据本发明申请的权利要求书及说明书内容所作的简单、等效变化与修饰,皆落入本发明专利的权利要求保护范围。本发明未详尽描述的均为常规技术内容。
【主权项】
1.一种抵抗DDoS攻击的主动防御方法,其特征在于,所述方法包括以下步骤: 步骤S1,提供网络流量分离组件以及用于生成虚拟服务器的虚拟化服务器集群,其中,所述网络流量分离组件通过外部网络接收外部访问请求,并通过内部网络将所述外部访问请求重定向至所述虚拟服务器以使其响应所述外部访问请求; 步骤S2,将当前接收到外部访问请求的虚拟服务器作为原服务器,监测所述原服务器的性能指标,当该性能指标异常时,执行步骤S3,否则,执行步骤S6 ; 步骤S3,通过所述网络流量分离组件将所述原服务器接收到的外部访问请求按照该外部访问请求所对应的源IP地址随机分割成两部分,且每部分外部访问请求所对应的源IP地址的数量相同,同时使所述原服务器暂停响应所述外部访问请求; 步骤S4,通过所述虚拟化服务器集群生成两台新的虚拟服务器,并为新的所述虚拟服务器分配内网IP地址; 步骤S5,通过所述网络流量分离组件将两部分外部访问请求分别重定向至两台新的所述虚拟服务器,使两台新的所述虚拟服务器响应各自接收到的所述外部访问请求,并返回执行所述步骤S2 ; 步骤S6,使所述原服务器保持响应所述外部访问请求,以提供正常服务。2.根据权利要求1所述的抵抗DDoS攻击的主动防御方法,其特征在于,所述步骤S2还包括:当监测到所述原服务器的性能指标异常时,判断该原服务器接收到的外部访问请求所对应的源IP地址的数量是否小于所述网络流量分离组件接收到的外部访问请求所对应的源IP地址的总数量的2%,若是,则通过所述网络流量分离组件阻断所述原服务器响应所述外部访问请求,否则,执行所述步骤S3。3.根据权利要求1或2所述的抵抗DDoS攻击的主动防御方法,其特征在于,所述步骤S2还包括:通过卡尔曼滤波检测算法监测所述原服务器的性能指标。4.根据权利要求1或2所述的抵抗DDoS攻击的主动防御方法,其特征在于,所述原服务器的性能指标包括流量增长指标以及CPU资源消耗指标。5.根据权利要求1所述的抵抗DDoS攻击的主动防御方法,其特征在于,所述步骤S5还包括:使所述原服务器退出服务,并销毁所述原服务器。6.根据权利要求1所述的抵抗DDoS攻击的主动防御方法,其特征在于,在所述步骤S5中,所述网络流量分离组件根据所述新的虚拟服务器的内网IP地址将两部分访问请求分别重定向至两台所述新的虚拟服务器。7.根据权利要求1所述的抵抗DDoS攻击的主动防御方法,其特征在于,所述方法还包括:在所述步骤S6之后执行步骤S7,所述步骤S7包括将所有所述原服务器接收到的所述外部访问请求合并发送至单个原服务器。
【专利摘要】本发明涉及一种抵抗DDoS攻击的主动防御方法,包括:步骤S1,提供网络流量分离组件以及用于生成虚拟服务器的虚拟化服务器集群;步骤S2,监测所述原服务器的性能指标,当该性能指标异常时,执行步骤S3;步骤S3,通过所述网络流量分离组件将所述原服务器接收到的外部访问请求按照该外部访问请求所对应的源IP地址随机分割成两部分;步骤S4,通过所述虚拟化服务器集群生成两台新的虚拟服务器;步骤S5,通过所述网络流量分离组件将两部分外部访问请求分别重定向至两台新的所述虚拟服务器,并返回执行所述步骤S2。本发明使受攻击服务器自动迁移与躲避,并对异常与正常访问请求进行自动区分与引流,从而实现对DDoS攻击的主动防御。
【IPC分类】H04L29/06, H04L9/00
【公开号】CN105245549
【申请号】CN201510726537
【发明人】范磊
【申请人】上海红神信息技术有限公司
【公开日】2016年1月13日
【申请日】2015年10月30日