技術領域

本發明涉及通信技術領域，尤其涉及一種防御拒絕服務攻擊的方法及系統。

背景技術

目前，拒絕服務(DOS，Denial?of?Service)攻擊在眾多網絡攻擊技術中是一種簡單有效且具有很大危害性的攻擊方法，它通過各種手段消耗網絡帶寬和系統資源，或者攻擊系統缺陷，使得系統的正常服務陷于癱瘓狀態，不能對正常用戶提供服務，從而實現拒絕正常用戶訪問服務。

隨著網絡設備性能越來越高、帶寬越來越大，出現了一種基于DOS攻擊的特殊形式-分布式拒絕服務(DDOS，Distributed?Denial?of?Service)攻擊，攻擊者將多臺受控制的計算機聯合起來向目標計算機發起DOS攻擊，使得傳統的DOS攻擊防范已經不能對用戶提供很好的安全保障。DDOS惡意攻擊在當前的網絡環境中越來越猖獗，特別是在云計算環境下的攻擊威脅更大，對用戶造成了巨大的損失。

SYN?Flood是常見且最有效的DDoS攻擊之一，它是利用TCP協議中的建立連接的三次握手方法中的缺陷和IP欺騙技術，通過發送大量偽造的TCP連接請求，使得被攻擊方資源耗盡。面對SYN?Flood攻擊，目前DDoS防御方法主要有特征匹配和資源比拼兩大類。其中資源比拼方法主要是通過防御設備自身的運算和存儲能力，以較小的代價消耗攻擊者的攻擊資源，常見資源比拼方法有SYN?Proxy、SYN?Cache和SYN?Cookie三種。

現有防御方法一般是通過修改內核參數實現資源緩解，包括以下方法：

1、啟用SYN?Cookie緩解服務器資源壓力，也即將內核參數net.ipv4.tcp_syncookies的值設置為1；

2、修改tcp_max_syn_backlog參數，使用服務器的內存資源，換取更大的等待隊列長度，讓攻擊數據包不至于占滿所有連接而導致正常用戶無法完成握手；

3、修改net.ipv4.tcp_synack_retries參數，降低服務器SYN+ACK報文重試次數，盡快釋放等待資源。

除了定制TCP/IP協議棧之外，還有一種常見做法是TCP首包丟棄方法，當接到一個SYN報文后比對黑白名單，根據比對結果執行丟棄或轉發等操作。

雖然上述防御方法在一定程序上起到了防御作用，但傳統的防御技術比較單一，對于各種類型的組合攻擊防御能力比較低。同時，定制TCP/IP協議棧的難度比較大，不具有通用性；而利用黑名單阻止惡意攻擊的方式容易產生誤傷的情況，也即可能存在將正常的程序或用戶拉入黑名單的情況，防御準確性不高。

發明內容

本發明針對上述問題，提出了一種防御拒絕服務攻擊的方法及系統，從接入網絡、負載均衡和web服務器三個角度構建了多方位的防護體系，更好的實現安全保障。

在一個方面，本發明提供了一種防御拒絕服務攻擊的方法，包括以下步驟：

在接入網絡階段以及進行TCP連接握手階段，分別根據預設攔截策略攔截惡意接入IP；

利用設置在路由器與WEB服務器之間的負載均衡服務器的代理機制屏蔽惡意接入IP；

監控WEB服務器的負載，當WEB服務器的負載超過閾值時，向云主機申請虛擬資源，加入到負載均衡服務器中分擔流量。

在另一個方面，本發明提供了一種防御拒絕服務攻擊的系統，包括：

攔截模塊，用于在接入網絡階段以及TCP連接握手階段，分別根據預設攔截策略攔截惡意接入IP；

代理模塊，用于利用代理機制屏蔽惡意接入IP；

負載監控模塊，用于監控WEB服務器的負載；

資源分配模塊，用于當WEB服務器的負載超過閾值時，向云主機申請虛擬資源，加入申請到的虛擬資源以分擔流量。

本發明從網絡接入開始設置合理的策略阻止惡意用戶的接入，并且利用負載均衡中的代理程序實現進一步的防御，而且web資源可以在負載均衡機制下在面對攻擊時自適應地調整，實現對惡意攻擊的有效防御。

附圖說明

下面將參照附圖描述本發明的具體實施例，其中：

圖1示出了本發明實施例的防御拒絕服務攻擊方法的方法流程圖；

圖2示出了本發明實施例的防御體系結構示意圖；

圖3示出了本發明實施例負載均衡服務器的代理原理示意圖；

圖4示出了本發明實施例的另一防御體系結構示意圖；

圖5示出了本發明實施例的防御拒絕服務攻擊系統的結構示意圖。

具體實施方式