[发明专利]一种防御拒绝服务攻击的方法及系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种防御拒绝服务攻击的方法及系统。

背景技术

目前，拒绝服务(DOS，Denial of Service)攻击在众多网络攻击技术中是一种简单有效且具有很大危害性的攻击方法，它通过各种手段消耗网络带宽和系统资源，或者攻击系统缺陷，使得系统的正常服务陷于瘫痪状态，不能对正常用户提供服务，从而实现拒绝正常用户访问服务。

随着网络设备性能越来越高、带宽越来越大，出现了一种基于DOS攻击的特殊形式-分布式拒绝服务(DDOS，Distributed Denial of Service)攻击，攻击者将多台受控制的计算机联合起来向目标计算机发起DOS攻击，使得传统的DOS攻击防范已经不能对用户提供很好的安全保障。DDOS恶意攻击在当前的网络环境中越来越猖獗，特别是在云计算环境下的攻击威胁更大，对用户造成了巨大的损失。

SYN Flood是常见且最有效的DDoS攻击之一，它是利用TCP协议中的建立连接的三次握手方法中的缺陷和IP欺骗技术，通过发送大量伪造的TCP连接请求，使得被攻击方资源耗尽。面对SYN Flood攻击，目前DDoS防御方法主要有特征匹配和资源比拼两大类。其中资源比拼方法主要是通过防御设备自身的运算和存储能力，以较小的代价消耗攻击者的攻击资源，常见资源比拼方法有SYN Proxy、SYN Cache和SYN Cookie三种。

现有防御方法一般是通过修改内核参数实现资源缓解，包括以下方法：

1、启用SYN Cookie缓解服务器资源压力，也即将内核参数net.ipv4.tcp_syncookies的值设置为1；

2、修改tcp_max_syn_backlog参数，使用服务器的内存资源，换取更大的等待队列长度，让攻击数据包不至于占满所有连接而导致正常用户无法完成握手；

3、修改net.ipv4.tcp_synack_retries参数，降低服务器SYN+ACK报文重试次数，尽快释放等待资源。

除了定制TCP/IP协议栈之外，还有一种常见做法是TCP首包丢弃方法，当接到一个SYN报文后比对黑白名单，根据比对结果执行丢弃或转发等操作。

虽然上述防御方法在一定程序上起到了防御作用，但传统的防御技术比较单一，对于各种类型的组合攻击防御能力比较低。同时，定制TCP/IP协议栈的难度比较大，不具有通用性；而利用黑名单阻止恶意攻击的方式容易产生误伤的情况，也即可能存在将正常的程序或用户拉入黑名单的情况，防御准确性不高。

发明内容

本发明针对上述问题，提出了一种防御拒绝服务攻击的方法及系统，从接入网络、负载均衡和web服务器三个角度构建了多方位的防护体系，更好的实现安全保障。

在一个方面，本发明提供了一种防御拒绝服务攻击的方法，包括以下步骤：

在接入网络阶段以及进行TCP连接握手阶段，分别根据预设拦截策略拦截恶意接入IP；

利用设置在路由器与WEB服务器之间的负载均衡服务器的代理机制屏蔽恶意接入IP；

监控WEB服务器的负载，当WEB服务器的负载超过阈值时，向云主机申请虚拟资源，加入到负载均衡服务器中分担流量。

在另一个方面，本发明提供了一种防御拒绝服务攻击的系统，包括：

拦截模块，用于在接入网络阶段以及TCP连接握手阶段，分别根据预设拦截策略拦截恶意接入IP；

代理模块，用于利用代理机制屏蔽恶意接入IP；

负载监控模块，用于监控WEB服务器的负载；

资源分配模块，用于当WEB服务器的负载超过阈值时，向云主机申请虚拟资源，加入申请到的虚拟资源以分担流量。

本发明从网络接入开始设置合理的策略阻止恶意用户的接入，并且利用负载均衡中的代理程序实现进一步的防御，而且web资源可以在负载均衡机制下在面对攻击时自适应地调整，实现对恶意攻击的有效防御。

附图说明

下面将参照附图描述本发明的具体实施例，其中：

图1示出了本发明实施例的防御拒绝服务攻击方法的方法流程图；

图2示出了本发明实施例的防御体系结构示意图；

图3示出了本发明实施例负载均衡服务器的代理原理示意图；

图4示出了本发明实施例的另一防御体系结构示意图；

图5示出了本发明实施例的防御拒绝服务攻击系统的结构示意图。

具体实施方式