[发明专利]一种适用于虚拟机的DDOS主动防护方法

说明书

技术领域

本发明涉及云计算技术领域，特别是指一种适用于虚拟机的DDOS主动防护方法。

背景技术

在云计算环境下，随着越来越多的公司开始使用虚拟化数据中心和云服务，DDOS攻击也开始由原来利用大量数据流进行暴力式攻击转变为针对基础应用程序的技术性攻击。大多数的针对DDOS攻击的网络对策方案无法使网络免受DDoS攻击，因为它们无法阻止通信的大量涌入，而且典型情况是，它们都不能区分好的内容和坏的内容。传统的IPS、WAF之类根据特征来识别网络数据是有效的，但是对于内容合法而目的不良的攻击却束手无策。因此，DDOS攻击将会是云计算环境下虚拟机安全面临的重要威胁之一，目前在虚拟机上采取的DDOS攻击防护手段都是基于虚拟机设置及网络设备，一般有如下：

1、采用高性能的网络设备，要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。

2、在虚拟机内部关闭不必要的服务，限制同时打开的Syn半连接数目，及时更新系统补丁的方式防止DDOS攻击。

上述方法存在以下弊端：

1、防御成本高昂，市面上2G硬防单价在10W左右；

2、防御手段过于被动，不能主动发现DDOS攻击现象，提前将攻击关闭。

3、防御手段复杂，需要在每台虚拟机上做防护设置，定期更新补丁。

发明内容

本发明解决的技术问题在于提供一种适用于虚拟机的DDOS主动防护方法；解决传统方法存在的不足，降低防护成本，提供一种易操作及主动防御的解决方案。

本发明解决上述技术问题的技术方案是：

所述的方法具体包括如下步骤：

步骤1：在宿主物理机上安装网络数据包过滤工具，用于过滤数据链路层数据包；

步骤2：设置防御连接数，防御端口及轮询时间；

步骤3：每次轮询查询所有连接到服务器的活跃的网络连接，并过滤出连接到当前防御端口的活跃网络链接；

步骤4：根据查询结果计算连接到防御端口的IP地址和连接数，并按照连接数排序；

步骤5：对比当前所有IP地址对应连接数与预先设置防御连接数大小；

步骤6：关闭连接数大于防御连接数的IP连接。

所述的网络数据包过滤工具是Linux下的iptables；如果Linux系统连接到因特网、LAN或服务器，或连接LAN和因特网的代理服务器，则有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。

所述的连接数，当访问者访问应用时，他就占用至少一个连接；有时根据程序的不同，一个访问者也可能占用多个连接数；

所述的防御端口，一般是应用对外开放的端口，用户通过这个端口访问服务器；

所述的轮询时间，即循环检测的时间间隔。

所述的活跃网络连接，即当前访问者正处于交互状态。

本发明的方法可降低防护成本，减少设备和基础设施的投资以及其他硬件解决方案。本发明的方法提高了防护的易操作性，不需要在虚拟机上做任何配置，对原有系统无任何的侵入性。本发明的方法是一种主动防护的方法，对虚拟机DDOS防护进行主动防护，提前将攻击关闭。

附图说明

下面结合附图对本发明进一步说明：

图1为本发明的流程图；

具体实施方式

本发明的实施方式有多种，这里以Linux下的iptables为例说明其中一种实现方法，流程图如图1所示，具体实施过程如下：

1、在宿主物理机上安装网络数据包过滤工具，用于过滤数据链路层数据包，

比如Linux下的iptables等；

取yum install iptables.x86_64-y

2、设置防御连接数，防御端口及轮询时间；

3、每次轮询查询所有连接到服务器的活跃的网络连接，并过滤出连接到当前防御端口的活跃网络链接；

netstat-an|grep:$conPort|sort

#conPort为设置的防御端口，也就是应用对外端口

4、根据查询结果计算连接到防御端口的IP地址和连接数，并按照连接数排序；

netstat-plan|grep:conPort|awk{'print$5'}|cut-d:-f 1|sort|uniq-c|sort-nk 1

#conPort为设置的防御端口，也就是应用对外端口