[发明专利]一种网络负载防攻击处理方法及系统

说明书

本发明公开了一种网络负载防攻击处理方法及系统，本发明目的在于提供一种网络负载防攻击处理方法和系统及防攻击服务器，以至少解决网络负载的防攻击性能差的问题；通过本发明，采用交换机将来自客户端的握手信号包转发至防攻击服务器，其中，防攻击服务器用于根据握手信号包构造应答信号包；交换机然后转发应答信号包至客户端，其中，客户端用于根据应答信号包生成响应信号包；交换机再转发响应信号包至应用服务器，其中，应用服务器用于验证响应信号包的合法性并在验证响应信号包合法的情况下为客户端提供应用服务，解决了网络负载的防攻击性能差的问题，进而提高了网络负载的防攻击性能；本发明适用于网络安全领域。

技术领域

本发明涉及网络安全领域，具体涉及一种网络负载防攻击处理方法及系统。

背景技术

虚拟服务器，多指一个虚拟的服务器集群系统，例如，Linux虚拟服务器(LinuxVirtualServer，简称LVS)。该LVS服务器可以提供虚拟网络之间的互联协议(VirtualInternetProtocol，简称为VIP)以供用户访问。客户端发起一条VIP的传输控制协议(TransmissionControlProtocol，简称为TCP)的连接请求，LVS服务器可以代理TCP的三次握手过程，能够有效地防御拒绝服务型攻击SYNFlood攻击。根据相关技术中的一种服务器防攻击模式包括客户端，交换机，虚拟服务器，非虚拟服务器和虚拟服务器接后端服务器，其中，客户端和交换机可以相互通信，交换机可以将客户端发送的数据转发至非虚拟服务器，交换机和虚拟服务器可以相互通信，虚拟服务器接后端服务器可以接收来自虚拟服务器的数据。该虚拟服务器的防火墙在部署时加载方便，比如，直接在提供正常流量的虚拟服务器上安装就可以实现防火墙根据具体的安全策略来允许、拒绝或者监测出入网络的信息流。因此，加载了防火墙之后的虚拟服务器不仅能够有效地防御SYNFlood攻击，还能在短时间内防止SYNFlood攻击对正常服务的影响。

当正常服务与攻击服务在同一台服务器上，系统资源在提供正常服务时，已经消耗了大部分的中央处理器(CentralProcessingUnit，简称为CPU)，输入输出端口(InputOutput，简称为IO)和软中断等正常流量的资源，如果还要处理攻击流量，则系统的防御性能会大大降低。随着攻击流量的增加，系统网卡的接受能力出现瓶颈，无法接收进而处理所有的数据请求包，可能导致正常数据请求包的丢失，此时正常服务也会受到影响。这种内核防火墙的部署方案只能为本服务器提供防御功能，也即，当虚拟服务器上安装内核防火墙时，内核防火墙只为虚拟服务器提供防御功能，而对于处于同一交换机下的其他未部署防火墙的服务器，也即，非虚拟服务器，则不能起到防御功能。

针对相关技术中的网络负载的防攻击性能防攻击性能差的问题，目前尚未提出有效的解决方案。

发明内容

本发明的主要目的在于提供一种网络负载防攻击处理方法和系统及防攻击服务器，以至少解决网络负载的防攻击性能差的问题。

本发明采用的技术方案如下：

根据本发明的一个方面，提供了一种网络负载防攻击处理方法。该网络负载防攻击处理方法包括：交换机将来自客户端的握手信号包转发至防攻击服务器，其中，防攻击服务器用于根据握手信号包构造应答信号包；交换机转发应答信号包至客户端，其中，客户端用于根据应答信号包生成响应信号包；交换机转发响应信号包至应用服务器，其中，应用服务器用于验证响应信号包的合法性并在验证响应信号包合法的情况下为客户端提供应用服务。

进一步地，在交换机将来自客户端的握手信号包转发至防攻击服务器之前，该网络负载防攻击处理方法还包括：交换机接收来自客户端的数据请求包；交换机判断数据请求包是否是握手信号包；其中，交换机在判断出数据请求包是握手信号包时，向防攻击服务器发送握手信号包，在判断出数据请求包为非握手信号包时，向应用服务器发送非握手信号包。