专利名称:一种防御网络攻击的方法和系统的利记博彩app
技术领域:
本发明涉及网络安全技术领域,尤其涉及一种防御网络攻击的技术。
技术背景DoS (Denial of Service,拒绝服务)是目前常见的网络攻击方法之一,目 的就是拒绝网站的服务访问,使部分甚至全部合法用户(相对于对网站进行 DoS攻击的黑客而言)不能正常获得网站的服务。DDoS (DistributedDenial of Service,分布式拒绝服务攻击)是一种基于DoS的特殊形式的拒绝服务攻击, 是一种分布协作的大规模攻击方式。P2P (peer-to-peernetwork对等网络)网络是一种能够实现网络中^f壬意节 点之间直接互连共享信息资源、处理器资源、存储器资源等的网络结构。资 源不再是仅存在于几个主要的服务器上,而是存在于每个节点主机上。P2P网 络中的每个节点的地位是对等的,各节点具有相同的责任和能力并协同完成 任务。网络中各节点主机之间的通信主要依靠其他中间节点来实现,每个节 点都有转发的功能和义务,而且多数采用群发机制,因此P2P网络具有天然的 传播性,更容易遭受并且易被利用发动DoS或DDoS攻击。目前P2P领域中应用最广泛的文件共享类软件,攻击者完全可以通过加入 到P2P软件网络中,直接利用一定的手段向连接的其它接点上传攻击程序^Jl 送命令信息,使连接到攻击者的节点都成为傀儡主机,大大提高了DDoS攻击 发动的容易程度;如果该P2P软件用户数量庞大,那么引发的DDoS攻击危害 性无疑更加强大。在现有技术中防御DoS或DDoS攻击的一个技术方案如图l所示,监控可能 成为攻击目标的主机或网络(目标服务器)的通信流量, 一旦识别出对目标主
机或网络造成攻击威胁的流量,便启动通信过滤器,过滤掉有害的通信流量, 即攻击流量,达到阻止对目标进行攻击活动的目的。但是这种攻击防御方法也 是在遭遇数次攻击之后才得到攻击流量的特征,而在得到攻击流量的特征之前 受攻击的目标就有可能已经瘫痪了 ,不能阻止攻击者^f吏用其他类型的DoS、 DDoS攻击方式发动攻击,因此对网络运行影响^艮大。现有技术中防雄卩DoS、 DDoS攻击的另 一个方案是采用主动反击的方法如 图2所示,在目标服务器遭到攻击后,通过向攻击流量的数据包中添加与路径 信息有关的标记,从而根据数据包中的路径信息来获得攻击流量的路径,获得 攻击者的路径信息,找到攻击者。但是对于这种追踪方法, 一旦攻击者^f吏用伪 造的源IP地址躲避追查,或者控制傀儡机进^f亍攻击时,则查找攻击者是非常困 难的。例如图3所示,如杲A使用了伪造的源IP地址,那么根据路径信息的记 录至多可以追查到A所在的子网S,但是无法确定该子网内究竟是哪台主^U发 动的攻击。进一步,如果A采用的伪源IP地址为同一子网内的主才几B的IP地址, 那么B势必会被锁定为攻击者,造成错误的追踪,也会影响到网络的正常运行。发明内容本发明实施例提供了 一种防御网络攻击的系统和方法以及一种前端控制 模块,以减少发生网络攻击时对网络的影响。一种防御网络攻击的系统,包括过滤器、路由器,还包括至少两个服务器,所述至少两个服务器中包括参与网站运行的值班服务 器和所述值班服务器的备用服务器;第一连接控制模块、第二连接控制模块和前端控制模块,所述前端控制 模块用于通过所述第二连接控制模块监测到值班服务器的资源消耗超过设定 值后,通知所述第一连接控制模块将选中的备用服务器替换为值班服务器, 通知过滤器过滤攻击流量。一种前端控制模块,包括
监控子模块,用于监测到值班服务器资源消耗超过设定值时,产生资源 报警信号;主控子模块,用于根据从所述监控子模块接收的资源报警信号,发送值班服务器替换命令、攻击流量过滤命令以及资源重新分配命令;值班服务器替换子模块,用于根据从所述主控子模块接收的值班服务器替换命令通知将所述至少两个服务器中的备用服务器替换为值班服务器; 攻击流量过滤控制子模块,用于根据从所述主控子模块接收的攻击流量过滤命令,控制过滤器过滤掉攻击流量。 一种防御网络攻击方法,包括监测运行的服务器,当运行的服务器资源消耗超过设定值后,启用备用 服务器替换为新运行的服务器;过滤掉攻击主才几的互联网协议IP地址对应的流量。本发明实施例由于采用多个服务器轮流工作的方法,在受到DoS、 DDoS 攻击的时候,用备用服务器替换下资源消耗过大的值班服务器,从而有效地 躲避了 DoS、 DDoS攻击。本发明实施例由于采用回收攻击者占有资源的方法,解除了攻击者对当 前服务器的资源的占用,使得网站资源在遭受到DoS、 DDoS攻击后不继续受 攻击者影响,网站可以正常运行,从而减少了网络攻击对网络造成的影响。
图1为现有技术一的防御Dos、 DDos攻击的方案示意图; 图2为现有技术二的根据路径信息追踪攻击者的示意图; 图3为现有:f支术二的追踪攻击与防追踪的方案示意图; 图4a为本发明实施例的基于SWIT的DoS、 DDoS攻击防御方案体系结 构图;图4b为本发明实施例的前端控制模块内部结构框图5为本发明实施例的防御DoS 、 DDoS攻击的方法流程图; 图6为本发明实施例的启动备用服务器躲避攻击的方法流程图; 图7为本发明实施例的服务器组环形队列图;图8为本发明实施例的新任SOD与现任SOD替换的方法的流程图; 图9为本发明实施例的实现SOD转移的方法流程图。
具体实施方式
本发明实施例提供的SWIT ( Servers Working In Turn,服务器轮转工作) 的方法是,除了正在运行的值班服务器之外,设置几台备用服务器,即用一 组服务器取代原来单独的服务器,然后令服务器组中的服务器根据一定的规 则轮流工作,躲避DoS、 DDoS攻击,达到服务器不4皮DoS、 DDoS攻击击垮 的目的,从而减少网络攻击对网络造成的影响。一种基于SWIT的DoS、 DDoS攻击防御方案体系结构如图4a所示,整 个体系结构分为内部组织400和外部网络410两部分。内部组织400在网站 的服务器端,整个内部组织400包括前端控制模块406、第一连接控制模块 403、服务器组402、第二连接控制模块401、过滤器404、路由器405。服务器组402,包括一台现任值班服务器SOD ( Server on duty,值班服务 器)以及几台备用服务器SIS ( Server in support,备用服务器)。现任值班服 务器SOD参与网站运行,接收用户的数据流量,处理外部请求。服务器组402 中的每个服务器都有编号,以示区别。服务器组402取代了原来单独的服务 器,服务器组402中的服务器根据一定的规则轮流工作,躲避DoS、 DDoS攻 击,达到不被DoS、 DDoS攻击击垮的目的。服务器组402中的服务器可以是 多个单独的服务器设备,也可以是在一个服务器设备中设置的多个具有类似 服务器功能的单元。第二连接控制模块401,与服务器组402中的所有服务器相连通,使得服 务器组402中的所有服务器可以通过第二连接控制模块401传递信息,并共 享网站信息。第一连接控制模块403,与服务器组402中的值班服务器SOD相连。SOD 通过第一连接控制模块403与过滤器404连接,接收从外部网络410发送的 数据流量,处理外部请求。当网站受到攻击流量攻击,威胁到网站安全的时 候,第一连接控制模块403被用以控制一台从备用服务器SIS中选出的新的 值班服务器SOD与过滤器连接,断开资源消耗超过设定值的值班服务器与过 滤器的连接。这时这台备用服务器SIS就成为了新任SOD。过滤器404,通过第一连接控制模块403与当前的值班服务器SOD连接。 该过滤器404其实就是防火墙,用以在网站受到攻击流量攻击的时候过滤掉 攻击流量,緩解SOD的压力。5^由器405,与过滤器404相连,并与外部网^各410相连,是内部组织 400与外部网络410连接的接口处。路由器405传递数据流量,并获得流量信 息。路由器405监测每个IP地址对应的流量速率,统计和总结一个合法用户 具有的最大流量速的范围。这样,在攻击发生时,可以将超过此范围的流量 乂十应的IP地址;〖见为攻击主才几的IP地址,并将攻击主才几的流量全部过滤掉。前端控制模块406,与第二连接控制模块401相连,通过第二连接控制模 块401监控当前的值班服务器SOD资源消耗信息;前端控制模块406与第一 连接控制模块403相连,通过第一连接控制模块403控制服务器组402中的 服务器与过滤器404的接通与断开;前端控制模块406与过滤器404连接, 控制过滤器404过滤攻击流量;前端控制模块406与路由器405连接,通过 路由器405获取流量统计信息。前端控制模块内部结构框图如图4b所示,包括监控子模块421、主控 子模块423、值班服务器替换子模块422、攻击流量过滤控制子模块424,还 可以包括重新分配控制子;^莫块425。监控子模块421通过第二连接控制模块401监视SOD的资源消耗信息, 并记录该SOD在服务器组中的序号b (before )。当攻击者发动DoS或DDoS 攻击时,攻击流量通过i 各由器405、过滤器404发送到SOD。 SOD因遭受DoS 或DDoS攻击,资源占用量急剧增加,超过资源占用量阀值m。监控子模块 421监测到此信息产生资源报警信号,将资源报警信号以及SOD的序号b发 送给主控子模块423。主控子模块423接收到监控子模块421发送的资源报警信号后,向值班 服务器替换子模块422发出替换命令。值班服务器替换子模块422接收到替换命令后,根据现任SOD的序号b (before),确定下任SOD的序号a ( after),并通知第一连接控制模块403接 通a号服务器,断开b号服务器,这时下任SOD接替了现任SOD成为新任 SOD继续网站的运行,现任SOD成为前任SOD (Pre-SOD, PSOD)退出网 站的运行,从而避免了在DoS或DDoS攻击下SOD因资源消耗完毕而瘫痪, 此时的PSOD资源消耗超过了阀值m。主控子模块423向攻击流量过滤控制子模块424发出过滤攻击流量的命 令以及攻击主机的IP地址。攻击流量过滤控制子模块424在接收到主控子模块423的过滤攻击流量 的命令后,从路由器405获取即时的流量信息,得到攻击流量对应的IP地址, 及攻击主机的IP地址,攻击流量过滤控制子模块424向过滤器404发送过滤 命令,过滤器404过滤掉攻击流量。主控子模块423还可以向重新分配控制子模块425发出重新分配资源的 命令以及攻击主机的IP地址。重新分配控制子模块425接收到主控子模块423的重新分配资源的命令 后,通过第二连接控制模块401通知服务器组402中所有资源消耗超过了阀 值m的服务器以及新的值班服务器SOD根据攻击主^L的IP地址,回收分配 给该IP地址的资源。除新的值班服务器SOD外,所有服务器组402中的资源 消耗超过了阀值m的服务器将执行完资源回收之后的资源分配信息传递给新 的SOD,并释放本服务器的资源,新的SOD接收新的资源分配信息后为合法
用户重新分配资源。这时新任的SOD中仅为合法用户分配了资源,同时^皮替换的PSOD释放 了所有分配的资源,再次成为备用服务器SIS,以备下次的替换。而新任的 SOD不会再为攻击主机的IP分配资源,同时过滤器也过滤了攻击主机IP的 攻击流量。如此,攻击者发动的DoS或DDoS攻击对网站将不再产生影响, 网站可以继续为合法用户提供服务。在实际实施该方案的时候,服务器个数的设置也是值得注意的地方。因 考虑到满足正常用户的合法请求,SOD退出服务后其已分配的资源不能武断 的全部收回(如果这样,攻击期间接受的合法用户请求也将被全部清除,出 现了合法用户得不到服务的情况,达到了DoS、 DDoS攻击者的目的),同时 也不能草率的将这部分资源分配信息一成不便地转交给新任SOD (因为SOD退出服务的原因就是由于其资源占用量已对网站正常运行构成威胁,如果再 要新任SOD为这些请求分配同样的资源,势必极有可能导致连续不断的SOD 转移,加大服务器瘫痪的概率),这样如果服务器个数过少,就会导致因没有 足够的服务器参与SOD的替换,而导致服务器全部瘫痪。但是从经济因素的 角度来讲,服务器的个数也不能无限制增多。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤 是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机 可读取存储介质中,该程序在执行时,包括如下步骤,所述的存储介质,如 ROM/RAM、磁碟、光盘等。本发明实施例的一种防御DoS、 DDoS攻击的方法如图5所示,包括如下 步骤步骤S500:开始。步骤S501:监视SOD资源消耗信息。前端控制模块406的监控子模块421通过第二连接控制模块401监视值 班服务器SOD的资源消耗信息,即SOD的资源占用比。资源占用比指的是
服务器分配给用户的资源与服务器的所有资源的比例。步骤S502:判断资源占用比是否超过m值。对于SOD的资源占用比设了 一个阀值m,当判断资源占用比超过了该阀 值就认为网站遭受到了 DoS或DDoS攻击,从而采取防御措施。可见阀值m 不能设置过大,以免在采取措施前,SOD的资源就已经被耗尽。如果资源占用比没有超过m,则返回步骤S501继续监视SOD资源消*毛 信息;如果资源占用比超过m,则执行步骤S503。步骤S503:启动SIS替换SOD。当监控子模块421监测到SOD的资源占用比超过了阀值m,认为系统遭 受到了 DoS或DDoS攻击,为了避免现任SOD很有可能因资源耗尽而导致系 统网站瘫痪,需要立即启动一台备用服务器SIS,作为新的值班服务器SOD, 替换掉现任SOD。监控子模块421向主控子模块423发出资源报警信号,主 控子模块423向值班服务器替换子模块422发出替换命令,值班服务器替换 子模块422通过控制第一连接控制模块403来完成新的SOD与过滤器404的 接通,并将资源消耗超过了设定值的SOD的断开。步骤S504:过滤攻击流量。主控子模块423向攻击流量过滤控制子模块424发出过滤攻击流量的命 令后,攻击流量过滤控制子模块424从路由器405获取攻击主机的IP地址, 并将该攻击主机的IP地址传送给主控子模块423。获得攻击主机的IP地址后,攻击流量过滤控制子模块424设置过滤规则, 控制过滤器404将对应攻击主机的IP地址的流量过滤掉,也就是过滤掉攻击 流量。过滤器404过滤掉该攻击流量后,通往服务器的流量暂时不会出现大 幅度增多。为新SOD进行资源重新分配提供了緩冲时间。当然经过该过滤规 则设置过滤器后,这些IP地址对应的流量将永远不能进入服务器,如果这些 IP地址对应的是攻击傀儡机,当其清除掉被攻击者植入的攻击守护进程之后, 显然再禁止它们的流量是不合理的,因此从路由器405向前端控制模块406 提交攻击流量信息的那一刻起,就要为信息中的每个攻击主机的IP地址设置 相应的计时器,如果超过一定时间,路由器没有再次发现该IP地址的流量速率过大,前端控制^f莫块406则再次向过滤器发送命令,解除对这个IP地址流 量的禁止。进一步还包括步骤S505:重新分配资源。由于被替换的SOD,其资源消耗都超过了设定值。如果需要将它们作为 新的SOD的备用服务器再次启用的话,就必须回收这些PSOD中的资源,并 为新的SOD重新分配资源。主控子模块423向重新分配控制子模块425发出重新分配资源的命令。 重新分配控制子模块425接收到主控子模块423的重新分配资源的命令后, 通过第二连接控制才莫块401通知服务器组402中的服务器完成新任SOD的合 法用户重新分配资源。在完成该步骤后,攻击者的DoS或DDoS攻击将不能 对网站构成任何影响,同时网站又保证了对合法用户提供服务。上述步骤S503中的启动SIS替换SOD的方法如图6所示,包括如下步骤步骤S601:确定下一任SOD的序号a。在DoS或DDoS攻击发生后,值班服务器替换子模块422需要尽快决定 下任SOD,以替换掉现任SOD。当然,替换的方法有很多,只要是在备用服 务器SIS中选择一个来替换现任SOD就可以了。可以随机选择、可以逆序选 择、可以顺序选择,还可以间隔选择。在本发明实施例中采用了环形队列的 方法进行选择。该方法可以想象成服务器如图7中排列的方式,依次编号。 假设有编号从0到n-l的n个服务器,此时现任SOD序号为b,那么确定下 任SOD序号a,通过公式a= (b+l) % n ;比如,有编号0到5,共6个服务器,现任SOD序号为2,才艮据上面的 公式可以计算出下任SOD序号a-3;若现任SOD序号为5,计算出a = 0。
由此可见,该方法就好比将服务器依次连成一个顺时针圆圈,下一任服务器 即为现任服务器顺时针方向连接的服务器。步骤S602:接通a号服务器,断开上一任服务器。在确定了下一任SOD后,值班服务器替换子模块422向第一连接控制模 块403发送连接控制命令,通知第一连接控制模块403接通a号服务器, 断开b号服务器,此时新任SOD将替换上任SOD进行工作。上述的步骤S602的接通a号服务器,断开上一任服务器的具体实现方法 是在断开资源消耗超过设定值的值班服务器(上一任服务器)与过滤器的 连接之前,先确认新的值班服务器(a号服务器)与过滤器之间已经接通。实 现方法如图8所示,具体包括如下步骤步骤S800:开始。步骤S801:判断SOD是否连通。第一连接控制^^莫块403判断现任SOD是否与过滤器404相连通。如果不 是,说明出现异常,退出切换操作;如果是,执行步骤S802。步骤S802:连接a号服务器,并判断是否连接成功。第一连接控制才莫块403控制a号服务器,即被选的备用服务器,也是新 任SOD,与过滤器404相连通。并判断是否连接成功。如果不成功,返回步 骤S801;如果成功,执行步骤S803。步骤S803:第一连接控制模块403断开b号服务器SOD的连接。在判断新任SOD连接成功后,第 一连接控制模块403控制断开b号服务 器SOD的连接,b号服务器退出。此时b号服务器成为上任SOD——PSOD (Pre-SOD),此时的PSOD资源分配已经超过设定阀值。上述步骤S504中的获取攻击主机的IP地址的具体方法是主控子模块423向攻击流量过滤控制子模块424发出过滤攻击流量的命 令后,攻击流量过滤控制子模块424从路由器405获取流量信息。路由器405 平时会监测每个IP地址对应的流量速率,统计和总结一个合法用户所具有的
最大流量速率的范围。当遭受DoS或DDoS攻击的时候,将超过此范围的流 量视为攻击流量,或者将流量速率最高的视为攻击流量。路由器405得到攻 击流量对应的IP地址,将该IP地址纟见为攻击主才几的IP地址。前端控制才莫块 406从路由器405获耳又到流量信息——攻击主机的IP地址。攻击流量过滤控 制子模块424将攻击主机的IP地址传送给主控子模块423。上述步骤S505中重新分配资源的方法,如图9所示,具体包括如下步骤步骤S901:将攻击主^L的IP地址通知服务器组402。重新分配控制子模块425通过第二连接控制模块401通知服务器组402 中的新的SOD和资源消耗超过设定值的值班服务器(即PSOD)根据攻击主 才几的IP地址重新分配用户资源。步骤S902:服务器组402中的服务器回收对应IP地址分配的资源。服务器组402中所有已分配部分资源的服务器,包括新任SOD和PSOD, 才艮据攻击主^/L的IP地址,回收分配给该IP地址的资源。当网站遭受DoS或 DDoS攻击,启用备用服务器SIS替换了 SOD,被替换的SOD成为了 PSOD, 在该PSOD中已经为一些用户分配了资源,这些用户中包括了合法用户也包 才舌攻击者。而且,在攻击流量迅速攻击下,可能不止一次的发生了 SOD的替 换、转移,所有的被替换下的SOD都成为了 PSOD。所以这时,不止一个PSOD, 而是有多个PSOD。这些PSOD都为一些用户分配了资源。这些PSOD根据攻击主机的IP地址,与自己的资源分配信息对比,回收 所有的为该IP地址分配的资源,然后生成新的资源分配信息。步骤S903: PSOD将执行完回收的资源分配信息传递给SOD,并释放所 有分配的资源。所有的PSOD在执行完资源回收后,将新的资源分配信息通过第二连接 控制模块401传递给新任SOD。在传递完新的资源分配信息后,PSOD释放 所有的资源,再次成为备用服务器SIS。步骤S904:根据接收的PSOD新的资源分配信息,新任SOD重新分配合 法用户资源。新任SOD根据接收的各PSOD新的资源分配信息,进行汇总,为合法用 户重新分配资源。这时,由于这些资源分配信息中已经没有了为攻击主机分 配资源的信息,所以新任SOD将不再会被攻击主机占用资源了 。本发明实施例由于该方案只涉及到网站的服务器端,因此不需要大量 ISP、各级路由器等合作,减少开销,无通信消耗增加。本发明实施例由于采用多个服务器轮流工作的方法,在受到DoS、 DDoS 攻击的时候,用备用服务器替换下资源消耗过大的值班服务器,从而有效地 躲避了 DoS、 DDoS攻击。本发明实施例由于采用回收攻击者占有资源的方法,解除了攻击者对当 前服务器的资源的继续占用,使得网站资源在遭受到DoS、 DDoS攻击后不继 续受攻击者影响,网站可以正常运行。本发明实施例由于采用过滤掉所有攻击者的攻击流量,并及时进行值班 服务器的替换,对于利用P2P网络发起的攻击,也可以起到很好的防御作用, 为P2P产业的发展提供了 一定的保障。本发明实施例由于从上任SOD退出服务到将合法用户相关的资源分配信 息传递给现任SOD要间隔一段时间,而这段时间内,这些合法用户的服务请 求不能得到满足,为TCP连接的超时重置提供了一定的緩冲时间,对于利用 TCP协议"三次握手,,的漏洞发动的攻击增强了防御效果。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普 通4支术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润 饰,这些改进和润饰也应^L为本发明的保护范围。
权利要求
1、一种防御网络攻击的系统,包括过滤器、路由器,其特征在于,还包括至少两个服务器,所述至少两个服务器中包括参与网站运行的值班服务器和所述值班服务器的备用服务器;第一连接控制模块、第二连接控制模块和前端控制模块,所述前端控制模块用于通过所述第二连接控制模块监测到值班服务器的资源消耗超过设定值后,通知所述第一连接控制模块将选中的备用服务器替换为值班服务器,通知过滤器过滤攻击流量。
2、 如权利要求l所述的系统,其特征在于,所述前端控制模块,包括 监控子模块,用于通过所述第二连接控制模块监测到值班服务器资源消耗超过设定值时,产生资源报警信号;主控子模块,用于根据从所述监控子模块接收的资源报警信号,发送值 班服务器替换命令、攻击流量过滤命令;值班服务器替换子模块,用于根据从所述主控子模块接收的值班服务器攻击流量过滤控制子模块,用于根据从所述主控子模块接收的攻击流量 过滤命令,通过所述第一连接控制模块通知过滤器过滤掉攻击流量。
3、 如权利要求1或2所述的系统,其特征在于,所述前端控制模块通过 所述第二连接控制模块监测到值班服务器的资源消耗超过设定值后,还通过 所述第二连接控制模块通知被替换的值班服务器以及新的值班服务器重新分 配资源。
4、 如权利要求3所述的系统,其特征在于,所述前端控制模块包括 重新分配控制子模块,所述主控子模块还产生资源重新分配命令,所述重新分配控制子模块用于根据从所述主控子模块接受的资源重新分配命令, 通知被替换的值班服务器以及新的值班服务器重新分配资源。
5、 一种前端控制模块,其特征在于,包括监控子模块,用于监测到值班服务器资源消耗超过设定值时,产生资源报警信号;主控子模块,用于根据从所述监控子模块接收的资源报警信号,发送值班服务器替换命令、攻击流量过滤命令以及资源重新分配命令;值班服务器替换子模块,用于根据从所述主控子模块接收的值班服务器攻击流量过滤控制子模块,用于根据从所述主控子模块接收的攻击流量 过滤命令,控制过滤器过滤掉攻击流量。
6、 如权利要求3所述的前端控制模块,其特征在于,还包括 重新分配控制子模块,所述主控子模块还产生资源重新分配命令,所述重新分配控制子模块用于根据从所述主控子模块接受的资源重新分配命令, 通知被替换的值班服务器以及新的值班服务器重新分配资源。
7、 一种防举卩网络攻击方法,其特征在于,包括监测运行的服务器,当运行的服务器资源消耗超过设定值后,启用备用 服务器替换为新运行的服务器;过滤掉攻击主机的互联网协议IP地址对应的流量。
8、 如权利要求7所述的方法,其特征在于,所述启用备用服务器替换为 新运行的服务器包括从所有备用服务器中选择新运行的服务器;将新运行的服务器与过滤器接通,并断开资源消耗超过设定值的服务器 与过滤器的连接。
9、 如权利要求7所述的方法,其特征在于,每一个服务器按整数依次编 序号;以及从所有备用服务器中选择新运行的服务器时,该新运行的服务器 的序号根据如下方法得到如果被替换的服务器的序号为最大序号,新运行的服务器的序号为最小 序号;如果被替换的值班服务器的序号小于最大序号,新的值班服务器的序 号为被替换的值班服务器的序号加一;或者,如果被替换的服务器的序号为最小序号,新运行的服务器的序号为最大 序号;如果被替换的值班服务器的序号大于最小序号,新的值班服务器的序 号为被替换的值班服务器的序号减一。
10、 如权利要求7所述的方法,其特征在于,所述过滤掉攻击主机的IP 地址对应的流量的方法,包括所述前端控制模块从路由器获取攻击主机的IP地址; 所述前端控制模块将所述攻击主机的IP地址发给所述过滤器,并向过滤 器发送过滤命令;所述过滤器接收到过滤命令后,过滤掉所述攻击主机的IP地址对应的流量。
11、 如权利要求IO所述的方法,其特征在于,所述攻击主机的IP地址是 路由器确定,具体方法包括路由器监测每个IP地址对应的流量速率;并将超过合法用户最大流量速率范围的流量视为攻击流量,攻击流量对应 的IP地址一见为攻击主才几的IP地址。
12、 如权利要求7所述的方法,其特征在于,还包括 通知所述新运行的服务器与所述资源消耗超过设定值的服务器根据所述攻击主机的IP地址进4亍资源回收;所述新运行的服务器与所述资源消耗超过设定值的服务器分别将攻击主 机的IP地址与本月l务器的资源分配信息对比,回收为该攻击主冲几的IP地址所 分配的资源;所述资源消耗超过设定值的服务器在执行完回收后重新生成资源分配信 息,将所述重新生成的资源分配信息传递给所述新运行的服务器,并释放本 服务器所有分配的资源; 所述新运行的服务器根据接收的所述重新生成的资源分配信息,为攻击 主机以外的用户重新分配资源。
13、 如权利要求12所述的方法,其特征在于,还包括 所述路由器监测所述攻击主机的IP地址的流量速率,当所述该IP地址的流量速率在所述合法用户最大流量速率的范围内的持续时间超过设定时间 时,通知所述前端控制模块解除对所述IP地址流量的过滤;所述前端控制模块通知过滤器解除对所述IP地址流量的过滤。
14、 如权利要求7所述的方法,其特征在于,所述的网络攻击包括拒 绝服务攻击和分布式拒绝服务攻击。
全文摘要
本发明涉及防御网络攻击,尤其涉及一种防御网络攻击的技术。一种防御网络攻击的系统,包括过滤器、路由器,还包括至少两个服务器,所述至少两个服务器中包括参与网站运行的值班服务器和所述值班服务器的备用服务器;第一连接控制模块、第二连接控制模块和前端控制模块,所述前端控制模块用于通过所述第二连接控制模块监测到值班服务器的资源消耗超过设定值后,通知所述第一连接控制模块将选中的备用服务器替换为值班服务器,通知过滤器过滤攻击流量。
文档编号H04L12/56GK101127649SQ20071016422
公开日2008年2月20日 申请日期2007年9月30日 优先权日2007年9月30日
发明者竟 刘, 刘廷永, 凯 卜, 孙知信, 婧 宫 申请人:华为技术有限公司