[发明专利]一种虚拟服务器和一种防御网络攻击的方法

说明书

技术领域

本发明涉及网络技术领域，特别是涉及一种虚拟服务器和一种防御网络攻击的方法。 

背景技术

随着网络的发展，网络中存在大量恶意的攻击系统服务器的web攻击。web攻击大体分为流量型和连接型两种。其中连接型攻击是攻击者发送大量的连接，但是建立连接后，攻击者不再发送数据，而该连接占用被攻击的服务器的进程和连接数量，耗尽被攻击的服务器的CPU、内存等资源，导致被攻击的服务器无法处理正常的请求。 

现有技术中，防御连接型攻击大致过程为：前端的虚拟服务器(比如Linux虚拟服务器，Linux Virtual Server，简称LVS)将接收到的某个IP的应用客户端的数据包，分发给后端的一个真实服务器(Real Server，简称RS)，在RS与该应用客户端连接后，然后再由RS判断当前与该IP的应用客户端的连接是否应该关闭。 

在现有技术中，首先，对连接型攻击的防御是在真实服务器中进行，那么对于处理具体应用逻辑的真实服务器进行防御的操作挤占了其CPU、内存等系统资源，那么相应的则减少了处理其具体逻辑的系统资源，影响服务器处理其他应用客户端正常请求的效率； 

再次，现有技术中，应用客户端已经与RS建立了连接，而建立连接的过程中已经进行了TCP三次握手的过程，而TCP三次握手过程本身就消耗了RS的CPU、内存等资源，也会影响服务器处理其他应用客户端正常请求的效率。 

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种虚拟服务器和相应的一种防御网络攻击的方法。 

依据本发明的一个方面，提供了一种虚拟服务器，包括： 

拦截模块，适于在虚拟服务器拦截应用客户端发送的数据包； 

连接判断模块，适于判断所述数据包是否属于已有连接； 

初始连接包检查模块，适于当连接判断模块判断所述数据包不属于已有连接后，检查所述数据包是否为同步序列编号报文； 

第一丢弃模块，适于当初始连接包检查模块检查所述数据包不是同步序列编号报文，则丢弃所述数据包； 

源IP检查模块，适于当初始连接包检查模块检查所述数据包是同步序列编号报文，则检查所述同步序列编号报文的源IP是否在封禁IP信息中； 

第二丢弃模块，适于当源IP检查模块检查所述源IP在封禁IP信息中，则丢弃所述同步序列编号报文。 

可选地，所述的虚拟服务器，所述封禁IP信息存储于所述虚拟服务器的内核模块中。 

可选地，所述的虚拟服务器，还包括： 

封禁IP存储接口，适于将封禁IP信息存入所述内核模块中； 

和/或，封禁IP获取接口，适于从所述内核模块中的获取封禁IP信息。 

可选地，所述的虚拟服务器，还包括： 

封禁IP信息存储模块，适于通过封禁IP存储接口将封禁IP信息存入所述虚拟服务器的内核模块中； 

和/或封禁IP信息获取模块，适于通过封禁IP获取接口从虚拟服务器的内核模块中获取封禁IP信息。 

可选地，的虚拟服务器，还包括： 

封禁IP存入请求接收模块，适于接收操作客户端的包括封禁IP信息的存入请求，并通知述封禁IP信息存储模块存储所述封禁IP信息； 

和/或，封禁IP查询请求接收模块，适于接收操作客户端的封禁IP信息 查询请求，并通知所述封禁IP信息获取模块获取封禁IP信息。 

可选地，所述的虚拟服务器，所述内核模块包括： 

哈希存储模块，适于以IP数据段的前K位作为哈希表结构中的关键数据段，对封禁IP信息进行分组存储。 

根据本发明的另一方面，提供了一种防御网络攻击的方法，包括： 

在虚拟服务器拦截应用客户端发送的数据包； 

判断所述数据包是否属于已有连接； 

如果所述数据包不属于已有连接，则检查所述数据包是否为同步序列编号报文； 

如果述数据包不是同步序列编号报文，则丢弃所述数据包； 

如果述数据包是同步序列编号报文，则检查所述同步序列编号报文的源IP是否在封禁IP信息中； 

如果所述源IP在封禁IP信息中，则丢弃所述同步序列编号报文。 

可选地，所述封禁IP信息存储于所述虚拟服务器的内核模块中。 

可选地，还包括： 

通过封禁IP存储接口将封禁IP信息存入所述虚拟服务器的内核模块中；