[发明专利]一种抵抗DDoS攻击的主动防御方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种抵抗DDoS攻击的主动防御方法。

背景技术

DoS是DenialofService的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。在DoS攻击中，攻击者通过发送大量的服务请求，使得服务器消耗资源来处理这些无效请求。当服务器的资源大量消耗后，其对正常用户的服务能力将会下降甚至完全丧失，从而造成服务器对于正常服务请求响应的中断。服务器对外服务最关键的资源是网络带宽以及服务器处理时间，因此DoS攻击通常以消耗这两类资源为目标。

随着网络基础设施建设的增强以及计算机技术的发展，服务器可用的网络带宽以及服务器处理能力都得到了极大的提高，因此攻击者利用单台攻击主机实现DoS攻击的难度逐渐增大，即单台攻击主机无法消耗服务器所拥有的全部资源，攻击失效。因此攻击者将使用大量的攻击主机对服务器进行攻击，这些攻击主机可位于互联网的不同物理位置，攻击者通过网络软件控制攻击主机同时发起攻击。因此，此类攻击称为DDoS(DistributedDenialofService)，也就是分布式拒绝服务攻击。

DDoS攻击已经成为威胁网络服务的一种重要攻击方法，尤其在个人与企业活动日益依赖于网络的状况下，DDoS攻击带来的损失也日益严重。据来自卡巴斯基的调查分析显示，一个单个的DDoS攻击将对企业平均造成40万美元的伤害，并且38％的DDoS攻击的受害者无力保护其核心业务免遭攻击。

总体来说，当前技术对于DDoS的防范手段以被动式防御为基本方式。采取安全域划分，配置防火墙、入侵检测和防范系统，减缓攻击。采用分布式组网、负载均衡、提升系统容量等可靠性措施，增强总体服务能力。具体措施包括：

1、采用高性能的网络设备

保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备时应选择能支持预期最大访问流量并增加冗余性能的设备。

2、采用简单的网络架构与协议

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，NAT协议需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此会大量增加网络设备性能负担。

3、提供充足的网络接入带宽

网络带宽直接决定了能抗受DDoS攻击的能力，如果攻击流量将所有接入带宽消耗完毕，则所有的防御手段都将失效，因此至少要选择百兆的共享带宽。

4、提高服务器性能

在有网络带宽保证的前提下，DDoS攻击可能消耗资源的瓶颈转移为服务器，因此应提供足够的服务器性能，其中包括：CPU性能、内存容量以及磁盘IO性能。

然而，由于现有的DDoS攻击防御方法是一种被动的防御，其基本思路为提供尽可能高的资源，以增加攻击者消耗完所有的资源的难度，因此其具有如下缺点：

1、DDoS攻击防御成本高

由于DDoS攻击者可产生的流量及访问请求远高于正常用户访问，为了应对可能发生的DDoS攻击，系统应预备远超正常访问所需的带宽及计算资源，因此对于未发生攻击的大多数时间，会额外花费大量的资源。

2、对DDoS攻击应对性差

在传统的DDoS攻击防御方法中，依赖于网络硬件设施的部署与性能提升，硬件的更新及性能提升均不够灵活，一旦发生超过预期的DDoS攻击，无法及时升级应对措施，对抗攻击流量。

发明内容

为了解决上述现有技术存在的问题，本发明旨在提供一种抵抗DDoS攻击的主动防御方法，以使受攻击服务器自动迁移与躲避，并对异常与正常访问请求进行自动区分与引流，从而实现对DDoS攻击的主动防御。

本发明所述的一种抵抗DDoS攻击的主动防御方法，其特征在于，所述方法包括以下步骤：

步骤S1，提供网络流量分离组件以及用于生成虚拟服务器的虚拟化服务器集群，其中，所述网络流量分离组件通过外部网络接收外部访问请求，并通过内部网络将所述外部访问请求重定向至所述虚拟服务器以使其响应所述外部访问请求；

步骤S2，将当前接收到外部访问请求的虚拟服务器作为原服务器，监测所述原服务器的性能指标，当该性能指标异常时，执行步骤S3，否则，执行步骤S6；

步骤S3，通过所述网络流量分离组件将所述原服务器接收到的外部访问请求按照该外部访问请求所对应的源IP地址随机分割成两部分，且每部分外部访问请求所对应的源IP地址的数量相同，同时使所述原服务器暂停响应所述外部访问请求；