一種防禦網絡攻擊的方法和系統的製作方法

2023-06-01 15:05:21

專利名稱：一種防禦網絡攻擊的方法和系統的製作方法
技術領域：
本發明涉及網絡安全技術領域，尤其涉及一種防禦網絡攻擊的技術。
技術背景DoS (Denial of Service,拒絕服務)是目前常見的網絡攻擊方法之一，目 的就是拒絕網站的服務訪問，使部分甚至全部合法用戶(相對於對網站進行 DoS攻擊的黑客而言)不能正常獲得網站的服務。DDoS (DistributedDenial of Service,分布式拒絕服務攻擊)是一種基於DoS的特殊形式的拒絕服務攻擊， 是一種分布協作的大規模攻擊方式。P2P (peer-to-peernetwork對等網絡)網絡是一種能夠實現網絡中^f壬意節 點之間直接互連共享信息資源、處理器資源、存儲器資源等的網絡結構。資 源不再是僅存在於幾個主要的伺服器上，而是存在於每個節點主機上。P2P網 絡中的每個節點的地位是對等的，各節點具有相同的責任和能力並協同完成 任務。網絡中各節點主機之間的通信主要依靠其他中間節點來實現，每個節 點都有轉發的功能和義務，而且多數採用群發機制，因此P2P網絡具有天然的 傳播性，更容易遭受並且易被利用發動DoS或DDoS攻擊。目前P2P領域中應用最廣泛的文件共享類軟體，攻擊者完全可以通過加入 到P2P軟體網絡中，直接利用一定的手段向連接的其它接點上傳攻擊程序^Jl 送命令信息，使連接到攻擊者的節點都成為傀儡主機，大大提高了DDoS攻擊 發動的容易程度；如果該P2P軟體用戶數量龐大，那麼引發的DDoS攻擊危害 性無疑更加強大。在現有技術中防禦DoS或DDoS攻擊的一個技術方案如圖l所示，監控可能 成為攻擊目標的主機或網絡(目標伺服器)的通信流量， 一旦識別出對目標主
機或網絡造成攻擊威脅的流量，便啟動通信過濾器，過濾掉有害的通信流量， 即攻擊流量，達到阻止對目標進行攻擊活動的目的。但是這種攻擊防禦方法也 是在遭遇數次攻擊之後才得到攻擊流量的特徵，而在得到攻擊流量的特徵之前 受攻擊的目標就有可能已經癱瘓了 ，不能阻止攻擊者^f吏用其他類型的DoS、 DDoS攻擊方式發動攻擊，因此對網絡運行影響^艮大。現有技術中防雄卩DoS、 DDoS攻擊的另 一個方案是採用主動反擊的方法如 圖2所示，在目標伺服器遭到攻擊後，通過向攻擊流量的數據包中添加與路徑 信息有關的標記，從而根據數據包中的路徑信息來獲得攻擊流量的路徑，獲得 攻擊者的路徑信息，找到攻擊者。但是對於這種追蹤方法， 一旦攻擊者^f吏用偽 造的源IP位址躲避追查，或者控制傀儡機進^f亍攻擊時，則查找攻擊者是非常困 難的。例如圖3所示，如杲A使用了偽造的源IP位址，那麼根據路徑信息的記 錄至多可以追查到A所在的子網S，但是無法確定該子網內究竟是哪臺主^U發 動的攻擊。進一步，如果A採用的偽源IP位址為同一子網內的主才幾B的IP位址， 那麼B勢必會被鎖定為攻擊者，造成錯誤的追蹤，也會影響到網絡的正常運行。發明內容本發明實施例提供了 一種防禦網絡攻擊的系統和方法以及一種前端控制 模塊，以減少發生網絡攻擊時對網絡的影響。一種防禦網絡攻擊的系統，包括過濾器、路由器，還包括至少兩個伺服器，所述至少兩個伺服器中包括參與網站運行的值班服務 器和所述值班伺服器的備用伺服器；第一連接控制模塊、第二連接控制模塊和前端控制模塊，所述前端控制 模塊用於通過所述第二連接控制模塊監測到值班伺服器的資源消耗超過設定 值後，通知所述第一連接控制模塊將選中的備用伺服器替換為值班伺服器， 通知過濾器過濾攻擊流量。一種前端控制模塊，包括
監控子模塊，用於監測到值班伺服器資源消耗超過設定值時，產生資源 報警信號；主控子模塊，用於根據從所述監控子模塊接收的資源報警信號，發送值班伺服器替換命令、攻擊流量過濾命令以及資源重新分配命令；值班伺服器替換子模塊，用於根據從所述主控子模塊接收的值班伺服器替換命令通知將所述至少兩個伺服器中的備用伺服器替換為值班伺服器； 攻擊流量過濾控制子模塊，用於根據從所述主控子模塊接收的攻擊流量過濾命令，控制過濾器過濾掉攻擊流量。 一種防禦網絡攻擊方法，包括監測運行的伺服器，當運行的伺服器資源消耗超過設定值後，啟用備用 伺服器替換為新運行的伺服器；過濾掉攻擊主才幾的網際網路協議IP位址對應的流量。本發明實施例由於採用多個伺服器輪流工作的方法，在受到DoS、 DDoS 攻擊的時候，用備用伺服器替換下資源消耗過大的值班伺服器，從而有效地 躲避了 DoS、 DDoS攻擊。本發明實施例由於採用回收攻擊者佔有資源的方法，解除了攻擊者對當 前伺服器的資源的佔用，使得網站資源在遭受到DoS、 DDoS攻擊後不繼續受 攻擊者影響，網站可以正常運行，從而減少了網絡攻擊對網絡造成的影響。


圖1為現有技術一的防禦Dos、 DDos攻擊的方案示意圖； 圖2為現有技術二的根據路徑信息追蹤攻擊者的示意圖； 圖3為現有:f支術二的追蹤攻擊與防追蹤的方案示意圖； 圖4a為本發明實施例的基於SWIT的DoS、 DDoS攻擊防禦方案體系結 構圖；圖4b為本發明實施例的前端控制模塊內部結構框圖5為本發明實施例的防禦DoS 、 DDoS攻擊的方法流程圖； 圖6為本發明實施例的啟動備用伺服器躲避攻擊的方法流程圖； 圖7為本發明實施例的伺服器組環形隊列圖；圖8為本發明實施例的新任SOD與現任SOD替換的方法的流程圖； 圖9為本發明實施例的實現SOD轉移的方法流程圖。
具體實施方式
本發明實施例提供的SWIT ( Servers Working In Turn,伺服器輪轉工作) 的方法是，除了正在運行的值班伺服器之外，設置幾臺備用伺服器，即用一 組伺服器取代原來單獨的伺服器，然後令伺服器組中的伺服器根據一定的規 則輪流工作，躲避DoS、 DDoS攻擊，達到伺服器不4皮DoS、 DDoS攻擊擊垮 的目的，從而減少網絡攻擊對網絡造成的影響。一種基於SWIT的DoS、 DDoS攻擊防禦方案體系結構如圖4a所示，整 個體系結構分為內部組織400和外部網絡410兩部分。內部組織400在網站 的伺服器端，整個內部組織400包括前端控制模塊406、第一連接控制模塊 403、伺服器組402、第二連接控制模塊401、過濾器404、路由器405。伺服器組402，包括一臺現任值班伺服器SOD ( Server on duty,值班服務 器)以及幾臺備用伺服器SIS ( Server in support,備用伺服器)。現任值班服 務器SOD參與網站運行，接收用戶的數據流量，處理外部請求。伺服器組402 中的每個伺服器都有編號，以示區別。伺服器組402取代了原來單獨的服務 器，伺服器組402中的伺服器根據一定的規則輪流工作，躲避DoS、 DDoS攻 擊，達到不被DoS、 DDoS攻擊擊垮的目的。伺服器組402中的伺服器可以是 多個單獨的伺服器設備，也可以是在一個伺服器設備中設置的多個具有類似 伺服器功能的單元。第二連接控制模塊401，與伺服器組402中的所有伺服器相連通，使得服 務器組402中的所有伺服器可以通過第二連接控制模塊401傳遞信息，並共 享網站信息。第一連接控制模塊403,與伺服器組402中的值班伺服器SOD相連。SOD 通過第一連接控制模塊403與過濾器404連接，接收從外部網絡410發送的 數據流量，處理外部請求。當網站受到攻擊流量攻擊，威脅到網站安全的時 候，第一連接控制模塊403被用以控制一臺從備用伺服器SIS中選出的新的 值班伺服器SOD與過濾器連接，斷開資源消耗超過設定值的值班伺服器與過 濾器的連接。這時這臺備用伺服器SIS就成為了新任SOD。過濾器404,通過第一連接控制模塊403與當前的值班伺服器SOD連接。 該過濾器404其實就是防火牆，用以在網站受到攻擊流量攻擊的時候過濾掉 攻擊流量，緩解SOD的壓力。5^由器405,與過濾器404相連，並與外部網^各410相連，是內部組織 400與外部網絡410連接的接口處。路由器405傳遞數據流量，並獲得流量信 息。路由器405監測每個IP位址對應的流量速率，統計和總結一個合法用戶 具有的最大流量速的範圍。這樣，在攻擊發生時，可以將超過此範圍的流量 乂十應的IP位址;〖見為攻擊主才幾的IP位址，並將攻擊主才幾的流量全部過濾掉。前端控制模塊406，與第二連接控制模塊401相連，通過第二連接控制模 塊401監控當前的值班伺服器SOD資源消耗信息；前端控制模塊406與第一 連接控制模塊403相連，通過第一連接控制模塊403控制伺服器組402中的 伺服器與過濾器404的接通與斷開；前端控制模塊406與過濾器404連接， 控制過濾器404過濾攻擊流量；前端控制模塊406與路由器405連接，通過 路由器405獲取流量統計信息。前端控制模塊內部結構框圖如圖4b所示，包括監控子模塊421、主控 子模塊423、值班伺服器替換子模塊422、攻擊流量過濾控制子模塊424，還 可以包括重新分配控制子;^莫塊425。監控子模塊421通過第二連接控制模塊401監視SOD的資源消耗信息， 並記錄該SOD在伺服器組中的序號b (before )。當攻擊者發動DoS或DDoS 攻擊時，攻擊流量通過i 各由器405、過濾器404發送到SOD。 SOD因遭受DoS 或DDoS攻擊，資源佔用量急劇增加，超過資源佔用量閥值m。監控子模塊 421監測到此信息產生資源報警信號，將資源報警信號以及SOD的序號b發 送給主控子模塊423。主控子模塊423接收到監控子模塊421發送的資源報警信號後，向值班 伺服器替換子模塊422發出替換命令。值班伺服器替換子模塊422接收到替換命令後，根據現任SOD的序號b (before),確定下任SOD的序號a ( after),並通知第一連接控制模塊403接 通a號伺服器，斷開b號伺服器，這時下任SOD接替了現任SOD成為新任 SOD繼續網站的運行，現任SOD成為前任SOD (Pre-SOD， PSOD)退出網 站的運行，從而避免了在DoS或DDoS攻擊下SOD因資源消耗完畢而癱瘓， 此時的PSOD資源消耗超過了閥值m。主控子模塊423向攻擊流量過濾控制子模塊424發出過濾攻擊流量的命 令以及攻擊主機的IP位址。攻擊流量過濾控制子模塊424在接收到主控子模塊423的過濾攻擊流量 的命令後，從路由器405獲取即時的流量信息，得到攻擊流量對應的IP位址， 及攻擊主機的IP位址，攻擊流量過濾控制子模塊424向過濾器404發送過濾 命令，過濾器404過濾掉攻擊流量。主控子模塊423還可以向重新分配控制子模塊425發出重新分配資源的 命令以及攻擊主機的IP位址。重新分配控制子模塊425接收到主控子模塊423的重新分配資源的命令 後，通過第二連接控制模塊401通知伺服器組402中所有資源消耗超過了閥 值m的伺服器以及新的值班伺服器SOD根據攻擊主^L的IP位址，回收分配 給該IP位址的資源。除新的值班伺服器SOD外，所有伺服器組402中的資源 消耗超過了閥值m的伺服器將執行完資源回收之後的資源分配信息傳遞給新 的SOD,並釋放本伺服器的資源，新的SOD接收新的資源分配信息後為合法
用戶重新分配資源。這時新任的SOD中僅為合法用戶分配了資源，同時^皮替換的PSOD釋放 了所有分配的資源，再次成為備用伺服器SIS，以備下次的替換。而新任的 SOD不會再為攻擊主機的IP分配資源，同時過濾器也過濾了攻擊主機IP的 攻擊流量。如此，攻擊者發動的DoS或DDoS攻擊對網站將不再產生影響， 網站可以繼續為合法用戶提供服務。在實際實施該方案的時候，伺服器個數的設置也是值得注意的地方。因 考慮到滿足正常用戶的合法請求，SOD退出服務後其已分配的資源不能武斷 的全部收回(如果這樣，攻擊期間接受的合法用戶請求也將被全部清除，出 現了合法用戶得不到服務的情況，達到了DoS、 DDoS攻擊者的目的)，同時 也不能草率的將這部分資源分配信息一成不便地轉交給新任SOD (因為SOD退出服務的原因就是由於其資源佔用量已對網站正常運行構成威脅，如果再 要新任SOD為這些請求分配同樣的資源，勢必極有可能導致連續不斷的SOD 轉移，加大伺服器癱瘓的概率)，這樣如果伺服器個數過少，就會導致因沒有 足夠的伺服器參與SOD的替換，而導致伺服器全部癱瘓。但是從經濟因素的 角度來講，伺服器的個數也不能無限制增多。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分步驟 是可以通過程序來指令相關的硬體來完成，所述的程序可以存儲於一計算機 可讀取存儲介質中，該程序在執行時，包括如下步驟，所述的存儲介質，如 ROM/RAM、磁碟、光碟等。本發明實施例的一種防禦DoS、 DDoS攻擊的方法如圖5所示，包括如下 步驟步驟S500:開始。步驟S501:監視SOD資源消耗信息。前端控制模塊406的監控子模塊421通過第二連接控制模塊401監視值 班伺服器SOD的資源消耗信息，即SOD的資源佔用比。資源佔用比指的是
伺服器分配給用戶的資源與伺服器的所有資源的比例。步驟S502:判斷資源佔用比是否超過m值。對於SOD的資源佔用比設了 一個閥值m,當判斷資源佔用比超過了該閥 值就認為網站遭受到了 DoS或DDoS攻擊，從而採取防禦措施。可見閥值m 不能設置過大，以免在採取措施前，SOD的資源就已經被耗盡。如果資源佔用比沒有超過m,則返回步驟S501繼續監視SOD資源消*毛 信息；如果資源佔用比超過m,則執行步驟S503。步驟S503:啟動SIS替換SOD。當監控子模塊421監測到SOD的資源佔用比超過了閥值m，認為系統遭 受到了 DoS或DDoS攻擊，為了避免現任SOD很有可能因資源耗盡而導致系 統網站癱瘓，需要立即啟動一臺備用伺服器SIS,作為新的值班伺服器SOD， 替換掉現任SOD。監控子模塊421向主控子模塊423發出資源報警信號，主 控子模塊423向值班伺服器替換子模塊422發出替換命令，值班伺服器替換 子模塊422通過控制第一連接控制模塊403來完成新的SOD與過濾器404的 接通，並將資源消耗超過了設定值的SOD的斷開。步驟S504:過濾攻擊流量。主控子模塊423向攻擊流量過濾控制子模塊424發出過濾攻擊流量的命 令後，攻擊流量過濾控制子模塊424從路由器405獲取攻擊主機的IP位址， 並將該攻擊主機的IP位址傳送給主控子模塊423。獲得攻擊主機的IP位址後，攻擊流量過濾控制子模塊424設置過濾規則， 控制過濾器404將對應攻擊主機的IP位址的流量過濾掉，也就是過濾掉攻擊 流量。過濾器404過濾掉該攻擊流量後，通往伺服器的流量暫時不會出現大 幅度增多。為新SOD進行資源重新分配提供了緩衝時間。當然經過該過濾規 則設置過濾器後，這些IP位址對應的流量將永遠不能進入伺服器，如果這些 IP位址對應的是攻擊傀儡機，當其清除掉被攻擊者植入的攻擊守護進程之後， 顯然再禁止它們的流量是不合理的，因此從路由器405向前端控制模塊406 提交攻擊流量信息的那一刻起，就要為信息中的每個攻擊主機的IP位址設置 相應的計時器，如果超過一定時間，路由器沒有再次發現該IP位址的流量速率過大，前端控制^f莫塊406則再次向過濾器發送命令，解除對這個IP位址流 量的禁止。進一步還包括步驟S505:重新分配資源。由於被替換的SOD，其資源消耗都超過了設定值。如果需要將它們作為 新的SOD的備用伺服器再次啟用的話，就必須回收這些PSOD中的資源，並 為新的SOD重新分配資源。主控子模塊423向重新分配控制子模塊425發出重新分配資源的命令。 重新分配控制子模塊425接收到主控子模塊423的重新分配資源的命令後， 通過第二連接控制才莫塊401通知伺服器組402中的伺服器完成新任SOD的合 法用戶重新分配資源。在完成該步驟後，攻擊者的DoS或DDoS攻擊將不能 對網站構成任何影響，同時網站又保證了對合法用戶提供服務。上述步驟S503中的啟動SIS替換SOD的方法如圖6所示，包括如下步驟步驟S601:確定下一任SOD的序號a。在DoS或DDoS攻擊發生後，值班伺服器替換子模塊422需要儘快決定 下任SOD，以替換掉現任SOD。當然，替換的方法有很多，只要是在備用服 務器SIS中選擇一個來替換現任SOD就可以了。可以隨機選擇、可以逆序選 擇、可以順序選擇，還可以間隔選擇。在本發明實施例中採用了環形隊列的 方法進行選擇。該方法可以想像成伺服器如圖7中排列的方式，依次編號。 假設有編號從0到n-l的n個伺服器，此時現任SOD序號為b,那麼確定下 任SOD序號a,通過公式a= (b+l) % n ;比如，有編號0到5，共6個伺服器，現任SOD序號為2，才艮據上面的 公式可以計算出下任SOD序號a-3;若現任SOD序號為5，計算出a = 0。
由此可見，該方法就好比將伺服器依次連成一個順時針圓圈，下一任伺服器 即為現任伺服器順時針方向連接的伺服器。步驟S602:接通a號伺服器，斷開上一任伺服器。在確定了下一任SOD後，值班伺服器替換子模塊422向第一連接控制模 塊403發送連接控制命令，通知第一連接控制模塊403接通a號伺服器， 斷開b號伺服器，此時新任SOD將替換上任SOD進行工作。上述的步驟S602的接通a號伺服器，斷開上一任伺服器的具體實現方法 是在斷開資源消耗超過設定值的值班伺服器(上一任伺服器)與過濾器的 連接之前，先確認新的值班伺服器(a號伺服器)與過濾器之間已經接通。實 現方法如圖8所示，具體包括如下步驟步驟S800:開始。步驟S801:判斷SOD是否連通。第一連接控制^^莫塊403判斷現任SOD是否與過濾器404相連通。如果不 是，說明出現異常，退出切換操作；如果是，執行步驟S802。步驟S802:連接a號伺服器，並判斷是否連接成功。第一連接控制才莫塊403控制a號伺服器，即被選的備用伺服器，也是新 任SOD,與過濾器404相連通。並判斷是否連接成功。如果不成功，返回步 驟S801;如果成功，執行步驟S803。步驟S803:第一連接控制模塊403斷開b號伺服器SOD的連接。在判斷新任SOD連接成功後，第 一連接控制模塊403控制斷開b號服務 器SOD的連接，b號伺服器退出。此時b號伺服器成為上任SOD——PSOD (Pre-SOD),此時的PSOD資源分配已經超過設定閥值。上述步驟S504中的獲取攻擊主機的IP位址的具體方法是主控子模塊423向攻擊流量過濾控制子模塊424發出過濾攻擊流量的命 令後，攻擊流量過濾控制子模塊424從路由器405獲取流量信息。路由器405 平時會監測每個IP位址對應的流量速率，統計和總結一個合法用戶所具有的
最大流量速率的範圍。當遭受DoS或DDoS攻擊的時候，將超過此範圍的流 量視為攻擊流量，或者將流量速率最高的視為攻擊流量。路由器405得到攻 擊流量對應的IP位址，將該IP位址糹見為攻擊主才幾的IP位址。前端控制才莫塊 406從路由器405獲耳又到流量信息——攻擊主機的IP位址。攻擊流量過濾控 制子模塊424將攻擊主機的IP位址傳送給主控子模塊423。上述步驟S505中重新分配資源的方法，如圖9所示，具體包括如下步驟步驟S901:將攻擊主^L的IP位址通知伺服器組402。重新分配控制子模塊425通過第二連接控制模塊401通知伺服器組402 中的新的SOD和資源消耗超過設定值的值班伺服器(即PSOD)根據攻擊主 才幾的IP位址重新分配用戶資源。步驟S902:伺服器組402中的伺服器回收對應IP位址分配的資源。伺服器組402中所有已分配部分資源的伺服器，包括新任SOD和PSOD， 才艮據攻擊主^/L的IP位址，回收分配給該IP位址的資源。當網站遭受DoS或 DDoS攻擊，啟用備用伺服器SIS替換了 SOD，被替換的SOD成為了 PSOD， 在該PSOD中已經為一些用戶分配了資源，這些用戶中包括了合法用戶也包 才舌攻擊者。而且，在攻擊流量迅速攻擊下，可能不止一次的發生了 SOD的替 換、轉移，所有的被替換下的SOD都成為了 PSOD。所以這時，不止一個PSOD, 而是有多個PSOD。這些PSOD都為一些用戶分配了資源。這些PSOD根據攻擊主機的IP位址，與自己的資源分配信息對比，回收 所有的為該IP位址分配的資源，然後生成新的資源分配信息。步驟S903: PSOD將執行完回收的資源分配信息傳遞給SOD,並釋放所 有分配的資源。所有的PSOD在執行完資源回收後，將新的資源分配信息通過第二連接 控制模塊401傳遞給新任SOD。在傳遞完新的資源分配信息後，PSOD釋放 所有的資源，再次成為備用伺服器SIS。步驟S904:根據接收的PSOD新的資源分配信息，新任SOD重新分配合 法用戶資源。新任SOD根據接收的各PSOD新的資源分配信息，進行匯總，為合法用 戶重新分配資源。這時，由於這些資源分配信息中已經沒有了為攻擊主機分 配資源的信息，所以新任SOD將不再會被攻擊主機佔用資源了 。本發明實施例由於該方案只涉及到網站的伺服器端，因此不需要大量 ISP、各級路由器等合作，減少開銷，無通信消耗增加。本發明實施例由於採用多個伺服器輪流工作的方法，在受到DoS、 DDoS 攻擊的時候，用備用伺服器替換下資源消耗過大的值班伺服器，從而有效地 躲避了 DoS、 DDoS攻擊。本發明實施例由於採用回收攻擊者佔有資源的方法，解除了攻擊者對當 前伺服器的資源的繼續佔用，使得網站資源在遭受到DoS、 DDoS攻擊後不繼 續受攻擊者影響，網站可以正常運行。本發明實施例由於採用過濾掉所有攻擊者的攻擊流量，並及時進行值班 伺服器的替換，對於利用P2P網絡發起的攻擊，也可以起到很好的防禦作用， 為P2P產業的發展提供了 一定的保障。本發明實施例由於從上任SOD退出服務到將合法用戶相關的資源分配信 息傳遞給現任SOD要間隔一段時間，而這段時間內，這些合法用戶的服務請 求不能得到滿足，為TCP連接的超時重置提供了一定的緩衝時間，對於利用 TCP協議"三次握手，，的漏洞發動的攻擊增強了防禦效果。以上所述僅是本發明的優選實施方式，應當指出，對於本技術領域的普 通4支術人員來說，在不脫離本發明原理的前提下，還可以作出若干改進和潤 飾，這些改進和潤飾也應^L為本發明的保護範圍。
權利要求
1、一種防禦網絡攻擊的系統，包括過濾器、路由器，其特徵在於，還包括至少兩個伺服器，所述至少兩個伺服器中包括參與網站運行的值班伺服器和所述值班伺服器的備用伺服器；第一連接控制模塊、第二連接控制模塊和前端控制模塊，所述前端控制模塊用於通過所述第二連接控制模塊監測到值班伺服器的資源消耗超過設定值後，通知所述第一連接控制模塊將選中的備用伺服器替換為值班伺服器，通知過濾器過濾攻擊流量。
2、 如權利要求l所述的系統，其特徵在於，所述前端控制模塊，包括 監控子模塊，用於通過所述第二連接控制模塊監測到值班伺服器資源消耗超過設定值時，產生資源報警信號；主控子模塊，用於根據從所述監控子模塊接收的資源報警信號，發送值 班伺服器替換命令、攻擊流量過濾命令；值班伺服器替換子模塊，用於根據從所述主控子模塊接收的值班伺服器攻擊流量過濾控制子模塊，用於根據從所述主控子模塊接收的攻擊流量 過濾命令，通過所述第一連接控制模塊通知過濾器過濾掉攻擊流量。
3、 如權利要求1或2所述的系統，其特徵在於，所述前端控制模塊通過 所述第二連接控制模塊監測到值班伺服器的資源消耗超過設定值後，還通過 所述第二連接控制模塊通知被替換的值班伺服器以及新的值班伺服器重新分 配資源。
4、 如權利要求3所述的系統，其特徵在於，所述前端控制模塊包括 重新分配控制子模塊，所述主控子模塊還產生資源重新分配命令，所述重新分配控制子模塊用於根據從所述主控子模塊接受的資源重新分配命令， 通知被替換的值班伺服器以及新的值班伺服器重新分配資源。
5、 一種前端控制模塊，其特徵在於，包括監控子模塊，用於監測到值班伺服器資源消耗超過設定值時，產生資源報警信號；主控子模塊，用於根據從所述監控子模塊接收的資源報警信號，發送值班伺服器替換命令、攻擊流量過濾命令以及資源重新分配命令；值班伺服器替換子模塊，用於根據從所述主控子模塊接收的值班伺服器攻擊流量過濾控制子模塊，用於根據從所述主控子模塊接收的攻擊流量 過濾命令，控制過濾器過濾掉攻擊流量。
6、 如權利要求3所述的前端控制模塊，其特徵在於，還包括 重新分配控制子模塊，所述主控子模塊還產生資源重新分配命令，所述重新分配控制子模塊用於根據從所述主控子模塊接受的資源重新分配命令， 通知被替換的值班伺服器以及新的值班伺服器重新分配資源。
7、 一種防舉卩網絡攻擊方法，其特徵在於，包括監測運行的伺服器，當運行的伺服器資源消耗超過設定值後，啟用備用 伺服器替換為新運行的伺服器；過濾掉攻擊主機的網際網路協議IP位址對應的流量。
8、 如權利要求7所述的方法，其特徵在於，所述啟用備用伺服器替換為 新運行的伺服器包括從所有備用伺服器中選擇新運行的伺服器；將新運行的伺服器與過濾器接通，並斷開資源消耗超過設定值的伺服器 與過濾器的連接。
9、 如權利要求7所述的方法，其特徵在於，每一個伺服器按整數依次編 序號；以及從所有備用伺服器中選擇新運行的伺服器時，該新運行的伺服器 的序號根據如下方法得到如果被替換的伺服器的序號為最大序號，新運行的伺服器的序號為最小 序號；如果被替換的值班伺服器的序號小於最大序號，新的值班伺服器的序 號為被替換的值班伺服器的序號加一；或者，如果被替換的伺服器的序號為最小序號，新運行的伺服器的序號為最大 序號；如果被替換的值班伺服器的序號大於最小序號，新的值班伺服器的序 號為被替換的值班伺服器的序號減一。
10、 如權利要求7所述的方法，其特徵在於，所述過濾掉攻擊主機的IP 地址對應的流量的方法，包括所述前端控制模塊從路由器獲取攻擊主機的IP位址； 所述前端控制模塊將所述攻擊主機的IP位址發給所述過濾器，並向過濾 器發送過濾命令；所述過濾器接收到過濾命令後，過濾掉所述攻擊主機的IP位址對應的流量。
11、 如權利要求IO所述的方法，其特徵在於，所述攻擊主機的IP位址是 路由器確定，具體方法包括路由器監測每個IP位址對應的流量速率；並將超過合法用戶最大流量速率範圍的流量視為攻擊流量，攻擊流量對應 的IP位址一見為攻擊主才幾的IP位址。
12、 如權利要求7所述的方法，其特徵在於，還包括 通知所述新運行的伺服器與所述資源消耗超過設定值的伺服器根據所述攻擊主機的IP位址進4亍資源回收；所述新運行的伺服器與所述資源消耗超過設定值的伺服器分別將攻擊主 機的IP位址與本月l務器的資源分配信息對比，回收為該攻擊主衝幾的IP位址所 分配的資源；所述資源消耗超過設定值的伺服器在執行完回收後重新生成資源分配信 息，將所述重新生成的資源分配信息傳遞給所述新運行的伺服器，並釋放本 伺服器所有分配的資源； 所述新運行的伺服器根據接收的所述重新生成的資源分配信息，為攻擊 主機以外的用戶重新分配資源。
13、 如權利要求12所述的方法，其特徵在於，還包括 所述路由器監測所述攻擊主機的IP位址的流量速率，當所述該IP位址的流量速率在所述合法用戶最大流量速率的範圍內的持續時間超過設定時間 時，通知所述前端控制模塊解除對所述IP位址流量的過濾；所述前端控制模塊通知過濾器解除對所述IP位址流量的過濾。
14、 如權利要求7所述的方法，其特徵在於，所述的網絡攻擊包括拒 絕服務攻擊和分布式拒絕服務攻擊。
全文摘要
本發明涉及防禦網絡攻擊，尤其涉及一種防禦網絡攻擊的技術。一種防禦網絡攻擊的系統，包括過濾器、路由器，還包括至少兩個伺服器，所述至少兩個伺服器中包括參與網站運行的值班伺服器和所述值班伺服器的備用伺服器；第一連接控制模塊、第二連接控制模塊和前端控制模塊，所述前端控制模塊用於通過所述第二連接控制模塊監測到值班伺服器的資源消耗超過設定值後，通知所述第一連接控制模塊將選中的備用伺服器替換為值班伺服器，通知過濾器過濾攻擊流量。
文檔編號H04L12/56GK101127649SQ20071016422
公開日2008年2月20日 申請日期2007年9月30日 優先權日2007年9月30日
發明者竟 劉, 劉廷永, 凱 卜, 孫知信, 婧 宮 申請人:華為技術有限公司