【 摘 要 】 抗DDos攻擊是常見的網(wǎng)絡(luò)攻擊手段,在信息安全領(lǐng)域,尤其是商業(yè)運(yùn)作上很受重視,論文通過對(duì)Web負(fù)載均衡和抗DDos攻擊的技術(shù)原理研究,闡述了Web負(fù)載均衡在抗DDos攻擊中的作用。
【 關(guān)鍵詞 】 負(fù)載均衡;抗DDos攻擊
【 Abstract 】 Anti-DDos attacks arecommon network attacks. In the field of information security, they are highly regardedespecially on the commercial operation. Through the study of technical principles Web load balancing and anti DDos attacks,this paper describesthe functions and effects of Web Load Balancing in Anti Distributed Denial of Service Attacks.
【 Keywords 】 load balancing;anti distributed denial of service attacks
1 引言
當(dāng)前互聯(lián)網(wǎng)的高速發(fā)展讓我們的生活十分便利,但是信息的安全性、可用性以及穩(wěn)定性仍是我們關(guān)注的重點(diǎn)。DDos攻擊作為常見的網(wǎng)絡(luò)攻擊方式被廣大黑客廣泛使用,已經(jīng)嚴(yán)重威脅到了各種互聯(lián)網(wǎng)服務(wù)使用的可用性、穩(wěn)定性。Web負(fù)載均衡能為現(xiàn)有網(wǎng)絡(luò)架構(gòu)提供多臺(tái)服務(wù)器,同時(shí)提供一個(gè)服務(wù),從而極大地增加了系統(tǒng)的穩(wěn)定性與抗風(fēng)險(xiǎn)能力,收到了廣大在線服務(wù)商的青睞。本文將介紹DDos攻擊和Web負(fù)載均衡的技術(shù)原理以及各自的作用。
2 負(fù)載均衡
負(fù)載均衡(Load Balance)系統(tǒng)是建立于現(xiàn)代互聯(lián)網(wǎng)架構(gòu)之上,整合多臺(tái)高性能服務(wù)器集合成一個(gè)對(duì)應(yīng)單元,每個(gè)高性能服務(wù)器都提供相同的服務(wù),都可以獨(dú)立對(duì)外部網(wǎng)絡(luò)提供相關(guān)請(qǐng)求鏈接服務(wù)。結(jié)合網(wǎng)絡(luò)負(fù)載信息分發(fā)技術(shù),將外部網(wǎng)絡(luò)輸入的鏈接請(qǐng)求均衡的分配到每臺(tái)高性能服務(wù)器上,且接收到鏈接請(qǐng)求的各個(gè)服務(wù)器也都各自回應(yīng)外部網(wǎng)絡(luò)客戶的服務(wù)請(qǐng)求。
負(fù)載均衡技術(shù)提供了一種簡(jiǎn)單、高效且對(duì)使用者來說透明的方法,提高了服務(wù)器的應(yīng)用帶寬、數(shù)據(jù)吞吐量,使用該技術(shù)的網(wǎng)絡(luò)系統(tǒng)的請(qǐng)求數(shù)據(jù)處理能力以及整個(gè)網(wǎng)絡(luò)的可擴(kuò)容性、靈活性都大幅提高。網(wǎng)絡(luò)負(fù)載信息分發(fā)技術(shù)能夠平均分配的請(qǐng)求鏈接到各個(gè)服務(wù)器,這樣可以快速的獲取所需數(shù)據(jù),同一時(shí)刻處理大量并發(fā)鏈接訪問服務(wù)的請(qǐng)求。
通常普通級(jí)別服務(wù)器數(shù)據(jù)處理的能力最多只能答復(fù)每秒數(shù)十萬個(gè)鏈接請(qǐng)求,如只用少量的幾臺(tái)這種服務(wù)器則整個(gè)網(wǎng)絡(luò)的處理能力就受到了限制。但要是使用較多數(shù)量的這種服務(wù)器,并通過網(wǎng)絡(luò)負(fù)載信息分發(fā)技術(shù)將鏈接請(qǐng)求均衡分配到各個(gè)單獨(dú)服務(wù)器,如此整個(gè)服務(wù)器系統(tǒng)就可以處理每秒上千萬甚至更多的鏈接請(qǐng)求。以上就是負(fù)載均衡技術(shù)體系的基本思想。
隨著現(xiàn)代互聯(lián)網(wǎng)的高速發(fā)展負(fù)載均衡的的意義也更加重要。首先,它的設(shè)計(jì)本身就為提高大量并發(fā)的Web訪問服務(wù)請(qǐng)求做出了貢獻(xiàn);其次,節(jié)約大量成本,通過若干臺(tái)性能相對(duì)普通的服務(wù)器組成的“團(tuán)隊(duì)”實(shí)現(xiàn)了昂貴的大型高性能服務(wù)器才能達(dá)到的性能需求;第三,實(shí)現(xiàn)了可持續(xù)的網(wǎng)絡(luò)服務(wù)發(fā)展。隨著計(jì)算機(jī)技術(shù)日新月異的發(fā)展,今天的高性能設(shè)備,數(shù)年之后可能就已經(jīng)顯得捉襟見肘了,大量的使用負(fù)載均衡技術(shù)會(huì)有效彌補(bǔ)這個(gè)問題以便擴(kuò)容整個(gè)負(fù)載網(wǎng)絡(luò)。
3 DDos攻擊
DoS(Denial of Service)攻擊就是拒絕服務(wù)攻擊,它的意圖是使服務(wù)器或者網(wǎng)絡(luò)系統(tǒng)不能提供正常的網(wǎng)絡(luò)鏈接服務(wù)。攻擊者通過使用主動(dòng)的網(wǎng)絡(luò)流量攻擊,而不是傳統(tǒng)的入侵到相關(guān)服務(wù)器或是主機(jī)中竊取、破壞數(shù)據(jù)來達(dá)到攻擊的目的。DoS攻擊的發(fā)起者并不會(huì)在攻擊中獲得任何直接利益,但是這種DoS攻擊會(huì)使服務(wù)器及網(wǎng)絡(luò)的資源無法被用戶使用,進(jìn)而導(dǎo)致正常的業(yè)務(wù)使用者不能得到及時(shí)的鏈接服務(wù)反饋,最后使網(wǎng)絡(luò)服務(wù)提供商及業(yè)務(wù)使用者收到巨大的損失,特別是在金融公司、銀行這類對(duì)信息及時(shí)性要求很高的行業(yè)。
DoS攻擊的主攻對(duì)象是網(wǎng)絡(luò)連接和網(wǎng)絡(luò)帶寬。攻擊者使用洪攻擊技術(shù),通過發(fā)出大量服務(wù)請(qǐng)求鏈接來消耗主機(jī)和網(wǎng)絡(luò)資源,使得真正需要的用戶無法及時(shí)正常訪問資源,致使資源訪問效率極其低下。DoS攻擊逐漸發(fā)展成了DDoS攻擊,這種攻擊同時(shí)使用多臺(tái)服務(wù)器對(duì)目標(biāo)主機(jī)發(fā)動(dòng)聯(lián)動(dòng)的DoS攻擊。
常規(guī)DoS攻擊以一對(duì)一的關(guān)系由攻擊端對(duì)被攻擊端進(jìn)行DoS攻擊,而DDoS攻擊則利用了服務(wù)器/客戶端機(jī)制,使攻擊端與被攻擊端的關(guān)系變?yōu)镹對(duì)M。攻擊者通過DDoS攻擊同樣不會(huì)攻入被攻擊者的系統(tǒng)內(nèi)部,破壞他的數(shù)據(jù)。而是利用了互聯(lián)網(wǎng)的架構(gòu),通過大量控制代理端對(duì)一些訪問量大的站點(diǎn)造成網(wǎng)絡(luò)癱瘓的風(fēng)險(xiǎn),例如證券交易所、銀行、大型企業(yè)等,對(duì)民生保障、公共資源的正常使用造成了極大的威脅。
想要實(shí)現(xiàn)DDoS 攻擊通常都需要幾個(gè)部分組成,如圖1所示。
(1)攻擊者:攻擊的實(shí)際發(fā)起者,攻擊者可以選取互聯(lián)網(wǎng)上任意一臺(tái)主機(jī)或服務(wù)器來充當(dāng)攻擊的源頭,攻擊者操控主控端使其發(fā)出攻擊命令,從而對(duì)整個(gè)DDoS攻擊進(jìn)行總體控制。
(2)主控端:攻擊者一般會(huì)控制一定量的主控端,而各個(gè)主控端都會(huì)再控制大量的代理端,攻擊者通過主控端向大量的代理端發(fā)出攻擊命令。
(3)代理端:攻擊者通過主控端將攻擊程序傳到代理端上運(yùn)行再開始運(yùn)行,所以代理端才是直接對(duì)被攻擊端發(fā)起攻擊的實(shí)際發(fā)起人。
(4)被攻擊端:即為受害服務(wù)器、主機(jī)或者路由器。
充分了解了DDos攻擊的手段后,我們可以設(shè)計(jì)一個(gè)負(fù)載均衡方案來驗(yàn)證負(fù)載均衡對(duì)于防范DDos攻擊確實(shí)有著明顯的作用。各大銀行每天的業(yè)務(wù)量十分巨大,承受的各種請(qǐng)求服務(wù)繁多,服務(wù)器之間若是不采用負(fù)載均衡系統(tǒng)進(jìn)行分流數(shù)據(jù)流量,極易被黑客利用DDos攻擊造成各個(gè)服務(wù)器資源被耗盡從而影響正常業(yè)務(wù)的開展,造成難以估量的損失。
4 硬件負(fù)載均衡
目前主流的硬件負(fù)載均衡方案有四層負(fù)載均衡和七層負(fù)載均衡兩種。四層負(fù)載均衡原理是建立在IP地址和端口號(hào)基礎(chǔ)上的負(fù)載均衡;七層負(fù)載均衡原理是建立在URL等方面應(yīng)用層信息基礎(chǔ)上的負(fù)載均衡;各個(gè)負(fù)載均衡服務(wù)器在執(zhí)行負(fù)載均衡功能時(shí),根據(jù)四層或是七層的原理來確定如何均衡的分配大量的請(qǐng)求鏈接服務(wù)。
四層負(fù)載均衡。依據(jù)IP地址結(jié)合相關(guān)的端口號(hào),從而就能確定流量數(shù)據(jù)是否需要做負(fù)載均衡處理,之后對(duì)被確定要處理的數(shù)據(jù)流量進(jìn)行地址轉(zhuǎn)換后,轉(zhuǎn)發(fā)至后臺(tái)子服務(wù)器,并記錄下這個(gè)TCP或者UDP的數(shù)據(jù)流量是由哪臺(tái)子服務(wù)器處理的,并將之后這個(gè)鏈接的所有數(shù)據(jù)流量都直接分配到這臺(tái)子服務(wù)器處理。
七層負(fù)載均衡。在四層IP地址+端口號(hào)的基礎(chǔ)上,還要關(guān)聯(lián)應(yīng)用層的特點(diǎn),就好像一個(gè)Web負(fù)載均衡系統(tǒng),除了根據(jù)IP地址+端口號(hào)來判斷流量是否需要負(fù)載均衡處理,還要增加七層的URL、地區(qū)、語(yǔ)言類別來決定如何更好的進(jìn)行負(fù)載均衡處理。舉例來說,假設(shè)是的站點(diǎn)的Web負(fù)載服務(wù)器分為兩三組,一組是德語(yǔ)的,一組是漢語(yǔ)的,另一組是英語(yǔ)。這樣七層負(fù)載均衡會(huì)在你訪問其服務(wù)器時(shí),自主識(shí)別出URL或是應(yīng)用層中的語(yǔ)言類別,再選擇語(yǔ)言相對(duì)合適的負(fù)載服務(wù)器組來處理你的鏈接請(qǐng)求。
這兩者在技術(shù)實(shí)現(xiàn)上有不同。
四層負(fù)載均衡來說,以TCP協(xié)議來舉例,當(dāng)收到一個(gè)來自外部客戶的SYN鏈接后,Web負(fù)載均衡設(shè)備隨即通過上面說的工作原理選擇一個(gè)最合適的負(fù)載子服務(wù)器,并修改SYN報(bào)文中的目的地址(修改為合適的負(fù)載子服務(wù)器IP),之后直接轉(zhuǎn)發(fā)報(bào)文至該子服務(wù)器。TCP協(xié)議的三次握手建立完全是通過外部用戶端和負(fù)載子服務(wù)器直接實(shí)現(xiàn)的,Web負(fù)載均衡系統(tǒng)在這里只是轉(zhuǎn)發(fā)了首個(gè)SYN報(bào)文,按照作用來說相當(dāng)于路由器。
對(duì)于七層負(fù)載均衡來說,同樣以TCP協(xié)議來舉例,由于要獲取應(yīng)用層的相關(guān)數(shù)據(jù)后才能根據(jù)需求選擇服務(wù)器,所以Web負(fù)載均衡系統(tǒng)一定也只能先和外部客戶端建立了三次握手連接后才能獲取客戶端發(fā)送的應(yīng)用層級(jí)別的報(bào)文內(nèi)容,進(jìn)而才能依據(jù)這些內(nèi)容中的相關(guān)字段,配合負(fù)載均衡流量分發(fā)技術(shù)選擇將鏈接轉(zhuǎn)發(fā)到哪個(gè)負(fù)載子服務(wù)器。這時(shí)Web負(fù)載均衡系統(tǒng),按照作用來說更像專用的代理服務(wù)器。首先外部客戶端會(huì)先和Web負(fù)載均衡系統(tǒng)進(jìn)行TCP連接(三次握手),Web負(fù)載均衡系統(tǒng)在成功獲取應(yīng)用層信息后會(huì)和后端負(fù)載子服務(wù)器再次進(jìn)行TCP連接,將獲得的相關(guān)信息轉(zhuǎn)發(fā)給子服務(wù)器,從而實(shí)現(xiàn)負(fù)載均衡的功能。
從上述工作原理上可以得出結(jié)論,在對(duì)負(fù)載均衡設(shè)備的性能要求上來說,七層負(fù)載均衡顯然要比四層負(fù)載均衡高出不少。但從負(fù)載均衡效率上來說,七層負(fù)載均衡卻更能高效的抵御DDoS攻擊。舉例來說,DDoS攻擊中的常用手段如SYN Flood攻擊,攻擊者通過主控端控制了大量的代理端同時(shí)對(duì)一個(gè)被攻擊端發(fā)起SYN報(bào)文攻擊,如無負(fù)載均衡系統(tǒng)的干預(yù),被攻擊端上的鏈接資源很快就會(huì)被消耗殆盡,使正常的用戶無法訪問相關(guān)資源。這時(shí)若使用四層負(fù)載均衡系統(tǒng)則這些SYN Flood攻擊流都會(huì)被原封不動(dòng)的轉(zhuǎn)發(fā)到后臺(tái)各個(gè)負(fù)載均衡子服務(wù)器上。但是,七層負(fù)載均衡系統(tǒng)的話就會(huì)攔下這些SYN洪攻擊流,不再轉(zhuǎn)發(fā)至后臺(tái)子服務(wù)器,從而保證了系統(tǒng)的正常運(yùn)行,也正因?yàn)榧夹g(shù)層面上的優(yōu)勢(shì),所以對(duì)七層負(fù)載均衡系統(tǒng)的性能要求也高了很多。
5 軟件負(fù)載均衡
現(xiàn)在很多企業(yè)級(jí)的業(yè)務(wù)軟件都紛紛提供了負(fù)載均衡這個(gè)功能,例如Web服務(wù)器系統(tǒng)軟件、數(shù)據(jù)庫(kù)系統(tǒng)和OA辦公系統(tǒng)等。目前很多大型企業(yè)通過對(duì)這些常用的系統(tǒng)軟件進(jìn)行合理配置,再結(jié)合上一節(jié)說的四、七層硬件負(fù)載均衡系統(tǒng),來實(shí)現(xiàn)軟硬件相結(jié)合的Web負(fù)載均衡。下面是一個(gè)使用了Web服務(wù)器、中間件和數(shù)據(jù)庫(kù)軟件的成熟企業(yè)級(jí)負(fù)載均衡系統(tǒng)架構(gòu),如圖3所示。
圖3為以Web服務(wù)器、中間件和數(shù)據(jù)庫(kù)系統(tǒng)為核心的企業(yè)系統(tǒng)的軟件負(fù)載均衡系統(tǒng)。這種方式的優(yōu)點(diǎn)有三方面。
(1)不同服務(wù)點(diǎn)的Web服務(wù)器之間做負(fù)載均衡整體優(yōu)化,在各個(gè)服務(wù)器之間對(duì)來自外部的Web鏈接請(qǐng)求進(jìn)行平均分配,從而使整個(gè)Web服務(wù)器集群的壓力降低。
(2)中間件可以幫助Web負(fù)載均衡系統(tǒng)進(jìn)行整體應(yīng)用配置優(yōu)化,對(duì)接收到的Web鏈接請(qǐng)求進(jìn)行合理分配。
(3)各個(gè)數(shù)據(jù)庫(kù)服務(wù)器通過建立RAC集群,以防任意一個(gè)數(shù)據(jù)庫(kù)服務(wù)器出現(xiàn)問題時(shí),其他服務(wù)器能跟進(jìn)并完成相關(guān)服務(wù),這樣有效提高了整個(gè)RAC集群的工作效率,同時(shí)也減輕了上層應(yīng)用服務(wù)器的壓力。
6 Web負(fù)載均衡在抗DDos攻擊時(shí)發(fā)揮的作用
結(jié)合硬件負(fù)載均衡和常用的負(fù)載均衡軟件(Web服務(wù)器、中間件、數(shù)據(jù)庫(kù)等),我們可以搭建一個(gè)軟硬件相結(jié)合的Web負(fù)載均衡系統(tǒng)來抵御DDos攻擊。
首先在前端根據(jù)業(yè)務(wù)需求部署四層或七層硬件負(fù)載均衡產(chǎn)品,然后接入負(fù)責(zé)調(diào)度的Web服務(wù)器及中間件進(jìn)行后臺(tái)數(shù)據(jù)庫(kù)的選擇。
選擇四層負(fù)載均衡,因?yàn)楸旧碛布?fù)載均衡會(huì)像路由器一樣轉(zhuǎn)發(fā)DDos攻擊發(fā)出的SYN請(qǐng)求,所以必須和軟件負(fù)載均衡協(xié)同配合,通過優(yōu)良的調(diào)度平均分擔(dān)大量的SYN攻擊,使整個(gè)業(yè)務(wù)系統(tǒng)仍能正常的工作,已達(dá)到抗DDos攻擊的作用。這十分適合對(duì)整個(gè)系統(tǒng)配置要求不高的業(yè)務(wù)系統(tǒng)。
選擇七層負(fù)載均衡可以從源頭上就抵擋住來自外部的SYN FLOOD攻擊,因?yàn)槠邔迂?fù)載均衡設(shè)備不是直接將SYN請(qǐng)求直接發(fā)給內(nèi)部的Web服務(wù)器及中間件,而是自身與客戶端(攻擊端)進(jìn)行通訊連接(三次握手),獲得了內(nèi)容后在與內(nèi)部服務(wù)器通訊連接并返回?cái)?shù)據(jù)。由此攻擊端發(fā)出的SYN FLOOD攻擊在到達(dá)七層負(fù)載均衡設(shè)備后就已經(jīng)被截?cái)嗔?,?yīng)為負(fù)載均衡設(shè)備返回的SYN+ACK報(bào)文攻擊端是不會(huì)做出回應(yīng)的,從而有效的阻止了DDos攻擊。當(dāng)然這必須建立在七層負(fù)載均衡本身有強(qiáng)大的抗DDos能力之上。這十分適合業(yè)務(wù)種類多,系統(tǒng)配置較高的業(yè)務(wù)系統(tǒng)。
綜上所述,軟硬件相結(jié)合的Web負(fù)載均衡確實(shí)能起到抗DDos攻擊的作用。
7 結(jié)束語(yǔ)
本文通過研究Web負(fù)載均衡、DDos攻擊的技術(shù)原理,詳細(xì)了解了其各自的工作方式;經(jīng)過綜合分析得出了結(jié)合軟硬件結(jié)合的四層、七層負(fù)載均衡技術(shù)能夠有效抵抗DDos攻擊。
參考文獻(xiàn)
[1] 李云鶴,武善玉,宴振鳴.基于DDOS防范的負(fù)載均衡群集設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流),2007(18).
[2] 莊建兒.淺析網(wǎng)絡(luò)DDoS攻擊與治理[J].通訊世界,2015(01) .
[3] 羅擁軍,李曉樂,孫如祥.負(fù)載均衡算法綜述[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2008(23).
[4] 楊磊,郭慶平.負(fù)載均衡技術(shù)分析及LVS實(shí)現(xiàn)[J].武漢理工大學(xué)學(xué)報(bào)(交通科學(xué)與工程版),2004(01).
作者簡(jiǎn)介:
嚴(yán)文卿(1989-),男,漢族,上海人,畢業(yè)于華東師范大學(xué),碩士,公安部第三研究所,研究實(shí)習(xí)員;主要研究方向和關(guān)注領(lǐng)域:信息安全、互聯(lián)網(wǎng)安全。