一種適用于虛擬機的ddos主動防護方法【
技術(shù)領(lǐng)域：
】[0001]本發(fā)明涉及云計算
技術(shù)領(lǐng)域：
，特別是指一種適用于虛擬機的DDOS主動防護方法?！?br>背景技術(shù)：
】[0002]在云計算環(huán)境下，隨著越來越多的公司開始使用虛擬化數(shù)據(jù)中心和云服務(wù)，DDOS攻擊也開始由原來利用大量數(shù)據(jù)流進行暴力式攻擊轉(zhuǎn)變?yōu)獒槍A(chǔ)應(yīng)用程序的技術(shù)性攻擊。大多數(shù)的針對DDOS攻擊的網(wǎng)絡(luò)對策方案無法使網(wǎng)絡(luò)免受DDoS攻擊，因為它們無法阻止通信的大量涌入，而且典型情況是，它們都不能區(qū)分好的內(nèi)容和壞的內(nèi)容。傳統(tǒng)的IPS、WAF之類根據(jù)特征來識別網(wǎng)絡(luò)數(shù)據(jù)是有效的，但是對于內(nèi)容合法而目的不良的攻擊卻束手無策。因此，DDOS攻擊將會是云計算環(huán)境下虛擬機安全面臨的重要威脅之一，目前在虛擬機上采取的DDOS攻擊防護手段都是基于虛擬機設(shè)置及網(wǎng)絡(luò)設(shè)備，一般有如下：[0003]1、采用高性能的網(wǎng)絡(luò)設(shè)備，要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。[0004]2、在虛擬機內(nèi)部關(guān)閉不必要的服務(wù)，限制同時打開的Syn半連接數(shù)目，及時更新系統(tǒng)補丁的方式防止DDOS攻擊。[0005]上述方法存在以下弊端：[0006]1、防御成本高昂，市面上2G硬防單價在IOW左右；[0007]2、防御手段過于被動，不能主動發(fā)現(xiàn)DDOS攻擊現(xiàn)象，提前將攻擊關(guān)閉。[0008]3、防御手段復(fù)雜，需要在每臺虛擬機上做防護設(shè)置，定期更新補丁?！?br/>發(fā)明內(nèi)容】[0009]本發(fā)明解決的技術(shù)問題在于提供一種適用于虛擬機的DDOS主動防護方法；解決傳統(tǒng)方法存在的不足，降低防護成本，提供一種易操作及主動防御的解決方案。[0010]本發(fā)明解決上述技術(shù)問題的技術(shù)方案是：[0011]所述的方法具體包括如下步驟：[0012]步驟1:在宿主物理機上安裝網(wǎng)絡(luò)數(shù)據(jù)包過濾工具，用于過濾數(shù)據(jù)鏈路層數(shù)據(jù)包；[0013]步驟2:設(shè)置防御連接數(shù)，防御端口及輪詢時間；[0014]步驟3:每次輪詢查詢所有連接到服務(wù)器的活躍的網(wǎng)絡(luò)連接，并過濾出連接到當(dāng)前防御端口的活躍網(wǎng)絡(luò)鏈接；[0015]步驟4:根據(jù)查詢結(jié)果計算連接到防御端口的IP地址和連接數(shù)，并按照連接數(shù)排序；[0016]步驟5:對比當(dāng)前所有IP地址對應(yīng)連接數(shù)與預(yù)先設(shè)置防御連接數(shù)大?。籟0017]步驟6:關(guān)閉連接數(shù)大于防御連接數(shù)的IP連接。[0018]所述的網(wǎng)絡(luò)數(shù)據(jù)包過濾工具是Linux下的iptables;如果Linux系統(tǒng)連接到因特網(wǎng)、LAN或服務(wù)器，或連接LAN和因特網(wǎng)的代理服務(wù)器，則有利于在Linux系統(tǒng)上更好地控制IP信息包過濾和防火墻配置。[0019]所述的連接數(shù)，當(dāng)訪問者訪問應(yīng)用時，他就占用至少一個連接；有時根據(jù)程序的不同，一個訪問者也可能占用多個連接數(shù)；[0020]所述的防御端口，一般是應(yīng)用對外開放的端口，用戶通過這個端口訪問服務(wù)器；[0021]所述的輪詢時間，即循環(huán)檢測的時間間隔。[0022]所述的活躍網(wǎng)絡(luò)連接，即當(dāng)前訪問者正處于交互狀態(tài)。[0023]本發(fā)明的方法可降低防護成本，減少設(shè)備和基礎(chǔ)設(shè)施的投資以及其他硬件解決方案。本發(fā)明的方法提高了防護的易操作性，不需要在虛擬機上做任何配置，對原有系統(tǒng)無任何的侵入性。本發(fā)明的方法是一種主動防護的方法，對虛擬機DDOS防護進行主動防護，提前將攻擊關(guān)閉?！靖綀D說明】[0024]下面結(jié)合附圖對本發(fā)明進一步說明：[0025]圖1為本發(fā)明的流程圖；【具體實施方式】[0026]本發(fā)明的實施方式有多種，這里以Linux下的iptables為例說明其中一種實現(xiàn)方法，流程圖如圖1所示，具體實施過程如下：[0027]1、在宿主物理機上安裝網(wǎng)絡(luò)數(shù)據(jù)包過濾工具，用于過濾數(shù)據(jù)鏈路層數(shù)據(jù)包，[0028]比如Linux下的iptables等；[0029]取yuminstalliptables.x86_64_y[0030]2、設(shè)置防御連接數(shù)，防御端口及輪詢時間；【主權(quán)項】1.一種適用于虛擬機的DDOS主動防護方法，其特征在于；所述的方法具體包括如下步驟：步驟1;在宿主物理機上安裝網(wǎng)絡(luò)數(shù)據(jù)包過濾工具，用于過濾數(shù)據(jù)鏈路層數(shù)據(jù)包；步驟2;設(shè)置防御連接數(shù)，防御端口及輪詢時間；步驟3;每次輪詢查詢所有連接到服務(wù)器的活躍的網(wǎng)絡(luò)連接，并過濾出連接到當(dāng)前防御端口的活躍網(wǎng)絡(luò)鏈接；步驟4;根據(jù)查詢結(jié)果計算連接到防御端口的IP地址和連接數(shù)，并按照連接數(shù)排序；步驟5;對比當(dāng)前所有IP地址對應(yīng)連接數(shù)與預(yù)先設(shè)置防御連接數(shù)大??；步驟6;關(guān)閉連接數(shù)大于防御連接數(shù)的IP連接。2.根據(jù)權(quán)利要求1所述的適用于虛擬機的DD0S主動防護方法，其特征在于：所述的網(wǎng)絡(luò)數(shù)據(jù)包過濾工具是Linux下的ipt油les;如果Linux系統(tǒng)連接到因特網(wǎng)、LAN或服務(wù)器，或連接LAN和因特網(wǎng)的代理服務(wù)器，則有利于在Linux系統(tǒng)上更好地控制IP信息包過濾和防火墻配置。3.根據(jù)權(quán)利要求1所述的適用于虛擬機的DD0S主動防護方法，其特征在于：所述的連接數(shù)，當(dāng)訪問者訪問應(yīng)用時，他就占用至少一個連接；有時根據(jù)程序的不同，一個訪問者也可能占用多個連接數(shù)；所述的防御端口，一般是應(yīng)用對外開放的端口，用戶通過該個端口訪問服務(wù)器；所述的輪詢時間，即循環(huán)檢測的時間間隔。4.根據(jù)權(quán)利要求2所述的適用于虛擬機的DD0S主動防護方法，其特征在于：所述的連接數(shù)，當(dāng)訪問者訪問應(yīng)用時，他就占用至少一個連接；有時根據(jù)程序的不同，一個訪問者也可能占用多個連接數(shù)；所述的防御端口，一般是應(yīng)用對外開放的端口，用戶通過該個端口訪問服務(wù)器；所述的輪詢時間，即循環(huán)檢測的時間間隔。5.根據(jù)權(quán)利要求1至4任一項所述的適用于虛擬機的DD0S主動防護方法，其特征在于；所述的活躍網(wǎng)絡(luò)連接，即當(dāng)前訪問者正處于交互狀態(tài)?！緦＠勘景l(fā)明涉及云計算
技術(shù)領(lǐng)域：
，特別是指一種適用于虛擬機的DDOS主動防護方法。本發(fā)明首先在宿主物理機上安裝網(wǎng)絡(luò)數(shù)據(jù)包過濾工具，用于過濾數(shù)據(jù)鏈路層數(shù)據(jù)包；然后設(shè)置防御連接數(shù)，防御端口及輪詢時間；每次輪詢查詢所有連接到服務(wù)器的活躍的網(wǎng)絡(luò)連接，并過濾出連接到當(dāng)前防御端口的活躍網(wǎng)絡(luò)鏈接；根據(jù)查詢結(jié)果計算連接到防御端口的IP地址和連接數(shù)，并按照連接數(shù)排序；其次對比當(dāng)前所有IP地址對應(yīng)連接數(shù)與預(yù)先設(shè)置防御連接數(shù)大?。蛔詈箨P(guān)閉對于連接數(shù)大于防御連接數(shù)的IP連接；本發(fā)明可對虛擬機DDOS防護進行主動防護，提前將攻擊關(guān)閉；可應(yīng)用于虛擬機的DDOS防護。【IPC分類】G06F9-455,H04L12-26,H04L29-06【公開號】CN104601542【申請?zhí)枴緾N201410737209【發(fā)明人】劉勇彬,楊松,季統(tǒng)凱【申請人】國云科技股份有限公司【公開日】2015年5月6日【申請日】2014年12月5日