專利名稱：分布式服務(wù)對抗分布式拒絕服務(wù)攻擊的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計算機網(wǎng)絡(luò)平臺構(gòu)建技術(shù)，虛擬機技術(shù)和安全通信技術(shù)，特別涉及一 種通過分布式服務(wù)對抗分布式拒絕服務(wù)攻擊方法。
背景技術(shù)：
分布式拒絕服務(wù)攻擊(DD0Q是一種暴力沖擊，通過耗盡攻擊目標的某種資源(例 如帶寬、緩沖區(qū)等)而達到目標無法對外提供正常服務(wù)的目的。并且這種攻擊是分布式的， 由網(wǎng)絡(luò)中分散的多個結(jié)點集中力量攻擊少量目標，利用力量對比上的壓倒性優(yōu)勢來取得成 功。DDOS攻擊并不能從根本上避免，因為那是純粹暴力性質(zhì)的，并且和正常的網(wǎng)絡(luò)流 量之間沒有不可逾越的鴻溝，很難區(qū)分開來。目前的防御思路通常分為治標、治本?，F(xiàn)簡單介紹如下現(xiàn)有技術(shù)一治本。原理治本是把攻擊源頭消滅掉。缺點這個雖然是最有效的，但是很難做到，因為將所有的攻擊源頭都找出來并消 滅掉幾乎是不現(xiàn)實的?，F(xiàn)有技術(shù)二 治標。原理治標是類似于大禹治水的“疏”與“堵”。“疏”就是把流量疏散、吸收掉，例 如“黑洞”防火墻?！岸隆本褪菗踝〔糠至髁?，例如阻斷某些方向的路由。“堵”的方法看似簡單，不過很容易誤殺了正常的訪問流量?！笆琛钡姆椒ㄖ饕?1)通過補丁升級、修改配置，盡量削弱受到攻擊的影響。例如縮短TCP半連接超 時的時限，可以延緩半連接資源的耗盡。不足之處效果有限。(2)用“黑洞”防火墻之類的設(shè)備，分流過大的訪問量。不足之處正常流量也會被 分流。(3)采用服務(wù)器集群、增加帶寬、分地區(qū)部署等方式，實行分布式服務(wù)，可以有效抗 衡DDOS攻擊。不足之處成本高。綜上所述，現(xiàn)有的技術(shù)對防范攻擊的效果很難保證，并且會引起正常流量的分流， 或者是成本比較高，很難推廣使用。

發(fā)明內(nèi)容
本發(fā)明實例提供的一種使用分布式服務(wù)對抗分布式拒絕服務(wù)攻擊的方法，用以解 決現(xiàn)有技術(shù)中對防范攻擊的效果很難保證，并且會引起正常流量的分流，或者是成本比較 高，很難推廣使用的問題。一種使用分布式服務(wù)對抗分布式拒絕服務(wù)攻擊的方法包括以互聯(lián)網(wǎng)或大型計算機網(wǎng)絡(luò)為基礎(chǔ)，以各種能夠支持虛擬機的計算機硬件結(jié)點(例如PC機)為平臺，統(tǒng)一運行虛擬機服務(wù)器，提供分布式Web服務(wù)。系統(tǒng)架構(gòu)在邏輯上分兩層基礎(chǔ)層、服務(wù)層?；A(chǔ)層網(wǎng)絡(luò)是互聯(lián)網(wǎng)或大型計算機網(wǎng)(不安全通信)，結(jié)點是各種硬件設(shè)備(不 可靠計算)。基礎(chǔ)層提供了 一個真實的、不安全的網(wǎng)絡(luò)平臺，在這上面構(gòu)筑虛擬的服務(wù)層。服務(wù)層網(wǎng)絡(luò)是虛擬機組織起來的P2P網(wǎng)絡(luò)，包含分布式服務(wù)的C3I網(wǎng)絡(luò)(可信任 通信)，結(jié)點是統(tǒng)一的虛擬機，以集群的方式對外提供Web服務(wù)(可靠計算)。服務(wù)層所提供的分布式服務(wù)，受眾也是互聯(lián)網(wǎng)或大型計算機網(wǎng)絡(luò)。


圖1為本發(fā)明分布式服務(wù)對抗分布式拒絕服務(wù)攻擊示意圖；圖2為本發(fā)明構(gòu)建的步驟。
具體實施例方式針對現(xiàn)有的技術(shù)對防范攻擊的效果很難保證，并且會引起正常流量的分流，或者 是成本比較高，很難推廣使用的特點，本發(fā)明實例采用以互聯(lián)網(wǎng)或大型計算機網(wǎng)絡(luò)為基礎(chǔ)， 以各種能夠支持虛擬機的計算機硬件結(jié)點(例如PC機)為平臺，統(tǒng)一運行虛擬機服務(wù)器， 提供分布式Web服務(wù)的方法，將系統(tǒng)架構(gòu)在邏輯上分兩層基礎(chǔ)層和服務(wù)層，如圖1所示。基礎(chǔ)層DD0S攻擊本質(zhì)上就是資源力量的對抗，用攻擊方的資源去耗盡防御方的 資源。用服務(wù)器集群等方式來抵御攻擊，在不考慮成本因素的情況下確實是有效的，把對 DDOS攻擊的防御直接轉(zhuǎn)化成雙方力量的對抗，攻擊方也就無法實施有效壓制，達到預期目 的。但是考慮到成本，由于攻擊方的僵尸網(wǎng)絡(luò)、路由器獲得成本很低，管理成本幾乎為 零。而防御方的硬件成本、帶寬成本、管理維護成本都很高，難以形成足以和攻擊方抗衡的 規(guī)模和力量。因此利用互聯(lián)網(wǎng)或大型計算機網(wǎng)來構(gòu)建基礎(chǔ)層，使用基礎(chǔ)層上的各種硬件設(shè) 備來提供不可靠計算，這樣可以最大限度地解決攻守雙方力量對比不均衡的問題?；A(chǔ)層 提供了一個真實的、不安全的網(wǎng)絡(luò)平臺，在這上面構(gòu)筑虛擬的服務(wù)層。服務(wù)層在基礎(chǔ)層之上，網(wǎng)絡(luò)是虛擬機組織起來的P2P網(wǎng)絡(luò)，包含分布式服務(wù)的 C3I網(wǎng)絡(luò)，以此來進行可信任通信。結(jié)點是統(tǒng)一的虛擬機，以集群的方式對外提供Web服務(wù)， 以此來進行可靠計算。因此，構(gòu)建的步驟如圖2所示步驟201、利用互聯(lián)網(wǎng)或大規(guī)模的計算機網(wǎng)絡(luò)構(gòu)建起基礎(chǔ)層?；A(chǔ)層上是真實的網(wǎng) 絡(luò)和硬件設(shè)備，利用這些硬件節(jié)點來實施虛擬機的配置。這些節(jié)點具備的特點是大規(guī)模的、 零散分布的、可靠性一般、廉價、通用性強、容易替換。步驟202、在基礎(chǔ)層上使用虛擬機組織起來的P2P網(wǎng)絡(luò)，構(gòu)建虛擬機集群，以此來 提供分布式的服務(wù)。步驟203、虛擬機之間的通信采用C3I通信網(wǎng)，進行可靠的通信和協(xié)同。
權(quán)利要求
1.一種分布式服務(wù)對抗分布式拒絕服務(wù)攻擊方法，其特征在于，該方法包括 以互聯(lián)網(wǎng)或大型的計算機網(wǎng)絡(luò)為基礎(chǔ)；以能支持虛擬機的計算機硬件結(jié)點為平臺，統(tǒng)一運行虛擬機服務(wù)器，提供分布式Web 服務(wù)；對虛擬機采用自我修復的機制，同時采用安全可靠的機制來進行可信任的通信和協(xié)同。
2.如權(quán)利要求1所述的方法，其特征在于，該架構(gòu)將基礎(chǔ)層放在互聯(lián)網(wǎng)或大型的計算 機網(wǎng)絡(luò)上，從而可以最大限度地解決分布式拒絕服務(wù)攻擊集中力量攻擊少數(shù)節(jié)點的問題；緩解攻擊方利用僵尸網(wǎng)絡(luò)、路由器等眾多設(shè)備造成的攻擊方和防御方力量對比不均衡 的問題。
3.如權(quán)利要求1所述的方法，其特征在于，以能支持虛擬機的計算機硬件結(jié)點為平臺， 統(tǒng)一運行虛擬機服務(wù)器，提供分布式Web服務(wù)；采用虛擬節(jié)點，能有效地解決系統(tǒng)成本問題；虛擬機集群配置，可以解決硬件設(shè)備可靠性問題、硬件平臺差異問題；
4.如權(quán)利要求1所述的方法，其特征在于，對虛擬機采用自我修復的機制，同時采用安 全可靠的機制來進行可信任的通信和協(xié)同；虛擬機自我修復機制，能有效地解決管理維護成本問題；安全可靠的通信機制，可解決集群虛擬機之間的可信任通信以及協(xié)同問題。
全文摘要
本發(fā)明公開了一種分布式服務(wù)對抗分布式拒絕服務(wù)攻擊方法，該方法包括以互聯(lián)網(wǎng)或大型的計算機網(wǎng)絡(luò)為基礎(chǔ)，以能支持虛擬機的計算機硬件結(jié)點為平臺，統(tǒng)一運行虛擬機服務(wù)器，提供分布式Web服務(wù)。對虛擬機采用自我修復的機制，同時采用安全可靠的機制來進行可信任的通信和協(xié)同。本發(fā)明解決了中心受攻擊目標問題、系統(tǒng)成本問題、硬件設(shè)備可靠性和硬件平臺差異問題，同時解決了可信任通信、協(xié)同問題。本發(fā)明同時公開了一種分布式服務(wù)對抗分布式拒絕服務(wù)攻擊的方法。
文檔編號H04L9/00GK102111382SQ20091024423
公開日2011年6月29日 申請日期2009年12月28日 優(yōu)先權(quán)日2009年12月28日
發(fā)明者包一兵, 徐海波, 羅守山, 辛陽 申請人:北京安碼科技有限公司