一种动态地适应服务器性能的防攻击方法和设备的制作方法
【专利摘要】本发明公开了一种动态地适应服务器性能的防攻击方法和设备,该方法包括:网络设备计算连接会话数量和半连接率;当连接会话数量大于预设第一阈值,半连接率不大于预设第二阈值时,网络设备调整预设第一阈值为当前预设第一阈值与M之和,并设置服务器的状态为正常状态;当连接会话数量大于预设第一阈值,半连接率大于预设第二阈值时,网络设备调整预设第一阈值为当前预设第一阈值与N之差,并设置服务器的状态为攻击状态;网络设备在服务器的状态为正常状态时,允许向服务器发送报文;在服务器的状态为攻击状态时,丢弃向服务器发送的报文。本发明实施例中,可以得每个服务器都响应正常的连接会话,并且可以承受一定的DOS攻击。
【专利说明】一种动态地适应服务器性能的防攻击方法和设备
【技术领域】
[0001 ] 本发明涉及通信【技术领域】,尤其是涉及了一种动态地适应服务器性能的防攻击方法和设备。
【背景技术】
[0002]DOS (Deny Of Service,拒绝服务)攻击是指:攻击者使用大量数据包堵塞服务器对外提供的服务,使服务器无法接受正常用户的请求。例如,攻击者利用协议栈向服务器发送大量半连接报文,这些半连接报文会导致服务器维护大量半连接会话,这些半连接会话会消耗服务器的大量资源,导致正常用户无法访问服务器,直到半连接会话超时被删除,月艮务器的资源才被释放。
[0003]如图1所示,为DOS攻击网络的组网示意图,防火墙设备所保护的私网内下挂了多个受保护的服务器。为了避免DOS攻击,防火墙设备会为每个服务器配置相同的阈值,当向某个服务器发送报文的速率超过配置的阈值时,则防火墙设备将丢弃向该服务器发送的报文;当向该服务器发送报文的速率未超过配置的阈值时,则防火墙设备将允许向该服务器发送的报文通过。
[0004]但是,由于多个受保护的服务器的性能可能并不一样,因此,如果上述配置的阈值很低,则会导致性能高的服务器不能发挥其高性能的特性;进一步的,如果上述配置的阈值很高,则会导致性能低的服务器的负载过重。
【发明内容】
[0005]本发明实施例提供一种动态地适应服务器性能的防攻击方法,所述方法包括以下步骤:
[0006]网络设备统计服务器对应的全连接会话数量和半连接会话数量,并利用所述全连接会话数量和所述半连接会话数量计算连接会话数量和半连接率;
[0007]当所述连接会话数量大于预设第一阈值,并且所述半连接率不大于预设第二阈值时,所述网络设备调整预设第一阈值为当前预设第一阈值与M之和,并设置所述服务器的状态为正常状态;其中,所述M为正整数;
[0008]当所述连接会话数量大于预设第一阈值,并且所述半连接率大于预设第二阈值时,所述网络设备调整预设第一阈值为当前预设第一阈值与N之差,并设置所述服务器的状态为攻击状态;其中,所述N为正整数;
[0009]所述网络设备在所述服务器的状态为正常状态时,允许向所述服务器发送报文;在所述服务器的状态为攻击状态时,丢弃向所述服务器发送的报文。
[0010]所述网络设备利用所述全连接会话数量和所述半连接会话数量计算连接会话数量和半连接率,具体包括:
[0011]所述网络设备计算所述连接会话数量为全连接会话数量与半连接会话数量之和,并计算所述半连接率为半连接会话数量除以所述连接会话数量。
[0012]所述方法进一步包括:
[0013]在调整预设第一阈值为当前预设第一阈值与N之差时,如果当前预设第一阈值与N之差小于所述服务器对应的初始连接配置限制值,则所述网络设备调整预设第一阈值为所述服务器对应的初始连接配置限制值。
[0014]所述方法进一步包括:
[0015]所述网络设备为服务器维护统计节点表项,所述统计节点表项中记录有所述服务器对应的IP地址、预设第一阈值、连接会话数量、半连接率、状态。
[0016]所述网络设备具体包括防火墙设备,所述防火墙设备所保护的私网内下挂一个或者多个受保护的服务器。
[0017]本发明实施例提供一种网络设备,所述网络设备具体包括:
[0018]计算模块,用于统计服务器对应的全连接会话数量和半连接会话数量,并利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率;
[0019]调整模块,用于当所述连接会话数量大于预设第一阈值,并且所述半连接率不大于预设第二阈值时,调整预设第一阈值为当前预设第一阈值与M之和,并设置所述服务器的状态为正常状态;其中,所述M为正整数;
[0020]当所述连接会话数量大于预设第一阈值,并且所述半连接率大于预设第二阈值时,调整预设第一阈值为当前预设第一阈值与N之差,并设置所述服务器的状态为攻击状态;其中,所述N为正整数;
[0021]处理模块,用于在服务器的状态为正常状态时,允许向所述服务器发送报文;在服务器的状态为攻击状态时,丢弃向所述服务器发送的报文。
[0022]所述计算模块,具体用于在利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率时,计算连接会话数量为全连接会话数量与半连接会话数量之和,并计算半连接率为半连接会话数量除以所述连接会话数量。
[0023]所述调整模块,进一步用于在调整预设第一阈值为当前预设第一阈值与N之差时,如果当前预设第一阈值与N之差小于所述服务器对应的初始连接配置限制值,则调整预设第一阈值为所述服务器对应的初始连接配置限制值。
[0024]还包括:
[0025]维护模块,用于为服务器维护统计节点表项,该统计节点表项中记录有所述服务器对应的IP地址、预设第一阈值、连接会话数量、半连接率、状态。
[0026]所述网络设备具体包括防火墙设备,所述防火墙设备所保护的私网内下挂一个或者多个受保护的服务器。
[0027]基于上述技术方案,本发明实施例中,在多个受保护的服务器的性能并不一样时,网络设备能够为每个服务器分别配置连接会话数量的阈值,并且在网络设备所保护的服务器达到性能瓶颈或者遭受DOS攻击时,网络设备可以根据服务器的性能和状态自动调整该服务器的连接会话数量的阈值,使得每个服务器都可以响应正常的连接会话,也可以承受一定的DOS攻击。
【专利附图】
【附图说明】
[0028]图1是DOS攻击网络的组网示意图;
[0029]图2是本发明实施例提供的一种动态地适应服务器性能的防攻击方法流程示意图;
[0030]图3是本发明实施例提供的一种网络设备的结构示意图。
【具体实施方式】
[0031]针对现有技术中存在的问题,本发明实施例提供一种动态地适应服务器性能的防攻击方法,该方法应用在网络设备所保护的私网内下挂一个或者多个受保护的服务器的网络中。以图1为本发明实施例的应用场景示意图,在网络设备所保护的私网内下挂了多个受保护的服务器,多个受保护的服务器分别为HTTP (Hyper Text Transfer Protocol,超文本传输协议)服务器、SMTP (Simple Mail Transfer Protocol,简单邮件传输协议)服务器、DNS(Domain Name System,域名系统)服务器、FTP(File Transfer Protocol,文件传输协议)服务器等。其中,该网络设备具体包括但不限于防火墙设备、高端路由器设备等。
[0032]本发明实施例中,对于各服务器的处理方式相同,下面以一个服务器(如HTTP服务器)的处理为例,对本发明实施例提供的技术方案进行详细说明。如图2所示,该动态地适应服务器性能的防攻击方法具体可以包括以下步骤:
[0033]步骤201,网络设备统计服务器对应的全连接会话数量和半连接会话数量,并利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率。
[0034]其中,全连接会话是指已经成功建立连接的会话,对于正常用户,其会在短时间内与服务器建立连接,因此正常用户的连接会话通常是全连接会话。半连接会话是指没有成功建立连接的会话,对于攻击者,其会在很长时间内与服务器保持半连接状态,即攻击者通过向服务器发送大量半连接报文,使得服务器维护大量的半连接会话,因此攻击者的连接会话通常是半连接会话。在服务器与正常用户、攻击者建立会话的过程中,网络设备能够统计出服务器对应的全连接会话数量,并能够统计出服务器对应的半连接会话数量。
[0035]本发明实施例中,网络设备利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率的过程,具体包括:网络设备计算连接会话数量为全连接会话数量与半连接会话数量之和,即连接会话数量=全连接会话数量+半连接会话数量,并计算半连接率为半连接会话数量除以连接会话数量,即半连接率=半连接会话数量/(全连接会话数量+半连接会话数量)。
[0036]本发明实施例中,网络设备可以为每个服务器维护一个统计节点表项,且该统计节点表项中记录有服务器对应的IP地址、预设第一阈值、连接会话数量、半连接率和状态。基于此,当服务器(如HTTP服务器)开始对外网提供服务之后,一旦有用户访问到该HTTP服务器,则网络设备会生成该HTTP服务器对应的统计节点表项,如表I所示。该统计节点表项中记录的IP地址为HTTP服务器的IP地址;预设第一阈值为管理员初始配置的HTTP服务器对应的初始连接配置限制值,如管理员配置初始连接配置限制值为800时,预设第一阈值为800 ;连接会话数量和半连接率由网络设备通过步骤201的过程确定;状态有正常状态和攻击状态两种,且状态的初始值为正常状态。
[0037]表I
[0038]
【权利要求】
1.一种动态地适应服务器性能的防攻击方法,其特征在于,该方法包括: 网络设备统计服务器对应的全连接会话数量和半连接会话数量,并利用所述全连接会话数量和所述半连接会话数量计算连接会话数量和半连接率; 当所述连接会话数量大于预设第一阈值,并且所述半连接率不大于预设第二阈值时,所述网络设备调整预设第一阈值为当前预设第一阈值与M之和,并设置所述服务器的状态为正常状态;其中,所述M为正整数; 当所述连接会话数量大于预设第一阈值,并且所述半连接率大于预设第二阈值时,所述网络设备调整预设第一阈值为当前预设第一阈值与N之差,并设置所述服务器的状态为攻击状态;其中,所述N为正整数; 所述网络设备在所述服务器的状态为正常状态时,允许向所述服务器发送报文;在所述服务器的状态为攻击状态时,丢弃向所述服务器发送的报文。
2.如权利要求1所述的方法,其特征在于,所述网络设备利用所述全连接会话数量和所述半连接会话数量计算连接会话数量和半连接率,具体包括: 所述网络设备计算所述连接会话数量为全连接会话数量与半连接会话数量之和,并计算所述半连接率为半连接会话数量除以所述连接会话数量。
3.如权利要求1所述的方法,其特征在于,所述方法进一步包括: 在调整预设第一阈值为当前预设第一阈值与N之差时,如果当前预设第一阈值与N之差小于所述服务器对应的初始连接配置限制值,则所述网络设备调整预设第一阈值为所述服务器对应的初始连接配置限制值。
4.如权利要求1所述的方法,其特征在于,所述方法进一步包括: 所述网络设备为服务器维护统计节点表项,所述统计节点表项中记录有所述服务器对应的IP地址、预设第一阈值、连接会话数量、半连接率、状态。
5.如权利要求1-4任一项所述的方法,其特征在于, 所述网络设备具体包括防火墙设备,所述防火墙设备所保护的私网内下挂一个或者多个受保护的服务器。
6.一种网络设备,其特征在于,所述网络设备具体包括: 计算模块,用于统计服务器对应的全连接会话数量和半连接会话数量,并利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率; 调整模块,用于当所述连接会话数量大于预设第一阈值,并且所述半连接率不大于预设第二阈值时,调整预设第一阈值为当前预设第一阈值与M之和,并设置所述服务器的状态为正常状态;其中,所述M为正整数; 当所述连接会话数量大于预设第一阈值,并且所述半连接率大于预设第二阈值时,调整预设第一阈值为当前预设第一阈值与N之差,并设置所述服务器的状态为攻击状态;其中,所述N为正整数; 处理模块,用于在服务器的状态为正常状态时,允许向所述服务器发送报文;在服务器的状态为攻击状态时,丢弃向所述服务器发送的报文。
7.如权利要求6所述的网络设备,其特征在于, 所述计算模块,具体用于在利用全连接会话数量和半连接会话数量计算连接会话数量和半连接率时,计算连接会话数量为全连接会话数量与半连接会话数量之和,并计算半连接率为半连接会话数量除以所述连接会话数量。
8.如权利要求6所述的网络设备,其特征在于, 所述调整模块,进一步用于在调整预设第一阈值为当前预设第一阈值与N之差时,如果当前预设第一阈值与N之差小于所述服务器对应的初始连接配置限制值,则调整预设第一阈值为所述服务器对应的初始连接配置限制值。
9.如权利要求6所述的网络设备,其特征在于,还包括: 维护模块,用于为服务器维护统计节点表项,该统计节点表项中记录有所述服务器对应的IP地址、预设第一阈值、连接会话数量、半连接率、状态。
10.如权利要求6-9任一项所述的网络设备,其特征在于, 所述网络设备具体包括防火墙设备,所述防火墙设备所保护的私网内下挂一个或者多个受保护的服务器。
【文档编号】H04L29/08GK104202297SQ201410369907
【公开日】2014年12月10日 申请日期:2014年7月30日 优先权日:2014年7月30日
【发明者】王国利, 郗二军 申请人:杭州华三通信技术有限公司