專利名稱:負載均衡設(shè)備和負載均衡及防御方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�,尤其涉及一種負載均衡設(shè)備和負載均衡及防御方法。
背景技術(shù):
負載均衡設(shè)備(Load Balancer, LB)能為各種不同的業(yè)務(wù)提供了一種通用的負載均衡方法�����。負載均衡設(shè)備主要面臨以下的問題�����,一方面所有業(yè)務(wù)的數(shù)據(jù)包均需負載均衡設(shè)備處理�����,如果發(fā)生業(yè)務(wù)遭受網(wǎng)絡(luò)攻擊���,則負載均衡設(shè)備會承受超過平常數(shù)倍的流量�,從而導(dǎo)致負載均衡設(shè)備工作異常,另一方面�,如果單一或部分的業(yè)務(wù)遭到網(wǎng)絡(luò)攻擊,則影響負載均衡設(shè)備上所有業(yè)務(wù)的正常運行�。因此,負載均衡設(shè)備需要對網(wǎng)絡(luò)攻擊進行高效的防御?,F(xiàn)有技術(shù)采用在負載均衡設(shè)備的前端串接獨立的DDOS(Distributed Denial ofService,分布式拒絕服務(wù)攻擊)防御設(shè)備進行網(wǎng)絡(luò)攻擊的防御�����,這種技術(shù)的特點是��,使用獨立的DDOS防御設(shè)備��,在整個負載均衡系統(tǒng)的網(wǎng)絡(luò)部署上DDOS防御設(shè)備串接在負載均衡設(shè)備之前�,由DDOS防御設(shè)備進行網(wǎng)絡(luò)攻擊的防御,并采用通過syn代理的方法實現(xiàn)網(wǎng)絡(luò)攻擊的防御?,F(xiàn)有技術(shù)存在以下缺陷:(I)獨立的DDOS防御設(shè)備串聯(lián)在負載均衡設(shè)備前端,一方面導(dǎo)致負載均衡系統(tǒng)的網(wǎng)絡(luò)部署結(jié)構(gòu)復(fù)雜���,增加網(wǎng)絡(luò)的部署成本����,另一方面數(shù)據(jù)包需經(jīng)過DDOS防御設(shè)備處理,增加數(shù)據(jù)包傳輸?shù)臅r延��。(2)串聯(lián)在負載均衡設(shè)備前段的獨立的DDOS防御設(shè)備與負載均衡設(shè)備的各個業(yè)務(wù)之間相互獨立�����,當(dāng)發(fā)生針對某些或某個業(yè)務(wù)的網(wǎng)絡(luò)攻擊時�,DDOS防御設(shè)備不能有效地對業(yè)務(wù)類型進行區(qū)分���。(3)DDOS防御設(shè)備不能針對某些或某個業(yè)務(wù)開啟或關(guān)閉防御功能��,只能對所有的業(yè)務(wù)的流量均開啟或關(guān)閉網(wǎng)絡(luò)攻擊防御�����,從而使得負載均衡設(shè)備的效率低下���。
發(fā)明內(nèi)容
本發(fā)明旨在至少解決上述技術(shù)問題之一。為此���,本發(fā)明的一個目的在于提出一種可以區(qū)分業(yè)務(wù)類型并針對受到攻擊的業(yè)務(wù)進行開啟網(wǎng)絡(luò)攻擊防御的負載均衡設(shè)備�����。本發(fā)明的另一目的在于提出一種負載均衡及防御方法���。為了實現(xiàn)上述目的����,根據(jù)本發(fā)明第一方面的實施例的負載均衡設(shè)備包括:配置模塊�,所述配置模塊用于配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值;接收模塊�����,所述接收模塊用于接收來自客戶的服務(wù)請求����;監(jiān)測模塊,所述監(jiān)測模塊用于監(jiān)測與所述服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量�;調(diào)度模塊,所述調(diào)度模塊用于根據(jù)所述請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配�����;以及防御模塊�,所述防御模塊用于根據(jù)所述請求的服務(wù)的實際流量以及所述請求的服務(wù)的流量閾值判斷是否針對所述請求的服務(wù)進行防御。
根據(jù)本發(fā)明實施例的負載均衡設(shè)備���,通過對各個業(yè)務(wù)所對應(yīng)的服務(wù)的各個服務(wù)器集群的地址的配置可以區(qū)別不同的服務(wù)的業(yè)務(wù)類型��,并檢測與服務(wù)請求所對應(yīng)的業(yè)務(wù)是否被攻擊�,針對遭受網(wǎng)絡(luò)攻擊的業(yè)務(wù)開啟攻擊防御功能,而對未遭受網(wǎng)絡(luò)攻擊的業(yè)務(wù)不進行攻擊防御的開啟�,從而在不影響負載均衡設(shè)備正常工作的情況下��,能有效且高效的進行網(wǎng)絡(luò)攻擊防御����,同時,由于負載均衡設(shè)備已具有網(wǎng)絡(luò)攻擊防御功能���,一方面減少了必要的防御攻擊設(shè)備��,簡化網(wǎng)絡(luò)部署結(jié)構(gòu)��,另一方面也減少了數(shù)據(jù)包傳輸?shù)臅r延����。為了實現(xiàn)上述目的��,根據(jù)本發(fā)明第二方面的實施例的負載均衡及防御方法包括以下步驟:配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值�;接收來自客戶的服務(wù)請求;監(jiān)測與所述服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量;根據(jù)所述請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配�����;以及根據(jù)所述請求的服務(wù)的實際流量以及所述請求的服務(wù)的流量閾值判斷是否針對所述請求的服務(wù)進行防御�����。根據(jù)本發(fā)明實施例的負載均衡及防御方法���,可以對各個業(yè)務(wù)所對應(yīng)的服務(wù)的各個服務(wù)器集群的地址的進行配置可以區(qū)別不同的服務(wù)的業(yè)務(wù)類型�����,并檢測與服務(wù)請求所對應(yīng)的業(yè)務(wù)是否被攻擊����,從而能夠?qū)崿F(xiàn)以業(yè)務(wù)為單位�����,靈活地針對遭受網(wǎng)絡(luò)攻擊的業(yè)務(wù)進行攻擊防御����,而對未遭受攻擊的業(yè)務(wù)不進行攻擊防御��,同時�����,可以實時的根據(jù)實際流量進行各個業(yè)務(wù)之間的流量分配����,提高效率���。本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出,部分將從下面的描述中變得明顯����,或通過本發(fā)明的實踐了解到。
本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解����,其中,圖1是根據(jù)本發(fā)明一個實施例的負載均衡設(shè)備的結(jié)構(gòu)框圖�����;圖2是根據(jù)本發(fā)明實施例的根據(jù)syn-cookie機制進行網(wǎng)絡(luò)攻擊防御的流程圖��;圖3是根據(jù)本發(fā)明一個實施例的負載均衡設(shè)備的結(jié)構(gòu)框圖;圖4是根據(jù)本發(fā)明一個實施例的負載均衡設(shè)備的結(jié)構(gòu)框圖�����;圖5是根據(jù)本發(fā)明一個實施例的負載均衡及防御方法的流程圖��;圖6是根據(jù)本發(fā)明一個實施例的負載均衡及防御方法的流程圖���;以及圖7是根據(jù)本發(fā)明一個實施例的負載均衡及防御方法的流程圖�。
具體實施例方式下面詳細描述本發(fā)明的實施例�,所述實施例的示例在附圖中示出,其中自始至終相同或類似的標(biāo)號表示相同或類似的元件或具有相同或類似功能的元件�����。下面通過參考附圖描述的實施例是示例性的�����,僅用于解釋本發(fā)明��,而不能理解為對本發(fā)明的限制�����。相反,本發(fā)明的實施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化���、修改和等同物�。在本發(fā)明的描述中���,需要理解的是�����,術(shù)語“第一”�����、“第二”等僅用于描述目的,而不能理解為指示或暗示相對重要性�。在本發(fā)明的描述中,需要說明的是���,除非另有明確的規(guī)定和限定����,術(shù)語“相連”�����、“連接”應(yīng)做廣義理解,例如�����,可以是固定連接����,也可以是可拆卸連接,或一體地連接����;可以是機械連接,也可以是電連接�;可以是直接相連,也可以通過中間媒介間接相連���。對于本領(lǐng)域的普通技術(shù)人員而言��,可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義�����。此外��,在本發(fā)明的描述中�,除非另有說明,“多個”的含義是兩個或兩個以上��。流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為���,表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊��、片段或部分����,并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn)���,其中可以不按所示出或討論的順序�,包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序�,來執(zhí)行功能���,這應(yīng)被本發(fā)明的實施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解����。下面參考說明書附圖描述根據(jù)本發(fā)明實施例的負載均衡設(shè)備�?��!N負載均衡設(shè)備,包括:配置模塊�,配置模塊用于配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值;接收模塊�����,接收模塊用于接收來自客戶的服務(wù)請求��;監(jiān)測模塊���,監(jiān)測模塊用于監(jiān)測與服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量�;調(diào)度模塊����,調(diào)度模塊用于根據(jù)請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配;以及防御模塊���,防御模塊用于根據(jù)請求的服務(wù)的實際流量以及請求的服務(wù)的流量閾值判斷是否針對請求的服務(wù)進行防御�����。圖1為本發(fā)明一個實施例的負載均衡設(shè)備的結(jié)構(gòu)框圖��。如圖1所示�����,根據(jù)本發(fā)明實施例的負載均衡設(shè)備I包括配置模塊100��、接收模塊200��、監(jiān)測模塊300����、調(diào)度模塊400和防御模塊500。具體地���,配置模塊100用于配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值�����。接收模塊200用于接收來自客戶的服務(wù)請求����。監(jiān)測模塊300用于監(jiān)測與服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量����。調(diào)度模塊400用于根據(jù)請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配。防御模塊500用于根據(jù)請求的服務(wù)的實際流量以及請求的服務(wù)的流量閾值判斷是否針對請求的服務(wù)進行防御�����。 其中����,在本發(fā)明的一個實施例中,各個服務(wù)器集群的地址可以包括各個服務(wù)器集群中各個服務(wù)器的IP地址�。具體地,配置設(shè)備100對各個業(yè)務(wù)的服務(wù)器集群3中的各個業(yè)務(wù)的服務(wù)所對應(yīng)的各個服務(wù)器集群進行地址配置�����。在具體的負載均衡系統(tǒng)(如圖1所示��,包括互聯(lián)網(wǎng)2�、負載均衡設(shè)備I和各個業(yè)務(wù)的服務(wù)器集群3的系統(tǒng)為負載均衡系統(tǒng))中,每個服務(wù)可由一系列屬于該服務(wù)的服務(wù)器的IP組成����。根據(jù)配置設(shè)備100可根據(jù)每個業(yè)務(wù)的服務(wù)所對應(yīng)的各個服務(wù)器集群的地址進行業(yè)務(wù)類型區(qū)分。接收模塊200與互聯(lián)網(wǎng)2相連��,接收來自互聯(lián)網(wǎng)2中的客戶的服務(wù)請求。例如���,來自客戶端的HTTP請求等��。同時�,接收模塊200也可以接收來自內(nèi)部網(wǎng)絡(luò)的服務(wù)請求,例如����,來自企業(yè)內(nèi)網(wǎng)中對于某個內(nèi)部業(yè)務(wù)的服務(wù)請求。監(jiān)測模塊300與接收模塊200相連�����,根據(jù)接收模塊200所接收的互聯(lián)網(wǎng)2中的客戶的來自外部網(wǎng)絡(luò)的外部服務(wù)請求或來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)請求�,監(jiān)測與其服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量。調(diào)度模塊400與監(jiān)測模塊300相連�����,根據(jù)監(jiān)測到的服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配����。調(diào)度模塊400為負載均衡設(shè)備I提供實時的流量分配。
防御模塊500與監(jiān)測模塊300和配置模塊100相連�����,防御模塊500通過配置模塊100共享各個服務(wù)器集群中的各個服務(wù)器的IP信息���,從而能夠區(qū)別各個業(yè)務(wù)類型�����。根據(jù)監(jiān)測模塊300所監(jiān)測到的服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量和配置模塊100設(shè)置的該服務(wù)的流量閾值判斷是否針對請求的服務(wù)進行防御�。例如�,當(dāng)防御模塊500發(fā)現(xiàn)某業(yè)務(wù)在一段時間內(nèi)網(wǎng)絡(luò)流量超過正常流量的最大值的數(shù)倍時,則認為該業(yè)務(wù)遭受異常流量的攻擊���,其中����,正常流量的最大值可以根據(jù)監(jiān)測模塊300監(jiān)測得到����,也可以通過配置模塊100按照經(jīng)驗值進行設(shè)置。根據(jù)本發(fā)明實施例的負載均衡設(shè)備���,通過對各個業(yè)務(wù)所對應(yīng)的服務(wù)的各個服務(wù)器集群的地址的配置可以區(qū)別不同的服務(wù)的業(yè)務(wù)類型�,并檢測與服務(wù)請求所對應(yīng)的業(yè)務(wù)是否被攻擊,針對遭受網(wǎng)絡(luò)攻擊的業(yè)務(wù)開啟攻擊防御功能�,而對未遭受網(wǎng)絡(luò)攻擊的業(yè)務(wù)不進行攻擊防御的開啟,從而在不影響負載均衡設(shè)備正常工作的情況下�����,能有效且高效的進行網(wǎng)絡(luò)攻擊防御�,同時,由于負載均衡設(shè)備已具有網(wǎng)絡(luò)攻擊防御功能�,一方面減少了必要的防御攻擊設(shè)備,簡化網(wǎng)絡(luò)部署結(jié)構(gòu)�,另一方面也減少了數(shù)據(jù)包傳輸?shù)臅r延。在本發(fā)明的一個實施例中���,防御模塊500也可以通過使用syn-cookie機制來針對請求的服務(wù)進行防御��。圖2為本發(fā)明實施例的根據(jù)syn-cookie機制進行網(wǎng)絡(luò)攻擊防御的流程圖�����。如圖2所示����,在本發(fā)明的一個實施例中���,防御模塊500按照下述步驟判斷是否針對請求的服務(wù)進行防御�����。步驟S101,判斷服務(wù)請求是否是syn包�。步驟S102,如果服務(wù)請求是syn包,則構(gòu)建特殊編碼的syn_ack包并發(fā)送至發(fā)出服務(wù)請求的客戶端�����。步驟S103,接收來自客戶端對syn_ack的ack包��。步驟S104,判斷特殊編碼校驗是否通過���。步驟S105�����,如果特殊編碼校驗通過����,則判斷為正常流量���。步驟S106�����,如果特殊編碼校驗沒有通過�,則判斷為攻擊流量并丟棄攻擊流量。根據(jù)本發(fā)明實施例的防御模塊500根據(jù)syn-cookie機制進行網(wǎng)絡(luò)攻擊防御的工作過程����,通過在TCP三次握手過程中加入特殊編碼,能有效地實現(xiàn)針對syn-f 10d網(wǎng)絡(luò)攻擊的防御����。圖3為本發(fā)明一個實施例的負載均衡設(shè)備的結(jié)構(gòu)框圖。如圖3所示���,根據(jù)本發(fā)明實施例的負載均衡設(shè)備I包括配置模塊100�、接收模塊200�、監(jiān)測模塊300、調(diào)度模塊400���、防御模塊500和分類模塊600�。具體地�����,配置模塊100用于配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值。接收模塊200用于接收來自客戶的服務(wù)請求��。監(jiān)測模塊300用于監(jiān)測與服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量����。調(diào)度模塊400用于根據(jù)請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配。防御模塊500用于根據(jù)請求的服務(wù)的實際流量以及請求的服務(wù)的流量閾值判斷是否針對請求的服務(wù)進行防御����。分類模塊600用于將與服務(wù)請求對應(yīng)的請求的服務(wù)分類為來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)或來自外部網(wǎng)絡(luò)的外部服務(wù)���,其中�,防御模塊500僅針對外部服務(wù)判斷是否進行防御其中��,在本發(fā)明的一個實施例中��,各個服務(wù)器集群的地址可以包括各個服務(wù)器集群中各個服務(wù)器的IP地址���。具體地����,配置設(shè)備100對各個業(yè)務(wù)的服務(wù)器集群3中的各個業(yè)務(wù)的服務(wù)所對應(yīng)的各個服務(wù)器集群進行地址配置�����。在具體的負載均衡系統(tǒng)(如圖1所示,包括互聯(lián)網(wǎng)2�、負載均衡設(shè)備I和各個業(yè)務(wù)的服務(wù)器集群3的系統(tǒng)為負載均衡系統(tǒng))中,每個服務(wù)可由一系列屬于該服務(wù)的服務(wù)器的IP組成���。根據(jù)配置設(shè)備100可根據(jù)每個業(yè)務(wù)的服務(wù)所對應(yīng)的各個服務(wù)器集群的地址進行業(yè)務(wù)類型區(qū)分�����。接收模塊200與互聯(lián)網(wǎng)2相連�����,接收來自互聯(lián)網(wǎng)2中的客戶的服務(wù)請求��。例如�,來自客戶端的HTTP請求等����。同時,接收模塊200也可以接收來自內(nèi)部網(wǎng)絡(luò)的服務(wù)請求,例如�����,來自企業(yè)內(nèi)網(wǎng)中對于某個內(nèi)部業(yè)務(wù)的服務(wù)請求。監(jiān)測模塊300與接收模塊200相連�����,根據(jù)接收模塊200所接收的互聯(lián)網(wǎng)2中的客戶的來自外部網(wǎng)絡(luò)的外部服務(wù)請求或來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)請求����,監(jiān)測與其服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量。調(diào)度模塊400與監(jiān)測模塊300相連�,根據(jù)監(jiān)測到的服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配。調(diào)度模塊400為負載均衡設(shè)備I提供實時的流量分配�。防御模塊500與監(jiān)測模塊300和配置模塊100相連,防御模塊500通過配置模塊100共享各個服務(wù)器集群中的各個服務(wù)器的IP信息����,從而能夠區(qū)別各個業(yè)務(wù)類型��。根據(jù)監(jiān)測模塊300所監(jiān)測到的服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量和配置模塊100設(shè)置的該服務(wù)的流量閾值判斷是否針對請求的服務(wù)進行防御�。例如,當(dāng)防御模塊500發(fā)現(xiàn)某業(yè)務(wù)在一段時間內(nèi)網(wǎng)絡(luò)流量超過正常流量的最大值的數(shù)倍時�,則認為該業(yè)務(wù)遭受異常流量的攻擊,其中����,正常流量的最大值可以根據(jù)監(jiān)測模塊300監(jiān)測得到��,也可以通過配置模塊100按照經(jīng)驗值進行設(shè)置�����。具體地�,分類模塊600與接收模塊200和防御模塊500相連����,將與服務(wù)請求對應(yīng)的請求的服務(wù)分類為來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)(例如,來自企業(yè)內(nèi)網(wǎng)中對于某個內(nèi)部業(yè)務(wù)的服務(wù)請求等)或來自外部網(wǎng)絡(luò)的外部服務(wù)(例如,來自外部客戶端的服務(wù)請求等)�。由于來自內(nèi)部網(wǎng)絡(luò)的服務(wù)請求通常都不會是惡性攻擊,因而排除了內(nèi)部網(wǎng)絡(luò)流量�,可以進一步提高防御的效率和精確度。在本發(fā)明的一個實施例中����,分類模塊600為可選的。根據(jù)本發(fā)明的實施例��,防御模塊500可以根據(jù)圖2所示的根據(jù)syn-cookie機制進行網(wǎng)絡(luò)攻擊防御���。根據(jù)本發(fā)明實施例的負載均衡設(shè)備���,通過增加的分類模塊���,在針對所請求的服務(wù)是否進行網(wǎng)絡(luò)攻擊防御的判斷之前,對服務(wù)請求進行分類�����,從而減少了負載均衡設(shè)備額外的負擔(dān)���,從而使得負載均衡設(shè)備更加有針對性的進行攻擊防御��,提高了負載均衡設(shè)備的工作效率��。圖4為本發(fā)明一個實施例的負載均衡設(shè)備的結(jié)構(gòu)框圖�。如圖4所示���,根據(jù)本發(fā)明實施例的負載均衡設(shè)備I包括包括配置模塊100����、接收模塊200�����、監(jiān)測模塊300�����、調(diào)度模塊400����、防御模塊500、分類模塊600和統(tǒng)計模塊700�。具體地,配置模塊100用于配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值��。接收模塊200用于接收來自客戶的服務(wù)請求����。監(jiān)測模塊300用于監(jiān)測與服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量。調(diào)度模塊400用于根據(jù)請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配����。防御模塊500用于根據(jù)請求的服務(wù)的實際流量以及請求的服務(wù)的流量閾值判斷是否針對請求的服務(wù)進行防御。分類模塊600用于將與服務(wù)請求對應(yīng)的請求的服務(wù)分類為來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)或來自外部網(wǎng)絡(luò)的外部服務(wù)�,其中,防御模塊500僅針對外部服務(wù)判斷是否進行防御�����。統(tǒng)計模塊700用于統(tǒng)計預(yù)定時間段內(nèi)各個業(yè)務(wù)的正常流量值。其中�����,在本發(fā)明的一個實施例中���,各個服務(wù)器集群的地址可以包括各個服務(wù)器集群中各個服務(wù)器的IP地址�。具體地����,配置設(shè)備100對各個業(yè)務(wù)的服務(wù)器集群3中的各個業(yè)務(wù)的服務(wù)所對應(yīng)的各個服務(wù)器集群進行地址配置。在具體的負載均衡系統(tǒng)(如圖1所示����,包括互聯(lián)網(wǎng)2、負載均衡設(shè)備I和各個業(yè)務(wù)的服務(wù)器集群3的系統(tǒng)為負載均衡系統(tǒng))中�,每個服務(wù)可由一系列屬于該服務(wù)的服務(wù)器的IP組成。根據(jù)配置設(shè)備100可根據(jù)每個業(yè)務(wù)的服務(wù)所對應(yīng)的各個服務(wù)器集群的地址進行業(yè)務(wù)類型區(qū)分���。接收模塊200與互聯(lián)網(wǎng)2相連���,接收來自互聯(lián)網(wǎng)2中的客戶的服務(wù)請求。例如����,來自客戶端的HTTP請求等。同時����,接收模塊200也可以接收來自內(nèi)部網(wǎng)絡(luò)的服務(wù)請求,例如,來自企業(yè)內(nèi)網(wǎng)中對于某個內(nèi)部業(yè)務(wù)的服務(wù)請求����。監(jiān)測模塊300與接收模塊200相連,根據(jù)接收模塊200所接收的互聯(lián)網(wǎng)2中的客戶的來自外部網(wǎng)絡(luò)的外部服務(wù)請求或來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)請求����,監(jiān)測與其服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量。調(diào)度模塊400與監(jiān)測模塊300相連����,根據(jù)監(jiān)測到的服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配。調(diào)度模塊400為負載均衡設(shè)備I提供實時的流量分配���。防御模塊500與監(jiān)測模塊300和配置模塊100相連��,防御模塊500通過配置模塊100共享各個服務(wù)器集群中的各個服務(wù)器的IP信息�,從而能夠區(qū)別各個業(yè)務(wù)類型�����。根據(jù)監(jiān)測模塊300所監(jiān)測到的服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量和配置模塊100設(shè)置的該服務(wù)的流量閾值判斷是否針對請求的服務(wù)進行防御。例如����,當(dāng)防御模塊500發(fā)現(xiàn)某業(yè)務(wù)在一段時間內(nèi)網(wǎng)絡(luò)流量超過正常流量的最大值的數(shù)倍時,則認為該業(yè)務(wù)遭受異常流量的攻擊��,其中��,正常流量的最大值可以根據(jù)監(jiān)測模塊300監(jiān)測得到��,也可以通過配置模塊100按照經(jīng)驗值進行設(shè)置���。具體地����,分類模塊600與接收模塊200和防御模塊500相連�,將與服務(wù)請求對應(yīng)的請求的服務(wù)分類為來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)(例如,來自企業(yè)內(nèi)網(wǎng)中對于某個內(nèi)部業(yè)務(wù)的服務(wù)請求等)或來自外部網(wǎng)絡(luò)的外部服務(wù)(例如,來自外部客戶端的服務(wù)請求等)��。由于來自內(nèi)部網(wǎng)絡(luò)的服務(wù)請求通常都不會是惡性攻擊���,因而排除了內(nèi)部網(wǎng)絡(luò)流量�,可以進一步提高防御的效率和精確度。具體地�����,預(yù)定時間段可以根據(jù)具體的各個業(yè)務(wù)的正常流量的時間段具體設(shè)置�,統(tǒng)計模塊700統(tǒng)計的各個業(yè)務(wù)的正常流量值可以作為各個業(yè)務(wù)的流量閾值設(shè)置的參考�����。例如���,在本發(fā)明的一個實施例中���,流量閾值可以設(shè)置為統(tǒng)計模塊700所統(tǒng)計的正常流量值的三倍。應(yīng)理解的是�,也可以根據(jù)具體的業(yè)務(wù)類型設(shè)置流量閾值,例如�,為統(tǒng)計模塊700所統(tǒng)計的正常流量值的三倍以上。在本發(fā)明的一個實施例中��,統(tǒng)計模塊700為可選的���。根據(jù)本發(fā)明的實施例��,防御模塊500可以根據(jù)圖2所示的根據(jù)syn-cookie機制進行網(wǎng)絡(luò)攻擊防御���。根據(jù)本發(fā)明實施例的負載均衡設(shè)備�����,通過增加的統(tǒng)計模塊����,能夠根據(jù)統(tǒng)計模塊所統(tǒng)計的各個業(yè)務(wù)的正常流量值對各個業(yè)務(wù)的流量閾值進行設(shè)置�,從而使得設(shè)置的流量閾值能夠更加的準(zhǔn)確,且流量閾值可以隨時更新����。下面參考說明書附圖描述根據(jù)本發(fā)明實施例的負載均衡及防御方法。一種負載均衡及防御方法��,包括以下步驟:配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值����;接收來自客戶的服務(wù)請求;監(jiān)測與服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量����;根據(jù)請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配���;以及根據(jù)請求的服務(wù)的實際流量以及請求的服務(wù)的流量閾值判斷是否針對請求的服務(wù)進行防御。圖5為本發(fā)明一個實施例的負載均衡及防御方法的流程圖����。如圖5所示���,根據(jù)本發(fā)明實施例的負載均衡及防御方法��,包括下述步驟���。步驟S201,配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值��。在本發(fā)明的一個實施例中�,各個服務(wù)器集群的地址包括各個服務(wù)器集群中各個服務(wù)器的IP地址。 步驟S202��,接收來自客戶的服務(wù)請求�����。該客戶可以是通過互聯(lián)網(wǎng)接入的客戶,也可以是來自企業(yè)內(nèi)網(wǎng)中的直接接入的客戶���。步驟S203����,監(jiān)測與服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量�。根據(jù)接收的來自外部網(wǎng)絡(luò)的外部服務(wù)請求或來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)請求,監(jiān)測與其服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量�。步驟S204,根據(jù)請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配��。步驟S205�,根據(jù)請求的服務(wù)的實際流量以及請求的服務(wù)的流量閾值判斷是否針對請求的服務(wù)進行防御。例如�,當(dāng)發(fā)現(xiàn)某業(yè)務(wù)在一段時間內(nèi)網(wǎng)絡(luò)流量超過正常流量的最大值的數(shù)倍時,則認為該業(yè)務(wù)遭受異常流量的攻擊��,其中���,正常流量的最大值可以監(jiān)測得到�����,也可以按照經(jīng)驗值進行設(shè)置�����。在本發(fā)明的一個實施例中�,可以通過使用syn-cookie機制來針對請求的服務(wù)進行網(wǎng)絡(luò)攻擊防御。根據(jù)本發(fā)明的實施例����,可以根據(jù)如圖2所示的根據(jù)syn-cookie機制進行網(wǎng)絡(luò)攻擊防御。根據(jù)本發(fā)明實施例的負載均衡及防御方法����,可以對各個業(yè)務(wù)所對應(yīng)的服務(wù)的各個服務(wù)器集群的地址的進行配置可以區(qū)別不同的服務(wù)的業(yè)務(wù)類型,并檢測與服務(wù)請求所對應(yīng)的業(yè)務(wù)是否被攻擊�,從而能夠?qū)崿F(xiàn)以業(yè)務(wù)為單位����,靈活地針對遭受網(wǎng)絡(luò)攻擊的業(yè)務(wù)進行攻擊防御,而對未遭受攻擊的業(yè)務(wù)不進行攻擊防御�,同時,可以實時的根據(jù)實際流量進行各個業(yè)務(wù)之間的流量分配�����,提高效率����。圖6為本發(fā)明一個實施例的負載均衡及防御方法的流程圖�。
如圖6所示�����,根據(jù)本發(fā)明實施例的負載均衡及防御方法包括下述步驟�����。步驟S301��,配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值�。在本發(fā)明的一個實施例中,各個服務(wù)器集群的地址包括各個服務(wù)器集群中各個服務(wù)器的IP地址�����。步驟S302�,接收來自客戶的服務(wù)請求。該客戶可以是通過互聯(lián)網(wǎng)接入的客戶����,也可以是來自企業(yè)內(nèi)網(wǎng)中的直接接入的客戶。步驟S303���,監(jiān)測與服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量��。根據(jù)接收的來自外部網(wǎng)絡(luò)的外部服務(wù)請求或來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)請求���,監(jiān)測與其服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量��。步驟S304��,根據(jù)請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配��。步驟S305�����,將與所述服務(wù)請求對應(yīng)的請求的服務(wù)分類為來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)或來自外部網(wǎng)絡(luò)的外部服務(wù)��,其中,僅針對所述外部服務(wù)判斷是否進行防御����。由于來自內(nèi)部網(wǎng)絡(luò)的服務(wù)請求通常都不會是惡性攻擊,因而排除了內(nèi)部網(wǎng)絡(luò)流量���,可以進一步提高防御的效率和精確度��。步驟S306�,根據(jù)請求的服務(wù)的實際流量以及請求的服務(wù)的流量閾值判斷是否針對請求的服務(wù)進行防御。例如��,當(dāng)發(fā)現(xiàn)某業(yè)務(wù)在一段時間內(nèi)網(wǎng)絡(luò)流量超過正常流量的最大值的數(shù)倍時����,則認為該業(yè)務(wù)遭受異常流量的攻擊,其中��,正常流量的最大值可以監(jiān)測得到��,也可以按照經(jīng)驗值進行設(shè)置���。在本發(fā)明的一個實施例中����,可以通過使用syn-cookie機制來針對請求的服務(wù)進行網(wǎng)絡(luò)攻擊防御�����。根據(jù)本發(fā)明的實施例���,可以根據(jù)如圖2所示的根據(jù)syn-cookie機制進行網(wǎng)絡(luò)攻擊防御����。在本發(fā)明的一個實施例中,步驟S305是可選的����。根據(jù)本發(fā)明實施例的負載均衡及防御方法,增加分類步驟�,在針對所請求的服務(wù)是否進行網(wǎng)絡(luò)攻擊防御的判斷之前,對服務(wù)請求進行分類���,從而可采取更加有針對性的攻擊防御�����,提高了工作效率��。圖7是根據(jù)本發(fā)明一個實施例的負載均衡及防御方法的流程圖���。如圖7所示,根據(jù)本發(fā)明實施例的負載均衡及防御方法包括下述步驟�。步驟S401����,配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值����。在本發(fā)明的一個實施例中�,各個服務(wù)器集群的地址包括各個服務(wù)器集群中各個服務(wù)器的IP地址。步驟S402�����,接收來自客戶的服務(wù)請求����。該客戶可以是通過互聯(lián)網(wǎng)接入的客戶,也可以是來自企業(yè)內(nèi)網(wǎng)中的直接接入的客戶��。步驟S403��,監(jiān)測與服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量��。根據(jù)接收的來自外部網(wǎng)絡(luò)的外部服務(wù)請求或來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)請求�����,監(jiān)測與其服務(wù)請求所對應(yīng)的請求的服務(wù)的實際流量��。
步驟S404,根據(jù)請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配���。步驟S405���,將與所述服務(wù)請求對應(yīng)的請求的服務(wù)分類為來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)或來自外部網(wǎng)絡(luò)的外部服務(wù),其中�,僅針對所述外部服務(wù)判斷是否進行防御。步驟S406���,統(tǒng)計預(yù)定時間段內(nèi)各個業(yè)務(wù)的正常流量值�����。步驟S407�,根據(jù)請求的服務(wù)的實際流量以及請求的服務(wù)的流量閾值判斷是否針對請求的服務(wù)進行防御����。例如,當(dāng)發(fā)現(xiàn)某業(yè)務(wù)在一段時間內(nèi)網(wǎng)絡(luò)流量超過正常流量的最大值的數(shù)倍時���,則認為該業(yè)務(wù)遭受異常流量的攻擊���,其中�,正常流量的最大值可以監(jiān)測得到��,也可以按照經(jīng)驗值進行設(shè)置�����。具體地����,預(yù)定時間段可以根據(jù)具體的各個業(yè)務(wù)的正常流量的時間段具體設(shè)置�����,統(tǒng)計的各個業(yè)務(wù)的正常流量值可以作為各個業(yè)務(wù)的流量閾值設(shè)置的參考��。例如�,在本發(fā)明的一個實施例中,流量閾值可以設(shè)置為根據(jù)統(tǒng)計的各個業(yè)務(wù)的正
常流量值的三倍�。應(yīng)理解的是,也可以根據(jù)具體的業(yè)務(wù)類型設(shè)置流量閾值��,例如���,為統(tǒng)計的各個業(yè)務(wù)的正常流量值的三倍以上�。根據(jù)本發(fā)明的實施例,可以采用如圖2所示的根據(jù)syn-cookie機制進行網(wǎng)絡(luò)攻擊防御�����。在本發(fā)明的一個實施例中��,步驟S406為可選的�。根據(jù)本發(fā)明實施例的負載均衡及防御方法,通過增加的統(tǒng)計步驟�,能夠根據(jù)統(tǒng)計各個業(yè)務(wù)的正常流量值對各個業(yè)務(wù)的流量閾值進行設(shè)置,從而使得設(shè)置的流量閾值能夠更加的準(zhǔn)確�����,且流量閾值可以隨時更新��。應(yīng)當(dāng)理解�,本發(fā)明的各部分可以用硬件、軟件�����、固件或它們的組合來實現(xiàn)�。在上述實施方式中,多個步驟或方法可以用存儲在存儲器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實現(xiàn)�。例如��,如果用硬件來實現(xiàn)���,和在另一實施方式中一樣,可用本領(lǐng)域公知的下列技術(shù)中的任一項或他們的組合來實現(xiàn):具有用于對數(shù)據(jù)信號實現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路����,具有合適的組合邏輯門電路的專用集成電路���,可編程門陣列(PGA)�,現(xiàn)場可編程門陣列(FPGA)等�����。在本說明書的描述中�,參考術(shù)語“一個實施例”、“一些實施例”��、“示例”�、“具體示例”、或“一些示例”等的描述意指結(jié)合該實施例或示例描述的具體特征���、結(jié)構(gòu)���、材料或者特點包含于本發(fā)明的至少一個實施例或示例中���。在本說明書中,對上述術(shù)語的示意性表述不一定指的是相同的實施例或示例��。而且�,描述的具體特征、結(jié)構(gòu)���、材料或者特點可以在任何的一個或多個實施例或示例中以合適的方式結(jié)合��。盡管已經(jīng)示出和描述了本發(fā)明的實施例���,對于本領(lǐng)域的普通技術(shù)人員而言,可以理解在不脫離本發(fā)明的原理和精神的情況下可以對這些實施例進行多種變化��、修改����、替換和變型,本發(fā)明的范圍由所附權(quán)利要求及其等同限定����。
權(quán)利要求
1.一種負載均衡設(shè)備,其特征在于,包括: 配置模塊�����,所述配置模塊用于配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值�; 接收模塊��,所述接收模塊用于接收來自客戶的服務(wù)請求�����; 監(jiān)測模塊���,所述監(jiān)測模塊用于監(jiān)測與所述服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量; 調(diào)度模塊���,所述調(diào)度模塊用于根據(jù)所述請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配��;以及 防御模塊��,所述防御模塊用于根據(jù)所述請求的服務(wù)的實際流量以及所述請求的服務(wù)的流量閾值判斷是否針對所述請求的服務(wù)進行防御��。
2.根據(jù)權(quán)利要求1所述的設(shè)備�����,其特征在于���,進一步包括: 分類模塊��,所述分類模塊用于將與所述服務(wù)請求對應(yīng)的請求的服務(wù)分類為來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)或來自外部網(wǎng)絡(luò)的外部服務(wù)����,其中�, 所述防御模塊僅針對所述外部服務(wù)判斷是否進行防御。
3.根據(jù)權(quán)利要求1或2所述的設(shè)備�����,其特征在于���,所述各個服務(wù)器集群的地址包括所述各個服務(wù)器集群中各個服務(wù)器的IP地址�����。
4.根據(jù)權(quán)利要求1或2所述的設(shè)備����,其特征在于����,所述防御模塊通過使用syn-cookie機制來針對所述請求的服務(wù)進行防御���。
5.根據(jù)權(quán)利 要求4所述的設(shè)備,其特征在于�,所述防御模塊用于: 判斷所述服務(wù)請求是否是syn包; 如果是����,則構(gòu)建特殊編碼的syn_ack包并發(fā)送至發(fā)出所述服務(wù)請求的客戶端; 接收來自所述客戶端對所述syn_ack的ack包并判斷特殊編碼校驗是否通過�����; 如果通過����,則判斷為正常流量���; 如果沒有通過��,則判斷為攻擊流量并丟棄所述攻擊流量���。
6.根據(jù)權(quán)利要求1所述的設(shè)備��,其特征在于���,進一步包括: 統(tǒng)計模塊,所述統(tǒng)計模塊用于統(tǒng)計預(yù)定時間段內(nèi)各個業(yè)務(wù)的正常流量值���。
7.根據(jù)權(quán)利要求6所述的設(shè)備�,其特征在于�����, 所述流量閾值是所述正常流量值的三倍��。
8.一種負載均衡及防御方法����,其特征在于,包括以下步驟: 配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值�; 接收來自客戶的服務(wù)請求; 監(jiān)測與所述服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量�; 根據(jù)所述請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配;以及根據(jù)所述請求的服務(wù)的實際流量以及所述請求的服務(wù)的流量閾值判斷是否針對所述請求的服務(wù)進行防御�����。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于��,進一步包括步驟: 將與所述服務(wù)請求對應(yīng)的請求的服務(wù)分類為來自內(nèi)部網(wǎng)絡(luò)的內(nèi)部服務(wù)或來自外部網(wǎng)絡(luò)的外部服務(wù)�,其中,僅針對所述外部服務(wù)判斷是否進行防御����。
10.根據(jù)權(quán)利要求8或9所述的方法,其特征在于��,所述各個服務(wù)器集群的地址包括所述各個服務(wù)器集群中各個服務(wù)器的IP地址�。
11.根據(jù)權(quán)利要求8或9所述的方法,其特征在于�,通過使用syn-cookie機制來針對所述請求的服務(wù)進行防御。
12.根據(jù)權(quán)利要求11所述的方法���,其特征在于,使用syn-cookie機制來針對所述請求的服務(wù)進行防御包括以下步驟: 判斷所述服務(wù)請求是否是syn包�����; 如果是���,則構(gòu)建特殊編碼的syn_ack包并發(fā)送至發(fā)出所述服務(wù)請求的客戶端�; 接收來自所述客戶端對所述syn_ack的ack包并判斷特殊編碼校驗是否通過; 如果通過���,則判斷為正常流量����; 如果沒有通過����,則判斷為攻擊流量并丟棄所述攻擊流量。
13.根據(jù)權(quán)利要求8所述的方法���,其特征在于�����,進一步包括步驟: 統(tǒng)計預(yù)定時間段內(nèi)各個業(yè)務(wù)的正常流量值����。
14.根據(jù)權(quán)利要求13所述的方法�����,其特征在于, 所述流量閾值是所述正 常流量值的三倍����。
全文摘要
本發(fā)明提出一種負載均衡設(shè)備和負載均衡及防御方法。該設(shè)備包括配置模塊���,用于配置用于各個服務(wù)的各個服務(wù)器集群的地址以及各個服務(wù)的流量閾值���;接收模塊,用于接收來自客戶的服務(wù)請求�����;監(jiān)測模塊�,用于監(jiān)測與服務(wù)請求對應(yīng)的請求的服務(wù)的實際流量;調(diào)度模塊����,用于根據(jù)請求的服務(wù)的實際流量調(diào)度至各個服務(wù)器的流量分配;以及防御模塊�����,用于根據(jù)請求的服務(wù)的實際流量以及請求的服務(wù)的流量閾值判斷是否針對所述請求的服務(wù)進行防御��。根據(jù)本發(fā)明實施例的負載均衡設(shè)備�,可區(qū)別不同的業(yè)務(wù)類型,從而針對有攻擊行為的業(yè)務(wù)開啟攻擊防御功能�����,對沒有攻擊行為的業(yè)務(wù)關(guān)閉攻擊防御功能����,減少運行負擔(dān),且簡化了網(wǎng)絡(luò)部署結(jié)構(gòu)�,同時也減少數(shù)據(jù)包傳輸?shù)臅r延。
文檔編號H04L29/08GK103139246SQ201110382550
公開日2013年6月5日 申請日期2011年11月25日 優(yōu)先權(quán)日2011年11月25日
發(fā)明者劉曉光, 劉濤, 吳教仁, 劉寧 申請人:百度在線網(wǎng)絡(luò)技術(shù)(北京)有限公司