Web负载均衡在抗DDos攻击中的作用.pdf

1、Web 负载均衡在抗 DDos 攻击中的作用 【Abstract】Anti-DDos attacks arecommon network attacks.In the field of information security，they are highly regardedespecially on the commercial operation.Through the study of technical principles Web load balancing and anti DDos attacks，this paper describesthe functions and ef

2、fects of Web Load Balancing in Anti Distributed Denial of Service Attacks.【Keywords】load balancing；anti distributed denial of service attacks 1 引言 当前互联网的高速发展让我们的生活十分便利，但是信息的安全性、可用性以及稳定性仍是我们关注的重点。DDos攻击作为常见的网络攻击方式被广大黑客广泛使用，已经严重威胁到了各种互联网服务使用的可用性、稳定性。Web 负载均衡能为现有网络架构提供多台服务器，同时提供一个服务，从而极大地增加了系统的稳定性与抗风险能

3、力，收到了广大在线服务商的青睐。本文将介绍 DDos 攻击和 Web 负载均衡的技术原理以及各自的作用。2 负载均衡 负载均衡（Load Balance）系统是建立于现代互联网架构之上，整合多台高性能服务器集合成一个对应单元，每个高性能服务器都提供相同的服务，都可以独立对外部网络提供相关请求链接服务。结合网络负载信息分发技术，将外部网络输入的链接请求均衡的分配到每台高性能服务器上，且接收到链接请求的各个服务器也都各自回应外部网络客户的服务请求。负载均衡技术提供了一种简单、高效且对使用者来说透明的方法，提高了服务器的应用带宽、数据吞吐量，使用该技术的网络系统的请求数据处理能力以及整个网络的可扩容

4、性、灵活性都大幅提高。网络负载信息分发技术能够平均分配的请求链接到各个服务器，这样可以快速的获取所需数据，同一时刻处理大量并发链接访问服务的请求。通常普通级别服务器数据处理的能力最多只能答复每秒数十万个链接请求，如只用少量的几台这种服务器则整个网络的处理能力就受到了限制。但要是使用较多数量的这种服务器，并通过网络负载信息分发技术将链接请求均衡分配到各个单独服务器，如此整个服务器系统就可以处理每秒上千万甚至更多的链接请求。以上就是负载均衡技术体系的基本思想。随着现代互联网的高速发展负载均衡的的意义也更加重要。首先，它的设计本身就为提高大量并发的 Web 访问服务请求做出了贡献；其次，节约大量成本

5、，通过若干台性能相对普通的服务器组成的“团队”实现了昂贵的大型高性能服务器才能达到的性能需求；第三，实现了可持续的网络服务发展。随着计算机技术日新月异的发展，今天的高性能设备，数年之后可能就已经显得捉襟见肘了，大量的使用负载均衡技术会有效弥补这个问题以便扩容整个负载网络。3 DDos 攻击 DoS（Denial of Service）攻击就是拒绝服务攻击，它的意图是使服务器或者网络系统不能提供正常的网络链接服务。攻击者通过使用主动的网络流量攻击，而不是传统的入侵到相关服务器或是主机中窃取、破坏数据来达到攻击的目的。DoS 攻击的发起者并不会在攻击中获得任何直接利益，但是这种 DoS 攻击会使服

6、务器及网络的资源无法被用户使用，进而导致正常的业务使用者不能得到及时的链接服务反馈，最后使网络服务提供商及业务使用者收到巨大的损失，特别是在金融公司、银行这类对信息及时性要求很高的行业。DoS 攻击的主攻对象是网络连接和网络带宽。攻击者使用洪攻击技术，通过发出大量服务请求链接来消耗主机和网络资源，使得真正需要的用户无法及时正常访问资源，致使资源访问效率极其低下。DoS 攻击逐渐发展成了 DDoS 攻击，这种攻击同时使用多台服务器对目标主机发动联动的 DoS 攻击。常规 DoS 攻击以一对一的关系由攻击端对被攻击端进行DoS 攻击，而 DDoS 攻击则利用了服务器/客户端机制，使攻击端与被攻击端

7、的关系变为 N 对 M。攻击者通过 DDoS 攻击同样不会攻入被攻击者的系统内部，破坏他的数据。而是利用了互联网的架构，通过大量控制代理端对一些访问量大的站点造成网络瘫痪的风险，例如证券交易所、银行、大型企业等，对民生保障、公共资源的正常使用造成了极大的威胁。想要实现 DDoS 攻击通常都需要几个部分组成，如图 1所示。（1）攻击者：攻击的实际发起者，攻击者可以选取互联网上任意一台主机或服务器来充当攻击的源头，攻击者操控主控端使其发出攻击命令，从而对整个 DDoS 攻击进行总体控制。（2）主控端：攻击者一般会控制一定量的主控端，而各个主控端都会再控制大量的代理端，攻击者通过主控端向大量的代理端

8、发出攻击命令。（3）代理端：攻击者通过主控端将攻击程序传到代理端上运行再开始运行，所以代理端才是直接对被攻击端发起攻击的实际发起人。（4）被攻击端：即为受害服务器、主机或者路由器。充分了解了 DDos 攻击的手段后，我们可以设计一个负载均衡方案来验证负载均衡对于防范 DDos 攻击确实有着明显的作用。各大银行每天的业务量十分巨大，承受的各种请求服务繁多，服务器之间若是不采用负载均衡系统进行分流数据流量，极易被黑客利用 DDos 攻击造成各个服务器资源被耗尽从而影响正常业务的开展，造成难以估量的损失。4 硬件负载均衡 目前主流的硬件负载均衡方案有四层负载均衡和七层负载均衡两种。四层负载均衡原理是

9、建立在 IP 地址和端口号基础上的负载均衡；七层负载均衡原理是建立在 URL 等方面应用层信息基础上的负载均衡；各个负载均衡服务器在执行负载均衡功能时，根据四层或是七层的原理来确定如何均衡的分配大量的请求链接服务。四层负载均衡。依据 IP 地址结合相关的端口号，从而就能确定流量数据是否需要做负载均衡处理，之后对被确定要处理的数据流量进行地址转换后，转发至后台子服务器，并记录下这个 TCP 或者 UDP 的数据流量是由哪台子服务器处理的，并将之后这个链接的所有数据流量都直接分配到这台子服务器处理。七层负载均衡。在四层 IP 地址+端口号的基础上，还要关联应用层的特点，就好像一个 Web 负载均衡

10、系统，除了根据 IP 地址+端口号来判断流量是否需要负载均衡处理，还要增加七层的 URL、地区、语言类别来决定如何更好的进行负载均衡处理。举例来说，假设是的站点的 Web 负载服务器分为两三组，一组是德语的，一组是汉语的，另一组是英语。这样七层负载均衡会在你访问其服务器时，自主识别出 URL或是应用层中的语言类别，再选择语言相对合适的负载服务器组来处理你的链接请求。这两者在技术实现上有不同。四层负载均衡来说，以 TCP 协议来举例，当收到一个来自外部客户的 SYN 链接后，Web 负载均衡设备随即通过上面说的工作原理选择一个最合适的负载子服务器，并修改 SYN报文中的目的地址（修改为合适的负载

11、子服务器 IP），之后直接转发报文至该子服务器。TCP 协议的三次握手建立完全是通过外部用户端和负载子服务器直接实现的，Web 负载均衡系统在这里只是转发了首个 SYN 报文，按照作用来说相当于路由器。对于七层负载均衡来说，同样以 TCP 协议来举例，由于要获取应用层的相关数据后才能根据需求选择服务器，所以Web 负载均衡系统一定也只能先和外部客户端建立了三次握手连接后才能获取客户端发送的应用层级别的报文内容，进而才能依据这些内容中的相关字段，配合负载均衡流量分发技术选择将链接转发到哪个负载子服务器。这时 Web 负载均衡系统，按照作用来说更像专用的代理服务器。首先外部客户端会先和 Web 负

12、载均衡系统进行 TCP 连接（三次握手），Web 负载均衡系统在成功获取应用层信息后会和后端负载子服务器再次进行 TCP 连接，将获得的相关信息转发给子服务器，从而实现负载均衡的功能。从上述工作原理上可以得出结论，在对负载均衡设备的性能要求上来说，七层负载均衡显然要比四层负载均衡高出不少。但从负载均衡效率上来说，七层负载均衡却更能高效的抵御 DDoS 攻击。举例来说，DDoS 攻击中的常用手段如 SYN Flood 攻击，攻击者通过主控端控制了大量的代理端同时对一个被攻击端发起 SYN 报文攻击，如无负载均衡系统的干预，被攻击端上的链接资源很快就会被消耗殆尽，使正常的用户无法访问相关资源。这时

13、若使用四层负载均衡系统则这些SYN Flood 攻击流都会被原封不动的转发到后台各个负载均衡子服务器上。但是，七层负载均衡系统的话就会拦下这些SYN 洪攻击流，不再转发至后台子服务器，从而保证了系统的正常运行，也正因为技术层面上的优势，所以对七层负载均衡系统的性能要求也高了很多。5 软件负载均衡 现在很多企业级的业务软件都纷纷提供了负载均衡这个功能，例如 Web 服务器系统软件、数据库系统和 OA 办公系统等。目前很多大型企业通过对这些常用的系统软件进行合理配置，再结合上一节说的四、七层硬件负载均衡系统，来实现软硬件相结合的Web负载均衡。下面是一个使用了Web服务器、中间件和数据库软件的成熟

14、企业级负载均衡系统架构，如图 3 所示。图 3 为以 Web 服务器、中间件和数据库系统为核心的企业系统的软件负载均衡系统。这种方式的优点有三方面。（1）不同服务点的 Web 服务器之间做负载均衡整体优化，在各个服务器之间对来自外部的 Web 链接请求进行平均分配，从而使整个 Web 服务器集群的压力降低。（2）中间件可以帮助 Web 负载均衡系统进行整体应用配置优化，对接收到的 Web 链接请求进行合理分配。（3）各个数据库服务器通过建立 RAC 集群，以防任意一个数据库服务器出现问题时，其他服务器能跟进并完成相关服务，这样有效提高了整个 RAC 集群的工作效率，同时也减轻了上层应用服务器的

15、压力。6 Web 负载均衡在抗 DDos 攻击时发挥的作用 结合硬件负载均衡和常用的负载均衡软件（Web 服务器、中间件、数据库等），我们可以搭建一个软硬件相结合的 Web负载均衡系统来抵御 DDos 攻击。首先在前端根据业务需求部署四层或七层硬件负载均衡产品，然后接入负责调度的 Web 服务器及中间件进行后台数据库的选择。选择四层负载均衡，因为本身硬件负载均衡会像路由器一样转发 DDos 攻击发出的 SYN 请求，所以必须和软件负载均衡协同配合，通过优良的调度平均分担大量的 SYN 攻击，使整个业务系统仍能正常的工作，已达到抗 DDos 攻击的作用。这十分适合对整个系统配置要求不高的业务系统

16、。选择七层负载均衡可以从源头上就抵挡住来自外部的SYN FLOOD 攻击，因为七层负载均衡设备不是直接将 SYN 请求直接发给内部的 Web 服务器及中间件，而是自身与客户端（攻击端）进行通讯连接（三次握手），获得了内容后在与内部服务器通讯连接并返回数据。由此攻击端发出的 SYN FLOOD 攻击在到达七层负载均衡设备后就已经被截断了，应为负载均衡设备返回的 SYN+ACK 报文攻击端是不会做出回应的，从而有效的阻止了 DDos 攻击。当然这必须建立在七层负载均衡本身有强大的抗 DDos 能力之上。这十分适合业务种类多，系统配置较高的业务系统。综上所述，软硬件相结合的 Web 负载均衡确实能起到抗DDos 攻击的作用。7 结束语 本文通过研究 Web 负载均衡、DDos 攻击的技术原理，详细了解了其各自的工作方式；经过综合分析得出了结合软硬件结合的四层、七层负载均衡技术能够有效抵抗 DDos 攻击。