Web負載均衡在抗DDos攻擊中的作用

【 摘 要 】 抗DDos攻擊是常見的網(wǎng)絡攻擊手段，在信息安全領域，尤其是商業(yè)運作上很受重視，論文通過對Web負載均衡和抗DDos攻擊的技術原理研究，闡述了Web負載均衡在抗DDos攻擊中的作用。

【 關鍵詞 】 負載均衡；抗DDos攻擊

【 Abstract 】 Anti-DDos attacks arecommon network attacks. In the field of information security， they are highly regardedespecially on the commercial operation. Through the study of technical principles Web load balancing and anti DDos attacks，this paper describesthe functions and effects of Web Load Balancing in Anti Distributed Denial of Service Attacks.

【 Keywords 】 load balancing；anti distributed denial of service attacks

1 引言

當前互聯(lián)網(wǎng)的高速發(fā)展讓我們的生活十分便利，但是信息的安全性、可用性以及穩(wěn)定性仍是我們關注的重點。DDos攻擊作為常見的網(wǎng)絡攻擊方式被廣大黑客廣泛使用，已經(jīng)嚴重威脅到了各種互聯(lián)網(wǎng)服務使用的可用性、穩(wěn)定性。Web負載均衡能為現(xiàn)有網(wǎng)絡架構提供多臺服務器，同時提供一個服務，從而極大地增加了系統(tǒng)的穩(wěn)定性與抗風險能力，收到了廣大在線服務商的青睞。本文將介紹DDos攻擊和Web負載均衡的技術原理以及各自的作用。

2 負載均衡

負載均衡（Load Balance）系統(tǒng)是建立于現(xiàn)代互聯(lián)網(wǎng)架構之上，整合多臺高性能服務器集合成一個對應單元，每個高性能服務器都提供相同的服務，都可以獨立對外部網(wǎng)絡提供相關請求鏈接服務。結(jié)合網(wǎng)絡負載信息分發(fā)技術，將外部網(wǎng)絡輸入的鏈接請求均衡的分配到每臺高性能服務器上，且接收到鏈接請求的各個服務器也都各自回應外部網(wǎng)絡客戶的服務請求。

負載均衡技術提供了一種簡單、高效且對使用者來說透明的方法，提高了服務器的應用帶寬、數(shù)據(jù)吞吐量，使用該技術的網(wǎng)絡系統(tǒng)的請求數(shù)據(jù)處理能力以及整個網(wǎng)絡的可擴容性、靈活性都大幅提高。網(wǎng)絡負載信息分發(fā)技術能夠平均分配的請求鏈接到各個服務器，這樣可以快速的獲取所需數(shù)據(jù)，同一時刻處理大量并發(fā)鏈接訪問服務的請求。

通常普通級別服務器數(shù)據(jù)處理的能力最多只能答復每秒數(shù)十萬個鏈接請求，如只用少量的幾臺這種服務器則整個網(wǎng)絡的處理能力就受到了限制。但要是使用較多數(shù)量的這種服務器，并通過網(wǎng)絡負載信息分發(fā)技術將鏈接請求均衡分配到各個單獨服務器，如此整個服務器系統(tǒng)就可以處理每秒上千萬甚至更多的鏈接請求。以上就是負載均衡技術體系的基本思想。

隨著現(xiàn)代互聯(lián)網(wǎng)的高速發(fā)展負載均衡的的意義也更加重要。首先，它的設計本身就為提高大量并發(fā)的Web訪問服務請求做出了貢獻；其次，節(jié)約大量成本，通過若干臺性能相對普通的服務器組成的“團隊”實現(xiàn)了昂貴的大型高性能服務器才能達到的性能需求；第三，實現(xiàn)了可持續(xù)的網(wǎng)絡服務發(fā)展。隨著計算機技術日新月異的發(fā)展，今天的高性能設備，數(shù)年之后可能就已經(jīng)顯得捉襟見肘了，大量的使用負載均衡技術會有效彌補這個問題以便擴容整個負載網(wǎng)絡。

3 DDos攻擊

DoS（Denial of Service）攻擊就是拒絕服務攻擊，它的意圖是使服務器或者網(wǎng)絡系統(tǒng)不能提供正常的網(wǎng)絡鏈接服務。攻擊者通過使用主動的網(wǎng)絡流量攻擊，而不是傳統(tǒng)的入侵到相關服務器或是主機中竊取、破壞數(shù)據(jù)來達到攻擊的目的。DoS攻擊的發(fā)起者并不會在攻擊中獲得任何直接利益，但是這種DoS攻擊會使服務器及網(wǎng)絡的資源無法被用戶使用，進而導致正常的業(yè)務使用者不能得到及時的鏈接服務反饋，最后使網(wǎng)絡服務提供商及業(yè)務使用者收到巨大的損失，特別是在金融公司、銀行這類對信息及時性要求很高的行業(yè)。

DoS攻擊的主攻對象是網(wǎng)絡連接和網(wǎng)絡帶寬。攻擊者使用洪攻擊技術，通過發(fā)出大量服務請求鏈接來消耗主機和網(wǎng)絡資源，使得真正需要的用戶無法及時正常訪問資源，致使資源訪問效率極其低下。DoS攻擊逐漸發(fā)展成了DDoS攻擊，這種攻擊同時使用多臺服務器對目標主機發(fā)動聯(lián)動的DoS攻擊。

常規(guī)DoS攻擊以一對一的關系由攻擊端對被攻擊端進行DoS攻擊，而DDoS攻擊則利用了服務器/客戶端機制，使攻擊端與被攻擊端的關系變?yōu)镹對M。攻擊者通過DDoS攻擊同樣不會攻入被攻擊者的系統(tǒng)內(nèi)部，破壞他的數(shù)據(jù)。而是利用了互聯(lián)網(wǎng)的架構，通過大量控制代理端對一些訪問量大的站點造成網(wǎng)絡癱瘓的風險，例如證券交易所、銀行、大型企業(yè)等，對民生保障、公共資源的正常使用造成了極大的威脅。

想要實現(xiàn)DDoS 攻擊通常都需要幾個部分組成，如圖1所示。

（1）攻擊者：攻擊的實際發(fā)起者，攻擊者可以選取互聯(lián)網(wǎng)上任意一臺主機或服務器來充當攻擊的源頭，攻擊者操控主控端使其發(fā)出攻擊命令，從而對整個DDoS攻擊進行總體控制。

（2）主控端：攻擊者一般會控制一定量的主控端，而各個主控端都會再控制大量的代理端，攻擊者通過主控端向大量的代理端發(fā)出攻擊命令。

（3）代理端：攻擊者通過主控端將攻擊程序傳到代理端上運行再開始運行，所以代理端才是直接對被攻擊端發(fā)起攻擊的實際發(fā)起人。

（4）被攻擊端：即為受害服務器、主機或者路由器。

充分了解了DDos攻擊的手段后，我們可以設計一個負載均衡方案來驗證負載均衡對于防范DDos攻擊確實有著明顯的作用。各大銀行每天的業(yè)務量十分巨大，承受的各種請求服務繁多，服務器之間若是不采用負載均衡系統(tǒng)進行分流數(shù)據(jù)流量，極易被黑客利用DDos攻擊造成各個服務器資源被耗盡從而影響正常業(yè)務的開展，造成難以估量的損失。

4 硬件負載均衡

目前主流的硬件負載均衡方案有四層負載均衡和七層負載均衡兩種。四層負載均衡原理是建立在IP地址和端口號基礎上的負載均衡；七層負載均衡原理是建立在URL等方面應用層信息基礎上的負載均衡；各個負載均衡服務器在執(zhí)行負載均衡功能時，根據(jù)四層或是七層的原理來確定如何均衡的分配大量的請求鏈接服務。

四層負載均衡。依據(jù)IP地址結(jié)合相關的端口號，從而就能確定流量數(shù)據(jù)是否需要做負載均衡處理，之后對被確定要處理的數(shù)據(jù)流量進行地址轉(zhuǎn)換后，轉(zhuǎn)發(fā)至后臺子服務器，并記錄下這個TCP或者UDP的數(shù)據(jù)流量是由哪臺子服務器處理的，并將之后這個鏈接的所有數(shù)據(jù)流量都直接分配到這臺子服務器處理。

七層負載均衡。在四層IP地址+端口號的基礎上，還要關聯(lián)應用層的特點，就好像一個Web負載均衡系統(tǒng)，除了根據(jù)IP地址+端口號來判斷流量是否需要負載均衡處理，還要增加七層的URL、地區(qū)、語言類別來決定如何更好的進行負載均衡處理。舉例來說，假設是的站點的Web負載服務器分為兩三組，一組是德語的，一組是漢語的，另一組是英語。這樣七層負載均衡會在你訪問其服務器時，自主識別出URL或是應用層中的語言類別，再選擇語言相對合適的負載服務器組來處理你的鏈接請求。

這兩者在技術實現(xiàn)上有不同。

四層負載均衡來說，以TCP協(xié)議來舉例，當收到一個來自外部客戶的SYN鏈接后，Web負載均衡設備隨即通過上面說的工作原理選擇一個最合適的負載子服務器，并修改SYN報文中的目的地址（修改為合適的負載子服務器IP），之后直接轉(zhuǎn)發(fā)報文至該子服務器。TCP協(xié)議的三次握手建立完全是通過外部用戶端和負載子服務器直接實現(xiàn)的，Web負載均衡系統(tǒng)在這里只是轉(zhuǎn)發(fā)了首個SYN報文，按照作用來說相當于路由器。

對于七層負載均衡來說，同樣以TCP協(xié)議來舉例，由于要獲取應用層的相關數(shù)據(jù)后才能根據(jù)需求選擇服務器，所以Web負載均衡系統(tǒng)一定也只能先和外部客戶端建立了三次握手連接后才能獲取客戶端發(fā)送的應用層級別的報文內(nèi)容，進而才能依據(jù)這些內(nèi)容中的相關字段，配合負載均衡流量分發(fā)技術選擇將鏈接轉(zhuǎn)發(fā)到哪個負載子服務器。這時Web負載均衡系統(tǒng)，按照作用來說更像專用的代理服務器。首先外部客戶端會先和Web負載均衡系統(tǒng)進行TCP連接（三次握手），Web負載均衡系統(tǒng)在成功獲取應用層信息后會和后端負載子服務器再次進行TCP連接，將獲得的相關信息轉(zhuǎn)發(fā)給子服務器，從而實現(xiàn)負載均衡的功能。

從上述工作原理上可以得出結(jié)論，在對負載均衡設備的性能要求上來說，七層負載均衡顯然要比四層負載均衡高出不少。但從負載均衡效率上來說，七層負載均衡卻更能高效的抵御DDoS攻擊。舉例來說，DDoS攻擊中的常用手段如SYN Flood攻擊，攻擊者通過主控端控制了大量的代理端同時對一個被攻擊端發(fā)起SYN報文攻擊，如無負載均衡系統(tǒng)的干預，被攻擊端上的鏈接資源很快就會被消耗殆盡，使正常的用戶無法訪問相關資源。這時若使用四層負載均衡系統(tǒng)則這些SYN Flood攻擊流都會被原封不動的轉(zhuǎn)發(fā)到后臺各個負載均衡子服務器上。但是，七層負載均衡系統(tǒng)的話就會攔下這些SYN洪攻擊流，不再轉(zhuǎn)發(fā)至后臺子服務器，從而保證了系統(tǒng)的正常運行，也正因為技術層面上的優(yōu)勢，所以對七層負載均衡系統(tǒng)的性能要求也高了很多。

5 軟件負載均衡

現(xiàn)在很多企業(yè)級的業(yè)務軟件都紛紛提供了負載均衡這個功能，例如Web服務器系統(tǒng)軟件、數(shù)據(jù)庫系統(tǒng)和OA辦公系統(tǒng)等。目前很多大型企業(yè)通過對這些常用的系統(tǒng)軟件進行合理配置，再結(jié)合上一節(jié)說的四、七層硬件負載均衡系統(tǒng)，來實現(xiàn)軟硬件相結(jié)合的Web負載均衡。下面是一個使用了Web服務器、中間件和數(shù)據(jù)庫軟件的成熟企業(yè)級負載均衡系統(tǒng)架構，如圖3所示。

圖3為以Web服務器、中間件和數(shù)據(jù)庫系統(tǒng)為核心的企業(yè)系統(tǒng)的軟件負載均衡系統(tǒng)。這種方式的優(yōu)點有三方面。

（1）不同服務點的Web服務器之間做負載均衡整體優(yōu)化，在各個服務器之間對來自外部的Web鏈接請求進行平均分配，從而使整個Web服務器集群的壓力降低。

（2）中間件可以幫助Web負載均衡系統(tǒng)進行整體應用配置優(yōu)化，對接收到的Web鏈接請求進行合理分配。

（3）各個數(shù)據(jù)庫服務器通過建立RAC集群，以防任意一個數(shù)據(jù)庫服務器出現(xiàn)問題時，其他服務器能跟進并完成相關服務，這樣有效提高了整個RAC集群的工作效率，同時也減輕了上層應用服務器的壓力。

6 Web負載均衡在抗DDos攻擊時發(fā)揮的作用

結(jié)合硬件負載均衡和常用的負載均衡軟件（Web服務器、中間件、數(shù)據(jù)庫等），我們可以搭建一個軟硬件相結(jié)合的Web負載均衡系統(tǒng)來抵御DDos攻擊。

首先在前端根據(jù)業(yè)務需求部署四層或七層硬件負載均衡產(chǎn)品，然后接入負責調(diào)度的Web服務器及中間件進行后臺數(shù)據(jù)庫的選擇。

選擇四層負載均衡，因為本身硬件負載均衡會像路由器一樣轉(zhuǎn)發(fā)DDos攻擊發(fā)出的SYN請求，所以必須和軟件負載均衡協(xié)同配合，通過優(yōu)良的調(diào)度平均分擔大量的SYN攻擊，使整個業(yè)務系統(tǒng)仍能正常的工作，已達到抗DDos攻擊的作用。這十分適合對整個系統(tǒng)配置要求不高的業(yè)務系統(tǒng)。

選擇七層負載均衡可以從源頭上就抵擋住來自外部的SYN FLOOD攻擊，因為七層負載均衡設備不是直接將SYN請求直接發(fā)給內(nèi)部的Web服務器及中間件，而是自身與客戶端（攻擊端）進行通訊連接（三次握手），獲得了內(nèi)容后在與內(nèi)部服務器通訊連接并返回數(shù)據(jù)。由此攻擊端發(fā)出的SYN FLOOD攻擊在到達七層負載均衡設備后就已經(jīng)被截斷了，應為負載均衡設備返回的SYN+ACK報文攻擊端是不會做出回應的，從而有效的阻止了DDos攻擊。當然這必須建立在七層負載均衡本身有強大的抗DDos能力之上。這十分適合業(yè)務種類多，系統(tǒng)配置較高的業(yè)務系統(tǒng)。

綜上所述，軟硬件相結(jié)合的Web負載均衡確實能起到抗DDos攻擊的作用。

7 結(jié)束語

本文通過研究Web負載均衡、DDos攻擊的技術原理，詳細了解了其各自的工作方式；經(jīng)過綜合分析得出了結(jié)合軟硬件結(jié)合的四層、七層負載均衡技術能夠有效抵抗DDos攻擊。

參考文獻

[1] 李云鶴，武善玉，宴振鳴.基于DDOS防范的負載均衡群集設計與實現(xiàn)[J].電腦知識與技術（學術交流），2007（18）.

[2] 莊建兒.淺析網(wǎng)絡DDoS攻擊與治理[J].通訊世界，2015（01） .

[3] 羅擁軍，李曉樂，孫如祥.負載均衡算法綜述[J].科技情報開發(fā)與經(jīng)濟，2008（23）.

[4] 楊磊，郭慶平.負載均衡技術分析及LVS實現(xiàn)[J].武漢理工大學學報（交通科學與工程版），2004（01）.

作者簡介：

嚴文卿（1989-），男，漢族，上海人，畢業(yè)于華東師范大學，碩士，公安部第三研究所，研究實習員；主要研究方向和關注領域：信息安全、互聯(lián)網(wǎng)安全。