申请/专利权人：国云科技股份有限公司

申请日：2016-11-22

公开（公告）日：2020-05-22

公开（公告）号：CN106789892B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101);H04L29/08(20060101)

优先权：

专利状态码：有效-授权

法律状态：2020.05.22#授权;2017.06.23#实质审查的生效;2017.05.31#公开

摘要：本发明涉及云平台安全领域，特别是一种云平台通用的防御分布式拒绝服务攻击的方法。本发明首先虚拟机挂载基于虚拟路由创建的虚拟网卡；接着云平台自动添加公共防御规则、物理机专属防御规则、虚拟机专属防御规则；然后物理机或虚拟你在使用的过程中，受到外部或者内部发起分布式拒绝服务攻击，当攻击发送超过一定的数量包，丢弃非法请求包；用户正常访问物理机或虚拟机。本发明解决了外网分布式拒绝服务攻击、局域网防御成本高、同一个宿主机的虚拟机相互攻击无法防御、防御方法不够通用等问题，可应用于云平台安全控制。

主权项：1.一种云平台通用的防御分布式拒绝服务攻击的方法，其特征在于，包括如下步骤：步骤1：虚拟机挂载基于虚拟路由创建的虚拟网卡；步骤2：添加公共防御规则、物理机专属防御规则、虚拟机专属防御规则；步骤3：物理机或虚拟机在使用的过程中，受到外部或者内部发起分布式拒绝服务攻击，当攻击发送超过一定的数量包，丢弃非法请求包；步骤4：用户正常访问物理机或虚拟机；所述的步骤2中添加公共防御规则，具体是指云平台自动在Iptables的指定PREROUTING链添加单位时间发送UDP协议包、新建TCP连接和重建TCP连接数量限制规则；所述的Iptables，是一种IP信息包过滤系统，也是一种软件防火墙，可以防御非法IP包请求，Iptables的包过滤顺序是PREROUTING链过滤-分类发送-INPUT链FORWARD链过滤；所述的PREROUTING链过滤，是指进入PREROUTING链的IP包，在IP包被修改之前，就丢弃不符合要求的IP包请求，可设置某个地址单位时间发送UDP协议包超过数量限制、新建连接超过数量限制、重连次数超过数量限制；所述的分类发送，是指INPUT链收到的IP包是发送到本机的包，也是发送给物理机的包，每个包请求先进入PREROUTING链的过滤，再进入INPUT链，若在PREROUTING链丢弃的包，不会进入INPUT链过滤，FORWARD链收到的IP包不是发给物理机的包，实则是发送给宿主机上所有虚拟机或虚拟路由的包；所述的步骤2中添加物理机专属防御规则，具体是指云平台自动在Iptables的INPUT链添加每个IP包的连接数总上限，并且优先级是INPUT链中最高的规则，可设置为匹配发送给物理机的IP包，若该IP包超过连接数总上限就丢弃，物理机的IP包连接数总上限不能在PREROUTING链生效，选择在INPUT链；所述的步骤2中添加虚拟机专属防御规则，具体是指云平台自动在宿主机Iptables的FORWARD链添加每个IP包的连接数总上限，并且优先级是FORWARD链中最高的规则，可设置为匹配发送给虚拟机的IP包，若该IP包超过连接数总上限就丢弃，虚拟机IP包连接数总上限不能在PREROUTING链生效，选择在FORWARD链。

全文数据：一种云平台通用的防御分布式拒绝服务攻击的方法技术领域[0001]本发明涉及云平台安全领域，特别是一种云平台通用的防御分布式拒绝服务攻击的方法。背景技术[0002]—般的公有云计算平台上有多个计算节点，而每个计算节点上都有多个正在运行的虚拟机，每个虚拟机上都可能允许了一个或多个应用程序，由于许多物理机和虚拟机都连通外部网络或多个局域网，这样会带来以下隐患：[0003]—是物理机或者虚拟机容易外部网络受到分布式拒绝服务攻击，导致应用程序服务异常。[0004]二是物理机或虚拟机被非法操作之后，发起内部分布式拒绝服务攻击，导致整个局域网的物理机和虚拟机都出现异常。一般机房都只部署一台防火墙设备，用来防御外部分布式拒绝服务攻击，而每个局域网都安装硬件防火墙的成本非常高昂，导致无法防御内部的分布式拒绝服务攻击。[0005]三是虚拟机发送分布式拒绝服务攻击给同一个宿主机上的另外一台虚拟机时候，不经过硬件防火墙，这种请求防不胜防。[0006]四是不同厂商的硬件防火墙配置复杂，工作效率低。发明内容[0007]本发明提供一种云平台通用的防御分布式拒绝服务攻击的方法，解决了外网分布式拒绝服务攻击、局域网防御成本高、同一个宿主机的虚拟机相互攻击无法防御、防御方法不够通用等问题，提供较低成本的防御方法。[0008]本发明解决上述技术问题的技术方案是，包括如下步骤：[0009]步骤1:虚拟机挂载基于虚拟路由创建的虚拟网卡；[0010]步骤2:添加公共防御规则，物理机专属防御规则，虚拟机专属防御规则；[0011]步骤3:物理机或虚拟机在使用的过程中，受到外部或者内部发起分布式拒绝服务攻击，当攻击发送超过一定的数量包，丢弃非法请求包；[0012]步骤4:用户正常访问物理机或虚拟机。[0013]所述的步骤1，具体是指基于虚拟路由创建的虚拟网卡，挂载到虚拟机上使用。[0014]所述的步骤2中添加公共防御规则，具体是指云平台自动在Iptables的指定PREROUTING链添加单位时间发送UDP协议包、新建TCP连接和重建TCP连接数量限制规则；[0015]所述的Iptables，是一种IP信息包过滤系统，也是一种软件防火墙，可以防御非法IP包请求，Iptables的包过滤顺序是PREROUTING链过滤-分类发送-INPUT链FORWARD链过滤；[0016]所述的PREROUTING链过滤，是指进入PREROUTING链的IP包，在IP包被修改之前，就丢弃不符合要求的IP包请求，可设置为某个地址单位时间发送UDP协议包超过数量限制、新建连接超过数量限制、重连次数超过数量限制等；[0017]所述的分类发送，是指INPUT链收到的IP包是发送到本机的包，也是发送给物理机的包，每个包请求先进入PREROUTING链的过滤，再进入INPUT链，若在PREROUTING链丢弃的包，不会进入INPUT链过滤，FORWARD链收到的IP包不是发给物理机的包，实则是发送给宿主机上所有虚拟机或虚拟路由的包。[0018]所述的步骤2中添加物理机专属防御规则，具体是指云平台自动在Iptables的INPUT链添加每个IP的连接数总上限，并且优先级是INPUT链中最高的规则，可设置为匹配发送给物理机的IP包，若该IP包超过总连接上限就丢弃，物理机IP包连接数总上限不能在PREROUTING链生效，选择在INPUT链。[0019]所述的步骤2中添加虚拟机专属防御规则，具体是指云平台自动在宿主机Iptab1es的FORWARD链添加每个IP的连接数总上限，并且优先级是FORWARD链中最高的规贝1J，可设置为匹配发送给虚拟机的IP包，若该IP包超过总连接上限就丢弃，虚拟机IP包连接数总上限不能在PREROUTING链生效，选择在FORWARD链。[0020]所述步骤3,具体是指物理机或虚拟机在使用的过程中受到分布式拒绝服务攻击，Iptables单位时间收到某IP地址发送大量的UDP协议包、新建TCP连接、重建TCP连接等IP包请求，超过匹配防御规则，丢弃该IP地址发送的包请求。[0021]所述的步骤4,具体是指用户正常访问物理机或虚拟机的IP包不受影响。[0022]本发明方案的有益效果如下：[0023]1、本发明的方法是云平台自动通过Iptables软件防火墙配置规则，区别于一般需要人工配置的硬件的防火墙。[0024]2、本发明的方法是云平台通用的防御方法，区别于一般不能同时防御物理机和虚拟机分布式拒绝服务攻击的方法。[0025]3、本发明的方法只需要在宿主机上设置一次，不需要重复设置，也不需要在虚拟机上设置，区域于一般需要多次设置或需要到虚拟机上设置的方法。附图说明[0026]下面结合附图对本发明进一步说明：[0027]图1为流程图。[0028]图2为本发明软件防火墙逻辑结构图。具体实施方式[0029]本发明的实施方式有多种，这里以云平台为例说明其中一种实现方法，流程图如图1所示，具体实施过程如下[0030]1、虚拟机挂载基于虚拟路由创建的虚拟网卡，代码如下：[0035]3、添加物理机专属防御规则，代码如下：[0036][0040]5、物理机或虚拟你在使用的过程中，受到外部或者内部发起分布式拒绝服务攻击；[0041]6、当攻击发送超过一定的数量包，丢弃非法请求包；[0042]7、用户正常访问物理机或虚拟机不受影响。[0043]整个流程结束。[0044]图2为本发明软件防火墙逻辑结构图，对流程具体实现进行描述：[0045]Iptables的包过滤顺序是PREROUTING链过滤-分类发送-INPUT链FORWARD链过滤，云平台自动在Iptables的指定PREROUTING链添加单位时间发送UDP协议包、新建TCP连接和重建TCP连接数量限制规则，进入PREROUTING链的IP包，在IP包被修改之前，就丢弃不符合要求的IP包请求，如某个地址单位时间发送UDP协议包超过数量限制、新建连接超过数量限制、重连次数超过数量限制等;PREROUTING链过滤后，需发送到本机的包，也是发送给物理机的包发送到INPUT链，每个包请求都是先进入PREROUTING链的过滤，再进入INPUT链，若在PREROUTING链丢弃的包，不会进入INPUT链过滤，需发送给宿主机上所有虚拟机或虚拟路由的包则发送到FORWARD链。[0046]云平台自动在Iptables的INHJT链添加每个IP的连接数总上限，并且优先级是INPUT链中最高的规则，物理机IP包连接数总上限不能在PREROUTING链生效，选择在INPUT链，进入INPUT链的IP包，则需匹配发送给物理机的IP包，若该IP包超过总连接上限就丢弃，过滤后发送到物理机上的应用程序。[0047]云平台自动在宿主机Iptables的FORWARD链添加每个IP的连接数总上限，并且优先级是FORWARD链中最高的规则，虚拟机IP包连接数总上限不能在PREROUTING链生效，选择在FORWARD链，进入FORWARD链的IP包，则需匹配发送给虚拟机的IP包，若该IP包超过总连接上限就丢弃，过滤后发送到虚拟机上的应用程序。

权利要求：1.一种云平台通用的防御分布式拒绝服务攻击的方法，其特征在于，包括如下步骤：步骤1:虚拟机挂载基于虚拟路由创建的虚拟网卡；步骤2:添加公共防御规则、物理机专属防御规则、虚拟机专属防御规则；步骤3:物理机或虚拟机在使用的过程中，受到外部或者内部发起分布式拒绝服务攻击，当攻击发送超过一定的数量包，丢弃非法请求包；步骤4:用户正常访问物理机或虚拟机。2.根据权利要求1所述的方法，其特征在于，所述的步骤1，具体是指基于虚拟路由创建的虚拟网卡，挂载到虚拟机上使用。3.根据权利要求1所述的方法，其特征在于，所述的步骤2中添加公共防御规则，具体是指云平台自动在Iptables的指定PREROUTING链添加单位时间发送UDP协议包、新建TCP连接和重建TCP连接数量限制规则；所述的Iptables，是一种IP信息包过滤系统，也是一种软件防火墙，可以防御非法IP包请求，Iptables的包过滤顺序是PREROUTING链过滤_分类发送-INPUT链FORWARD链过滤；所述的PREROUTING链过滤，是指进入PREROUTING链的IP包，在IP包被修改之前，就丢弃不符合要求的IP包请求，可设置某个地址单位时间发送UDP协议包超过数量限制、新建连接超过数量限制、重连次数超过数量限制等；所述的分类发送，是指INPUT链收到的IP包是发送到本机的包，也是发送给物理机的包，每个包请求先进入PREROUTING链的过滤，再进入INPUT链，若在PREROUTING链丢弃的包，不会进入INPUT链过滤，FORWARD链收到的IP包不是发给物理机的包，实则是发送给宿主机上所有虚拟机或虚拟路由的包。4.根据权利要求2所述的方法，其特征在于，所述的步骤2中添加物理机专属防御规则，具体是指云平台自动在Iptables的INPUT链添加每个IP的连接数总上限，并且优先级是INPUT链中最高的规则，可设置为匹配发送给物理机的IP包，若该IP包超过总连接上限就丢弃，物理机IP包连接数总上限不能在PREROUTING链生效，选择在INPUT链。5.根据权利要求1至4任一项所述的方法，其特征在于，所述的步骤2中添加物理机专属防御规则，具体是指云平台自动在Iptables的INPUT链添加每个IP的连接数总上限，并且优先级是INPUT链中最高的规则，可设置为匹配发送给物理机的IP包，若该IP包超过总连接上限就丢弃，物理机IP包连接数总上限不能在PREROUTING链生效，选择在INPUT链。6.根据权利要求1至4任一项所述的方法，其特征在于，所述的步骤2中添加虚拟机专属防御规则，具体是指云平台自动在宿主机Iptables的FORWARD链添加每个IP的连接数总上限，并且优先级是FORWARD链中最高的规则，可设置为匹配发送给虚拟机的IP包，若该IP包超过总连接上限就丢弃，虚拟机IP包连接数总上限不能在PREROUTING链生效，选择在FORWARD链。7.根据权利要求5所述的方法，其特征在于，所述的步骤2中添加虚拟机专属防御规则，具体是指云平台自动在宿主机Iptables的FORWARD链添加每个IP的连接数总上限，并且优先级是FORWARD链中最高的规则，可设置为匹配发送给虚拟机的IP包，若该IP包超过总连接上限就丢弃，虚拟机IP包连接数总上限不能在PREROUTING链生效，选择在FORWARD链。8.根据权利要求1至4任一项所述的方法，其特征在于，所述步骤3,具体是指物理机或虚拟机在使用的过程中受到分布式拒绝服务攻击，Iptables单位时间收到某IP地址发送大量的UDP协议包、新建TCP连接、重建TCP连接等IP包请求，超过匹配防御规则，丢弃该IP地址发送的包请求；所述的步骤4,具体是指用户正常访问物理机或虚拟机的IP包不受影响。9.根据权利要求5所述的方法，其特征在于，所述步骤3，具体是指物理机或虚拟机在使用的过程中受到分布式拒绝服务攻击，Iptables单位时间收到某IP地址发送大量的UDP协议包、新建TCP连接、重建TCP连接等IP包请求，超过匹配防御规则，丢弃该IP地址发送的包请求；所述的步骤4,具体是指用户正常访问物理机或虚拟机的IP包不受影响。10.根据权利要求7所述的方法，其特征在于，所述步骤3，具体是指物理机或虚拟机在使用的过程中受到分布式拒绝服务攻击，Iptables单位时间收到某IP地址发送大量的UDP协议包、新建TCP连接、重建TCP连接等IP包请求，超过匹配防御规则，丢弃该IP地址发送的包请求；所述的步骤4,具体是指用户正常访问物理机或虚拟机的IP包不受影响。

百度查询： 国云科技股份有限公司 一种云平台通用的防御分布式拒绝服务攻击的方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD