Web负载均衡在抗DDos攻击中的作用.docVIP

　　Web负载均衡在抗DDos攻击中的作用5200字 【 摘 要 】 抗DDos攻击是常见的络攻击手段，在信息安全领域，尤其是商业运作上很受重视，论文通过对mon netation security， they are highly regardedespecially on the commercial operation. Through the study of technical principles Web load balancing and anti DDos attacks，this paper describesthe functions and effects of Web Load Balancing in Anti Distributed Denial of Service Attacks. 　　【 Key。攻击者通过DDoS攻击同样不会攻入被攻击者的系统内部，破坏他的数据。而是利用了互联的架构，通过大量控制代理端对一些访问量大的站点造成络瘫痪的风险，例如证券交易所、银行、大型企业等，对民生保障、公共资源的正常使用造成了极大的威胁。 　　想要实现DDoS 攻击通常都需要几个部分组成，如图1所示。 　　（1）攻击者：攻击的实际发起者，攻击者可以选取互联上任意一台主机或服务器来充当攻击的源头，攻击者操控主控端使其发出攻击命令，从而对整个DDoS攻击进行总体控制。 　　（2）主控端：攻击者一般会控制一定量的主控端，而各个主控端都会再控制大量的代理端，攻击者通过主控端向大量的代理端发出攻击命令。 　　（3）代理端：攻击者通过主控端将攻击程序传到代理端上运行再开始运行，所以代理端才是直接对被攻击端发起攻击的实际发起人。 　　（4）被攻击端：即为受害服务器、主机或者路由器。 　　充分了解了DDos攻击的手段后，我们可以设计一个负载均衡方案来验证负载均衡对于防范DDos攻击确实有着明显的作用。各大银行每天的业务量十分巨大，承受的各种请求服务繁多，服务器之间若是不采用负载均衡系统进行分流数据流量，极易被黑客利用DDos攻击造成各个服务器资源被耗尽从而影响正常业务的开展，造成难以估量的损失。　4 硬件负载均衡 　　目前主流的硬件负载均衡方案有四层负载均衡和七层负载均衡两种。四层负载均衡原理是建立在IP地址和端口号基础上的负载均衡；七层负载均衡原理是建立在URL等方面应用层信息基础上的负载均衡；各个负载均衡服务器在执行负载均衡功能时，根据四层或是七层的原理来确定如何均衡的分配大量的请求链接服务。 　　四层负载均衡。依据IP地址结合相关的端口号，从而就能确定流量数据是否需要做负载均衡处理，之后对被确定要处理的数据流量进行地址转换后，转发至后台子服务器，并记录下这个TCP或者UDP的数据流量是由哪台子服务器处理的，并将之后这个链接的所有数据流量都直接分配到这台子服务器处理。 　　七层负载均衡。在四层IP地址+端口号的基础上，还要关联应用层的特点，就好像一个Web负载均衡系统，除了根据IP地址+端口号来判断流量是否需要负载均衡处理，还要增加七层的URL、地区、语言类别来决定如何更好的进行负载均衡处理。举例来说，假设是的站点的Web负载服务器分为两三组，一组是德语的，一组是汉语的，另一组是英语。这样七层负载均衡会在你访问其服务器时，自主识别出URL或是应用层中的语言类别，再选择语言相对合适的负载服务器组来处理你的链接请求。 　　这两者在技术实现上有不同。 　　四层负载均衡来说，以TCP协议来举例，当收到一个来自外部客户的SYN链接后，Web负载均衡设备随即通过上面说的工作原理选择一个最合适的负载子服务器，并修改SYN报文中的目的地址（修改为合适的负载子服务器IP），之后直接转发报文至该子服务器。TCP协议的三次握手建立完全是通过外部用户端和负载子服务器直接实现的，Web负载均衡系统在这里只是转发了首个SYN报文，按照作用来说相当于路由器。 　　对于七层负载均衡来说，同样以TCP协议来举例，由于要获取应用层的相关数据后才能根据需求选择服务器，所以Web负载均衡系统一定也只能先和外部客户端建立了三次握手连接后才能获取客户端发送的应用层级别的报文内容，进而才能依据这些内容中的相关字段，配合负载均衡流量分发技术选择将链接转发到哪个负载子服务器。这时Web负载均衡系统，按照作用来说更像专用的代理服务器。首先外部客户端会先和Web负载均衡系统进行TCP连接（三次握手），Web负载均衡系统在成功获取应用层信息后会和后端负载子服务器再次进行TCP连接，将获得的相关信息转发给子服务器，从而实现负载均衡的功能。 　　从上述工作原理上可以得出结论，在对负载均衡设备的性能要求上来说，七层负载均衡显然要比四层负载均衡高出不少。但从负载均衡效率上来说，七层负