Web负载均衡在抗DDos攻击中的作用

【 摘 要 】 抗DDos攻击是常见的网络攻击手段，在信息安全领域，尤其是商业运作上很受重视，论文通过对Web负载均衡和抗DDos攻击的技术原理研究，阐述了Web负载均衡在抗DDos攻击中的作用。

【 关键词 】 负载均衡；抗DDos攻击

【 Abstract 】 Anti-DDos attacks arecommon network attacks. In the field of information security， they are highly regardedespecially on the commercial operation. Through the study of technical principles Web load balancing and anti DDos attacks，this paper describesthe functions and effects of Web Load Balancing in Anti Distributed Denial of Service Attacks.

【 Keywords 】 load balancing；anti distributed denial of service attacks

1 引言

当前互联网的高速发展让我们的生活十分便利，但是信息的安全性、可用性以及稳定性仍是我们关注的重点。DDos攻击作为常见的网络攻击方式被广大黑客广泛使用，已经严重威胁到了各种互联网服务使用的可用性、稳定性。Web负载均衡能为现有网络架构提供多台服务器，同时提供一个服务，从而极大地增加了系统的稳定性与抗风险能力，收到了广大在线服务商的青睐。本文将介绍DDos攻击和Web负载均衡的技术原理以及各自的作用。

2 负载均衡

负载均衡（Load Balance）系统是建立于现代互联网架构之上，整合多台高性能服务器集合成一个对应单元，每个高性能服务器都提供相同的服务，都可以独立对外部网络提供相关请求链接服务。结合网络负载信息分发技术，将外部网络输入的链接请求均衡的分配到每台高性能服务器上，且接收到链接请求的各个服务器也都各自回应外部网络客户的服务请求。

负载均衡技术提供了一种简单、高效且对使用者来说透明的方法，提高了服务器的应用带宽、数据吞吐量，使用该技术的网络系统的请求数据处理能力以及整个网络的可扩容性、灵活性都大幅提高。网络负载信息分发技术能够平均分配的请求链接到各个服务器，这样可以快速的获取所需数据，同一时刻处理大量并发链接访问服务的请求。

通常普通级别服务器数据处理的能力最多只能答复每秒数十万个链接请求，如只用少量的几台这种服务器则整个网络的处理能力就受到了限制。但要是使用较多数量的这种服务器，并通过网络负载信息分发技术将链接请求均衡分配到各个单独服务器，如此整个服务器系统就可以处理每秒上千万甚至更多的链接请求。以上就是负载均衡技术体系的基本思想。

随着现代互联网的高速发展负载均衡的的意义也更加重要。首先，它的设计本身就为提高大量并发的Web访问服务请求做出了贡献；其次，节约大量成本，通过若干台性能相对普通的服务器组成的“团队”实现了昂贵的大型高性能服务器才能达到的性能需求；第三，实现了可持续的网络服务发展。随着计算机技术日新月异的发展，今天的高性能设备，数年之后可能就已经显得捉襟见肘了，大量的使用负载均衡技术会有效弥补这个问题以便扩容整个负载网络。

3 DDos攻击

DoS（Denial of Service）攻击就是拒绝服务攻击，它的意图是使服务器或者网络系统不能提供正常的网络链接服务。攻击者通过使用主动的网络流量攻击，而不是传统的入侵到相关服务器或是主机中窃取、破坏数据来达到攻击的目的。DoS攻击的发起者并不会在攻击中获得任何直接利益，但是这种DoS攻击会使服务器及网络的资源无法被用户使用，进而导致正常的业务使用者不能得到及时的链接服务反馈，最后使网络服务提供商及业务使用者收到巨大的损失，特别是在金融公司、银行这类对信息及时性要求很高的行业。

DoS攻击的主攻对象是网络连接和网络带宽。攻击者使用洪攻击技术，通过发出大量服务请求链接来消耗主机和网络资源，使得真正需要的用户无法及时正常访问资源，致使资源访问效率极其低下。DoS攻击逐渐发展成了DDoS攻击，这种攻击同时使用多台服务器对目标主机发动联动的DoS攻击。

常规DoS攻击以一对一的关系由攻击端对被攻击端进行DoS攻击，而DDoS攻击则利用了服务器/客户端机制，使攻击端与被攻击端的关系变为N对M。攻击者通过DDoS攻击同样不会攻入被攻击者的系统内部，破坏他的数据。而是利用了互联网的架构，通过大量控制代理端对一些访问量大的站点造成网络瘫痪的风险，例如证券交易所、银行、大型企业等，对民生保障、公共资源的正常使用造成了极大的威胁。

想要实现DDoS 攻击通常都需要几个部分组成，如图1所示。

（1）攻击者：攻击的实际发起者，攻击者可以选取互联网上任意一台主机或服务器来充当攻击的源头，攻击者操控主控端使其发出攻击命令，从而对整个DDoS攻击进行总体控制。

（2）主控端：攻击者一般会控制一定量的主控端，而各个主控端都会再控制大量的代理端，攻击者通过主控端向大量的代理端发出攻击命令。

（3）代理端：攻击者通过主控端将攻击程序传到代理端上运行再开始运行，所以代理端才是直接对被攻击端发起攻击的实际发起人。

（4）被攻击端：即为受害服务器、主机或者路由器。

充分了解了DDos攻击的手段后，我们可以设计一个负载均衡方案来验证负载均衡对于防范DDos攻击确实有着明显的作用。各大银行每天的业务量十分巨大，承受的各种请求服务繁多，服务器之间若是不采用负载均衡系统进行分流数据流量，极易被黑客利用DDos攻击造成各个服务器资源被耗尽从而影响正常业务的开展，造成难以估量的损失。

4 硬件负载均衡

目前主流的硬件负载均衡方案有四层负载均衡和七层负载均衡两种。四层负载均衡原理是建立在IP地址和端口号基础上的负载均衡；七层负载均衡原理是建立在URL等方面应用层信息基础上的负载均衡；各个负载均衡服务器在执行负载均衡功能时，根据四层或是七层的原理来确定如何均衡的分配大量的请求链接服务。

四层负载均衡。依据IP地址结合相关的端口号，从而就能确定流量数据是否需要做负载均衡处理，之后对被确定要处理的数据流量进行地址转换后，转发至后台子服务器，并记录下这个TCP或者UDP的数据流量是由哪台子服务器处理的，并将之后这个链接的所有数据流量都直接分配到这台子服务器处理。

七层负载均衡。在四层IP地址+端口号的基础上，还要关联应用层的特点，就好像一个Web负载均衡系统，除了根据IP地址+端口号来判断流量是否需要负载均衡处理，还要增加七层的URL、地区、语言类别来决定如何更好的进行负载均衡处理。举例来说，假设是的站点的Web负载服务器分为两三组，一组是德语的，一组是汉语的，另一组是英语。这样七层负载均衡会在你访问其服务器时，自主识别出URL或是应用层中的语言类别，再选择语言相对合适的负载服务器组来处理你的链接请求。

这两者在技术实现上有不同。

四层负载均衡来说，以TCP协议来举例，当收到一个来自外部客户的SYN链接后，Web负载均衡设备随即通过上面说的工作原理选择一个最合适的负载子服务器，并修改SYN报文中的目的地址（修改为合适的负载子服务器IP），之后直接转发报文至该子服务器。TCP协议的三次握手建立完全是通过外部用户端和负载子服务器直接实现的，Web负载均衡系统在这里只是转发了首个SYN报文，按照作用来说相当于路由器。

对于七层负载均衡来说，同样以TCP协议来举例，由于要获取应用层的相关数据后才能根据需求选择服务器，所以Web负载均衡系统一定也只能先和外部客户端建立了三次握手连接后才能获取客户端发送的应用层级别的报文内容，进而才能依据这些内容中的相关字段，配合负载均衡流量分发技术选择将链接转发到哪个负载子服务器。这时Web负载均衡系统，按照作用来说更像专用的代理服务器。首先外部客户端会先和Web负载均衡系统进行TCP连接（三次握手），Web负载均衡系统在成功获取应用层信息后会和后端负载子服务器再次进行TCP连接，将获得的相关信息转发给子服务器，从而实现负载均衡的功能。

从上述工作原理上可以得出结论，在对负载均衡设备的性能要求上来说，七层负载均衡显然要比四层负载均衡高出不少。但从负载均衡效率上来说，七层负载均衡却更能高效的抵御DDoS攻击。举例来说，DDoS攻击中的常用手段如SYN Flood攻击，攻击者通过主控端控制了大量的代理端同时对一个被攻击端发起SYN报文攻击，如无负载均衡系统的干预，被攻击端上的链接资源很快就会被消耗殆尽，使正常的用户无法访问相关资源。这时若使用四层负载均衡系统则这些SYN Flood攻击流都会被原封不动的转发到后台各个负载均衡子服务器上。但是，七层负载均衡系统的话就会拦下这些SYN洪攻击流，不再转发至后台子服务器，从而保证了系统的正常运行，也正因为技术层面上的优势，所以对七层负载均衡系统的性能要求也高了很多。

5 软件负载均衡

现在很多企业级的业务软件都纷纷提供了负载均衡这个功能，例如Web服务器系统软件、数据库系统和OA办公系统等。目前很多大型企业通过对这些常用的系统软件进行合理配置，再结合上一节说的四、七层硬件负载均衡系统，来实现软硬件相结合的Web负载均衡。下面是一个使用了Web服务器、中间件和数据库软件的成熟企业级负载均衡系统架构，如图3所示。

图3为以Web服务器、中间件和数据库系统为核心的企业系统的软件负载均衡系统。这种方式的优点有三方面。

（1）不同服务点的Web服务器之间做负载均衡整体优化，在各个服务器之间对来自外部的Web链接请求进行平均分配，从而使整个Web服务器集群的压力降低。

（2）中间件可以帮助Web负载均衡系统进行整体应用配置优化，对接收到的Web链接请求进行合理分配。

（3）各个数据库服务器通过建立RAC集群，以防任意一个数据库服务器出现问题时，其他服务器能跟进并完成相关服务，这样有效提高了整个RAC集群的工作效率，同时也减轻了上层应用服务器的压力。

6 Web负载均衡在抗DDos攻击时发挥的作用

结合硬件负载均衡和常用的负载均衡软件（Web服务器、中间件、数据库等），我们可以搭建一个软硬件相结合的Web负载均衡系统来抵御DDos攻击。

首先在前端根据业务需求部署四层或七层硬件负载均衡产品，然后接入负责调度的Web服务器及中间件进行后台数据库的选择。

选择四层负载均衡，因为本身硬件负载均衡会像路由器一样转发DDos攻击发出的SYN请求，所以必须和软件负载均衡协同配合，通过优良的调度平均分担大量的SYN攻击，使整个业务系统仍能正常的工作，已达到抗DDos攻击的作用。这十分适合对整个系统配置要求不高的业务系统。

选择七层负载均衡可以从源头上就抵挡住来自外部的SYN FLOOD攻击，因为七层负载均衡设备不是直接将SYN请求直接发给内部的Web服务器及中间件，而是自身与客户端（攻击端）进行通讯连接（三次握手），获得了内容后在与内部服务器通讯连接并返回数据。由此攻击端发出的SYN FLOOD攻击在到达七层负载均衡设备后就已经被截断了，应为负载均衡设备返回的SYN+ACK报文攻击端是不会做出回应的，从而有效的阻止了DDos攻击。当然这必须建立在七层负载均衡本身有强大的抗DDos能力之上。这十分适合业务种类多，系统配置较高的业务系统。

综上所述，软硬件相结合的Web负载均衡确实能起到抗DDos攻击的作用。

7 结束语

本文通过研究Web负载均衡、DDos攻击的技术原理，详细了解了其各自的工作方式；经过综合分析得出了结合软硬件结合的四层、七层负载均衡技术能够有效抵抗DDos攻击。

参考文献

[1] 李云鹤，武善玉，宴振鸣.基于DDOS防范的负载均衡群集设计与实现[J].电脑知识与技术（学术交流），2007（18）.

[2] 庄建儿.浅析网络DDoS攻击与治理[J].通讯世界，2015（01） .

[3] 罗拥军，李晓乐，孙如祥.负载均衡算法综述[J].科技情报开发与经济，2008（23）.

[4] 杨磊，郭庆平.负载均衡技术分析及LVS实现[J].武汉理工大学学报（交通科学与工程版），2004（01）.

作者简介：

严文卿（1989-），男，汉族，上海人，毕业于华东师范大学，硕士，公安部第三研究所，研究实习员；主要研究方向和关注领域：信息安全、互联网安全。