群集节点指的是一组服务设备的群集,虽然该服务设备有着不同的物理属性,但是其可以作为一种或者是多种的虚拟实体实施信息查看及访问,并对服务设备实施管理,通过专门的硬软件设备或技术联合作用共同完成。通常状况下,运行模式的实现是群集节点独立于其他节点相互作用,所有节点之间的关系联系紧密、相互关联,通过紧密结合完成设计工作。当多个或者一个节点的硬件设施发生故障,如果有一个节点的运行处于正常状态,故障将不会对集群造成影响,同时集群对一种以透明方式与服务设备的客户端进行连接的方式提供支持,以增加或者减少组件的数量。
1 系统设计负载均衡的群集
在诸多计算机中实施客户请求的平均分配并处理称为负载均衡的群集设计群集方式,计算机对相同客户的数据信息进行读取,达到负载均衡,Ddos是为了对攻击进行防范所实施的群集。实现负载均衡的群集方式种类繁多,例如基于win2003负载均衡、Linux系统群集技术,以及将DNS作为基础的轮循的负载均衡和将NAT作为基础的负载均衡等技术手段都是负载均衡群集的主要方式。
群集对资源标识的虚拟化主要是指对其资源给予其他服务设备的硬件设施依赖关系实施隐藏,通常该标识只有一个MAC或IP地址,或者一个名字。地址及名字组成群集的部分资源,不是向某集群节点所指定的,所以该地址或名字会被作为客户端的请求由群集软件的技术实施处理,假如可供使用的相同资源较多,请求会被集群重现并且在首选的节点上进行定向。该首选的节点的确定主要以设定值及其当前状态为依据。
进行一个对DDOS攻击具有抵抗功能的群集的构建是该设计的目的,当可使机房负荷不足或者造成机房的计算机全部瘫痪的大流量对负载均衡的群集要求产生攻击时,其服务设备不会受到影响,可以正常的给客户提供服务并及时响应,即便是在恶劣的状态下(最恶劣的状态指的就是攻击者的带宽明显高于机房正常使用带宽的情况),群集结构不会受到影响,且可以正常为大多数客户提供相关服务。
本设计通过基于DNS和NAT负载均衡等技术手段以实现以上负载均衡的群集。DNS轮循指的是通过DNS配置可实现相同域名进行不同地址的解释,对其中相关于某主机的技术随机使用,在DNS轮循作用下,可进行多台主机的使用,并用作WEB服务设备这主要根据客户的实际需求完成。当前,很多WEB服务为了达到负载均衡的群集,实施DNS轮循的技术,前台WEB服务由多个具有相同角色的服务设备构成,这在很大程度上扩展了实际服务范围,其服务更加完善并且具有规划性,访问及点击服务设备网址效率得到提高,对大量的数据信息处理给予焦急等待的用户获得了更快相应时间。
natd与ipfw之间的相互配合可以实现网络地址的翻译,内核通过某特定的divert类型的服务端口,将需要进行翻译和转换的数据包传输给natd,在对其转换之后发送到内核系统,经过内核系统在转发给客户。其优点不仅是可以提高防火墙能力,而且使内部计算机实现和外部资源以及网络的地址共享,这在当前IP地址空间相对紧张且缺少的情形下是一种非常有效且应用广泛的技术手段。
2 DDoS攻击的防范
Denial of Service,简称DoS,又称拒绝服务。DOS攻击指的是导致DOS攻击产生的行为,该行为使大量需要回复的信息布满网站服务设备,大大增加系统或网络系统或者带宽的资源消耗,致使网络系统的负荷出现不足。或者网络故障严重时还会导致系统瘫痪,从而影响其正常工作和服务信息的提供。
对DOS攻击进行强化称为DDoS攻击,是诸多DOS攻击技术的并发运行,且通过互联网的不同部分的很多计算机进行远程代理的安装。对于攻击目标,攻击者可进行DOS放大型攻击,导致本身以及所处ISP网络出现崩溃现象。虽然攻击方式不新,但是为使流量增加采取全体协同实施攻击的方法,导致被攻击目标服务器不能正常运行。在DDOS攻击实施前,入侵者需要对大量计算机实施入侵,并将远程进行控制协调的程序在其系统内进行安装,通过蠕虫或者自动攻击的程序实现计算机快速入侵。由于大学的计算机系统安全管理比较松散,所以其常常成为攻击的主要目标,远程的控制系统一旦安装成功,入侵者可通过控制系统的连接将指令发向代理,其他的目标主机将已经选定好的攻击方式进行发送,实现攻击目的。
3 实现DdoS基础上的防范群集
为使描述更加方便,分别定义5个机房为ABCDE,各机房分别有3G,2G,2G,4G、2G的宽带,其网络带宽总和为13G,并给每个机房进行NAT网关的配备,其控制功能通过freebsd系统ipfw/natd或者ipfilter的使用来实现,10台服务设备进行1G内存、最强2.8*2、73Gscsi硬盘、2块千兆网等配置,19块的数据服务设备仅需1块网卡就可以实现其功能。其具体的配置功能则是,各个机房所使用的网络机构以及配置过程均相同,所用公共网络IP地址不同,所提供的3台服务设备,1台为NAT网站,其余2台为相关服务提供的服务设备。另外还有交换设备1台及公共网络IP地址3个,将A机房的配置作为实际案例分析,并进行255.255.255.128 59.34.148.0掩码配置。
全部WEB服务设备对数据源的服务设备相关数据进行读取,利用公共网络出访口,每个WEB服务设备对数据源的服务设备进行访问,访问该公共网络对外不公开,全部服务设备再进行WEB网访问由NET网关进行转发、严格安全设置数据源的服务设备后,对来自于制定的WEB服务设备请求给予信任后,实现其网站的访问和浏览。
完成设置后,应当进行NET网关的配置,将请求转发到WEB服务设备80端口,A机房与其他4个机房配置相同,网络IP地址不同,各个机房服务设备被DNS准备好以后,再进行DNS轮循设置,需要进行5个A的设置,并在每个机房NET的IP中进行记录,还是将A机房作为分析案例,将其IP地址进行wwwA59.34.148.62设置。至此,其配置全部完成。
4 分析性能
4.1 PING OF DEATH试验
pingofdeath.exe攻击软件。
一些软件对于超过65535字节数据包是允许发送的,该数值大于tcp/ip所允许的最大发送值,因此其不可以通过整体流量的方式经过intrenet,在对其进行传输时要分开进行,目标主机接收到的分开数据之后,将其重新组成非规定代销的原始数据报,在一些相对老旧的操作系统中,数据包会溢出缓冲区。
结果分析:该类攻击对正常服务的提供不产生影响。
4.2 SYN试验
攻击软件(???):
在tcp/ip内有一个握手协议,该协议将通信新通道建立在两主机之间,客户机首先将一个TCPsyn的数据包发送到服务设备上,在服务设备接收后,对syn/ack产生响应,最后客户端用ack进行响应,此时握手结束。然后数据可在tcp的连接中进行双向传输。
最初syn的数据包被接收时,相应半连接在服务设备tcp的协议栈的作用下添加到列队中,经过一段时间的等待后进行剩余数据包的接收。接收成功后该记录则会被删除掉。但是该队列只容纳有限的半连接的记录,所以多数初始连接没有取得握手成功,问题则会出现。列队一旦满了,对于新连接服务设备将不再进行接收。
假如攻击者用足够速度将syn的数据包发送到目标服务设备,并将该列队填满,那么所有tcp服务将会被阻塞,即为syn攻击。WEB服务设备一旦不进行新请求的接收,或者访问本地的速度较慢,可通过ntestat对半连接状态下的连接进行检查:freebsd系统内,半连接数据的跟踪可通过如下shell来实现。
该集群中,其前端系统为freebsd系统,同windows相比具有较大的列队容量,超时值大大缩短,填满的难度更大。同时cp_max_syn_backlog的内核参数值的减小及timeout_synrecv、timeout_synack的增大,可使抵抗攻击的有效性增强。
4.3 UDP试验
nemesis攻击软件
较早IP网络,udp服务echo和chargen主要在网络各个位置间添土量的测试中应用。对于udp的数据包给予响应被字符添满的数据包chaegen给予接收,echo则把所接收的数据包向源地址原封不动地进行发送。
这类关系被攻击者进行两服务间无用通信流的建立中滥用,网络带宽被大量消耗。返回地址所指向的chargen端口伪造的数据包发送到echo端口,入侵者可在两者之间进行网络能够处理具有较快往返速度的UDP通信的建立。
通过如下命令的使用,将伪造的echo端口10.0.0.10数据包的源地址发送到chargen端口。该数据包如果达到了10.0.05,将会向chargen的端口流入,系统将一个响应的数据包发送到echo的端口,从而将Dos攻击建立于两者之间。为对该攻击进行阻止,该设计在freebsd系统内利用ipfw实现了除tcp通信以外的全部udp通信的阻止。
5 结语
实践证明,本文设计群集对于DdoS攻击所应对的方式具有良好的效果,并且成本较低,具有较强的可行性,Internet系统中服务设备可在所有位置进行设置,轮循的负载算法需要进一步完善与改进,其不可以识别并区分服务器之间存在的不同,不能为性能极好的服务设备进行分配请求的提供,导致客户请求在某个服务设备上集中等现象发生。
参考文献
[1]徐远超,庞宏冰.园区网设计与实施中的几个问题[J].计算机应用,2002,(3).
[2]赵小明.计算机网络实验教程[M].北京:科学出版社,2006.
[3]何全胜,姚国祥.IP网络中实时数据流的流量控制[J].计算机科学,2002,29(3).
(作者山发军系南京南瑞集团公司信息系统集成分公司中级工程师)
