4硬件负载均衡
目前主流的硬件负载均衡方案有四层负载均衡和七层负载均衡两种。四层负载均衡原理是建立在IP地址和端口号基础上的负载均衡;七层负载均衡原理是建立在URL等方面应用层信息基础上的负载均衡;各个负载均衡服务器在执行负载均衡功能时,根据四层或是七层的原理来确定如何均衡的分配大量的请求链接服务。
四层负载均衡。依据IP地址结合相关的端口号,从而就能确定流量数据是否需要做负载均衡处理,之后对被确定要处理的数据流量进行地址转换后,转发至后台子服务器,并记录下这个TCP或者UDP的数据流量是由哪台子服务器处理的,并将之后这个链接的所有数据流量都直接分配到这台子服务器处理。
七层负载均衡。在四层IP地址+端口号的基础上,还要关联应用层的特点,就好像一个Web负载均衡系统,除了根据IP地址+端口号来判断流量是否需要负载均衡处理,还要增加七层的URL、地区、语言类别来决定如何更好的进行负载均衡处理。举例来说,假设是的站点的Web负载服务器分为两三组,一组是德语的,一组是汉语的,另一组是英语。这样七层负载均衡会在你访问其服务器时,自主识别出URL或是应用层中的语言类别,再选择语言相对合适的负载服务器组来处理你的链接请求。
这两者在技术实现上有不同。
四层负载均衡来说,以TCP协议来举例,当收到一个来自外部客户的SYN链接后,Web负载均衡设备随即通过上面说的工作原理选择一个最合适的负载子服务器,并修改SYN报文中的目的地址(修改为合适的负载子服务器IP),之后直接转发报文至该子服务器。TCP协议的三次握手建立完全是通过外部用户端和负载子服务器直接实现的,Web负载均衡系统在这里只是转发了首个SYN报文,按照作用来说相当于路由器。
对于七层负载均衡来说,同样以TCP协议来举例,由于要获取应用层的相关数据后才能根据需求选择服务器,所以Web负载均衡系统一定也只能先和外部客户端建立了三次握手连接后才能获取客户端发送的应用层级别的报文内容,进而才能依据这些内容中的相关字段,配合负载均衡流量分发技术选择将链接转发到哪个负载子服务器。这时Web负载均衡系统,按照作用来说更像专用的代理服务器。首先外部客户端会先和Web负载均衡系统进行TCP连接(三次握手),Web负载均衡系统在成功获取应用层信息后会和后端负载子服务器再次进行TCP连接,将获得的相关信息转发给子服务器,从而实现负载均衡的功能。
从上述工作原理上可以得出结论,在对负载均衡设备的性能要求上来说,七层负载均衡显然要比四层负载均衡高出不少。但从负载均衡效率上来说,七层负载均衡却更能高效的抵御DDoS攻击。举例来说,DDoS攻击中的常用手段如SYNFlood攻击,攻击者通过主控端控制了大量的代理端同时对一个被攻击端发起SYN报文攻击,如无负载均衡系统的干预,被攻击端上的链接资源很快就会被消耗殆尽,使正常的用户无法访问相关资源。这时若使用四层负载均衡系统则这些SYNFlood攻击流都会被原封不动的转发到后台各个负载均衡子服务器上。但是,七层负载均衡系统的话就会拦下这些SYN洪攻击流,不再转发至后台子服务器,从而保证了系统的正常运行,也正因为技术层面上的优势,所以对七层负载均衡系统的性能要求也高了很多。
5软件负载均衡
现在很多企业级的业务软件都纷纷提供了负载均衡这个功能,例如Web服务器系统软件、数据库系统和OA办公系统等。目前很多大型企业通过对这些常用的系统软件进行合理配置,再结合上一节说的四、七层硬件负载均衡系统,来实现软硬件相结合的Web负载均衡。下面是一个使用了Web服务器、中间件和数据库软件的成熟企业级负载均衡系统架构,如图3所示。
图3为以Web服务器、中间件和数据库系统为核心的企业系统的软件负载均衡系统。这种方式的优点有三方面。
(1)不同服务点的Web服务器之间做负载均衡整体优化,在各个服务器之间对来自外部的Web链接请求进行平均分配,从而使整个Web服务器集群的压力降低。
(2)中间件可以帮助Web负载均衡系统进行整体应用配置优化,对接收到的Web链接请求进行合理分配。
(3)各个数据库服务器通过建立RAC集群,以防任意一个数据库服务器出现问题时,其他服务器能跟进并完成相关服务,这样有效提高了整个RAC集群的工作效率,同时也减轻了上层应用服务器的压力。
6Web负载均衡在抗DDos攻击时发挥的作用
结合硬件负载均衡和常用的负载均衡软件(Web服务器、中间件、数据库等),我们可以搭建一个软硬件相结合的Web负载均衡系统来抵御DDos攻击。
首先在前端根据业务需求部署四层或七层硬件负载均衡产品,然后接入负责调度的Web服务器及中间件进行后台数据库的选择。
选择四层负载均衡,因为本身硬件负载均衡会像路由器一样转发DDos攻击发出的SYN请求,所以必须和软件负载均衡协同配合,通过优良的调度平均分担大量的SYN攻击,使整个业务系统仍能正常的工作,已达到抗DDos攻击的作用。这十分适合对整个系统配置要求不高的业务系统。
选择七层负载均衡可以从源头上就抵挡住来自外部的SYNFLOOD攻击,因为七层负载均衡设备不是直接将SYN请求直接发给内部的Web服务器及中间件,而是自身与客户端(攻击端)进行通讯连接(三次握手),获得了内容后在与内部服务器通讯连接并返回数据。由此攻击端发出的SYNFLOOD攻击在到达七层负载均衡设备后就已经被截断了,应为负载均衡设备返回的SYN+ACK报文攻击端是不会做出回应的,从而有效的阻止了DDos攻击。当然这必须建立在七层负载均衡本身有强大的抗DDos能力之上。这十分适合业务种类多,系统配置较高的业务系统。
综上所述,软硬件相结合的Web负载均衡确实能起到抗DDos攻击的作用。
7结束语
本文通过研究Web负载均衡、DDos攻击的技术原理,详细了解了其各自的工作方式;经过综合分析得出了结合软硬件结合的四层、七层负载均衡技术能够有效抵抗DDos攻击。
参考文献
[1]李云鹤,武善玉,宴振鸣.基于DDOS防范的负载均衡群集设计与实现[J].电脑知识与技术(学术交流),2007(18).
[2]庄建儿.浅析网络DDoS攻击与治理[J].通讯世界,2015(01).
[3]罗拥军,李晓乐,孙如祥.负载均衡算法综述[J].科技情报开发与经济,2008(23).
[4]杨磊,郭庆平.负载均衡技术分析及LVS实现[J].武汉理工大学学报(交通科学与工程版),2004(01).
期刊库(http://www.zgqkk.com),是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导,寻求投稿辅导合作,快速投稿辅导,投稿辅导格式指导等解决方案:省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。
【免责声明】本文仅代表作者本人观点,与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
646779424(普刊)
913775405(普刊)
867306987(核心)
271374912(核心)
