负载均衡技术概念及应用

负载均衡技术概念及应用

王小鹏

王小鹏WangXiaopeng（中国航空结算有限责任公司，北京100028）

（ChinaAviationClearingCo.，Ltd.，Beijing100028，China）

摘要：网络负载均衡是分布式业务中调度系统的一种实现。负载均衡器作为网络请求分配的控制者，要根据集群节点的当前处理能力，采用集中或分布策略对网络服务请求进行调配，并且在每个服务请求的生命周期里监控各个节点的有效状态。本文在阐述拒绝服务攻击基本概念的基础上，分析并探讨了网络负载均衡技术在网络抗拒绝服务中的应用。

Abstract：Networkloadbalancingisakindofrealizationofdispatchingsystemindistributedservice.Loadequalizerasthecontrollerofrequestingnetworkassignmentusesstrategiesofconcentrationordistributiontoallocatefornetworkservicesrequestandmonitorseffectivestateofeachnodeinthelifecycleofeachservicerequest,accordingtothecurrentprocessingabilityoftheclusternodes.Theapplicationofnetworkloadbalancingtechnologyinnetworkanti-denialofservicewasanalyzedanddiscussedonthebasisofexpoundingbasicconceptwhichwasattackedbyanti-denialofservice.

关键词：负载均衡；拒绝服务；网络过载

Keywords：loadbalancing;denialofservice;networkoverload

中图分类号：TP3文献标识码：A文章编号：1006-4311（2011）08-0215-02

0引言

在当今信息化时代，随着Internet的快速增长，使得关键节点的网络服务器面对的访问数量快速增加，这就要求服务器需要具备提供大量并发访问服务的能力，服务器的处理速度和I/O能力成为影响网络服务质量的瓶颈。但由于单台服务器的性能总是有限的，特别是，当面对缓冲区溢出、SYN攻击、泪珠攻击等拒绝服务攻击时，易导致服务器的拒绝服务，因此，有必要采用多服务器和负载均衡技术来满足大量并发访问的需要以杜绝网络服务器的拒绝服务。

1拒绝服务（DoS）攻击的基本概念

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，这些服务资源包括网络带宽、文件系统空间容量、CPU时间等，这种攻击会导致系统资源的匮乏，从而使合法用户无法得到服务的响应。常用的拒绝服务攻击有缓冲区溢出、SYN-Flood攻击、泪珠攻击等攻击手段。SYN-Flood是目前最流行的DDoS攻击手段，早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。SYN-Flood的攻击效果最好，应该是众黑客不约而同选择它的原因吧。那么我们一起来看看SYN-Flood的详细情况。

2基本的网络负载均衡算法

2.1轮转法轮转算法是所有调度算法中最简单也最容易实现的一种方法。在一个任务队列里，队列的每个成员（节点）都具有相同的地位，轮转法简单的在这组成员中顺序轮转选择。在负载均衡环境中，均衡器将新的请求轮流发给节点队列中的下一节点，如此连续、周而复始，每个集群的节点都在相等的地位下被轮流选择。这个算法在DNS域名轮询中被广泛使用。

轮转法的活动是可预知的，每个节点被选择的机会是1/N，因此很容易计算出节点的负载分布。轮转法典型的适用于集群中所有节点的处理能力和性能均相同的情况，在实际应用中，一般将它与其他简单方法联合使用时比较有效。

2.2散列法散列法也叫哈希法（HASH），通过单射不可逆的HASH函数，按照某种规则将网络请求发往集群节点。哈希法在其他几类均衡算法不是很有效时会显示出特别的威力。例如，在UDP会话的情况下，由于轮转法和其他几类基于连接信息的算法，无法识别出会话的起止标记，会引起应用混乱。

而采取基于数据包源地址的哈希映射可以在一定程度上解决这个问题：将具有相同源地址的数据包发给同一服务器节点，这使得基于高层会话的事务可以以适当的方式运行。相对称的是，基于目的地址的哈希调度算法可以用在WebCache集群中，指向同一个目标站点的访问请求都被负载均衡器发送到同一个Cache服务节点上，以避免页面缺失而带来的更新Cache问题。

3负载均衡的设计

负载均衡器从高速网络中接收1000M数据包，首先根据设定的过滤规则对数据进行快速过滤（具体过滤规则由控制主机设定），然后再根据相应的负载均衡规则将数据流输出给不同的分析主机。

由于其外在表现的为一个交换机，但是同时又具有基于数据包过滤的功能和高层交换的功能，因此称之为负载均衡交换器。它的两个主要功能是数据过滤与数据分流(负载均衡)。它的内部功能模块，主要有以下几个模块组成：数据过滤与过滤规则模块、数据分流与分流策略模块、通信与管理模块，它们分别完成数据过滤、数据分流及与控制管理主机之间的通信与管理功能。

分析主机阵列由多台分析主机组成，具体数量可以根本需求状况增加或减少，每台分析主机可以配置不同分析策略，采用利用改进的模型匹配算法进行检测分析，以提高检测效率。并将检测结果提交给控制管理主,管理主机为整个系统的控制台，接收来自分析主机阵列的检测结果，进行进一步的综合分析，将结果呈现给管理员，或作为报警信息输出，实现对入侵的积极响应功能，并为用户提供一个管理控制界面，实现对整个系统的管理。在该模型中，分析主机阵列中的每台分析主机完成对部分连接或应用的入侵检测功能，各个分析主机与控制管理主机构成一个有机的整体。

4负载均衡在抗网络拒绝服务攻击中的应用

目前比较常用的负载均衡技术主要有：

4.1基于DNS的负载均衡通过DNS服务中的随机名字解析来实现负载均衡，在DNS服务器中，可以为多个不同的地址配置同一个名字，而最终查询这个名字的客户机将在解析这个名字时得到其中一个地址。因此，对于同一个名字，不同的客户机会得到不同的地址，他们也就访问不同地址上的Web服务器，从而达到负载均衡的目的。

4.2反向代理负载均衡使用代理服务器可以将请求转发给内部的Web服务器，让代理服务器将请求均匀地转发给多台内部Web服务器之一上，从而达到负载均衡的目的。这种代理方式与普通的代理方式有所不同，标准代理方式是客户使用代理访问多个外部Web服务器，而这种代理方式是多个客户使用它访问内部Web服务器，因此也被称为反向代理模式。

4.3基于NAT的负载均衡技术网络地址转换为在内部地址和外部地址之间进行转换，以便具备内部地址的计算机能访问外部网络，而当外部网络中的计算机访问地址转换网关拥有的某一外部地址时，地址转换网关能将其转发到一个映射的内部地址上。因此如果地址转换网关能将每个连接均匀转换为不同的内部服务器地址，此后外部网络中的计算机就各自与自己转换得到的地址上服务器进行通信，从而达到负载分担的目的。

5总结

无论是采用基于DNS的负载均衡技术，还是反向代理负载均衡技术，抑或是基于NAT的负载均衡技术，对于网络的抗拒绝服务都有一定的积极作用，但随着网络带宽的不断增加以及拒绝服务攻击手段的不断发展，特别是分布式拒绝服务攻击技术的发展，关键节点的网络设备，尤其是网络服务器要面对巨大的负载，在这种情况下，如果负载均衡技术与防火墙的安全策略定制一起形成联动，对于网络的抗拒绝服务能力将有很大的提高。

参考文献：

[1]王晶，张盛兵，张萌，王海.网络处理器自适应负载均衡调度机制[J].计算机应用研究，2008，（04）.

[2]黄欣，杨帆.网络负载平衡技术应用[J].辽阳石油化工高等专科学校学报，2002，（04）.

[3]徐卫东，王康.适用于内容分发网络的动态负载均衡策略[J].计算机科学，2005，（01）.

[4]秦琴.运用负载均衡技术来实现网络优化[J].科技资讯，2007，（22）.

[5]赵月爱.高速网络入侵检测负载均衡算法研究[D].太原理工大学，2006.