CN101299724B - 流量清洗的方法、系统和设备 - Google Patents
流量清洗的方法、系统和设备 Download PDFInfo
- Publication number
- CN101299724B CN101299724B CN2008101264995A CN200810126499A CN101299724B CN 101299724 B CN101299724 B CN 101299724B CN 2008101264995 A CN2008101264995 A CN 2008101264995A CN 200810126499 A CN200810126499 A CN 200810126499A CN 101299724 B CN101299724 B CN 101299724B
- Authority
- CN
- China
- Prior art keywords
- equipment
- flow
- flow cleaning
- abnormal flow
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种流量清洗方法、系统和设备。该方法应用于包括异常流量检测设备、异常流量清洗设备以及业务管理设备的流量清洗系统中,本发明通过ARP仿冒方法,将向交换设备上发往受攻击网络设备的攻击流量牵引到异常流量清洗设备上,由异常流量清洗设备对攻击流量进行清洗并回流到网络设备。通过使用本发明,提高了整个系统在流量清洗过程中的转发性能和转发效率;同时配置简单灵活,不需要对现有的网络设备进行特殊修改即可实现。
Description
技术领域
本发明涉及信息技术领域,尤其涉及一种流量清洗的方法、系统和设备。
背景技术
在互联网不断发展的同时,黑客技术也在不断发展,利用后门软件的植入,越来越多的宽带用户PC(Personal Computer,个人电脑)已沦为助纣为虐的“傀儡机”,傀儡网络越来越庞大;另外一方面,经济利益的引诱、攻击源的难于追查,使越来越多的黑客铤而走险,把利用傀儡网络发动攻击当成发财致富的不二法宝。这些因素都导致网络中的DDoS(DistributedDenial of Service,分布式拒绝服务)攻击越来越频繁、规模越来越大,这些DDoS攻击不仅造成目标客户服务器、网络的瘫痪,而且还严重威胁到运营商城域网的安全,并引起全社会的广泛关注。
针对这种情况,现有技术中提出了宽带流量清洗解决方案,以精确阻断DDoS攻击流量,为客户提供城域网和数据中心安全加固。
如图1所示,流量清洗可以部署在IDC(Internet Data Center,互联网数据中心)中,整个系统由三部分组成:异常流量检测平台、异常流量清洗平台和业务管理平台。当DDoS攻击发生时,异常流量检测平台会自动发现攻击行为,通过自动或手工方式把攻击流量牵引到异常流量清洗平台进行清洗;清除掉攻击流量后,异常流量清洗平台再将“干净”流量交还给用户。在整个攻击防范的过程中,用户感受不到攻击的存在,正常业务不会受到任何影响。流量清洗的一个关键技术就是流量牵引。即如何将攻击服务器的流量牵引到异常流量清洗平台上。
现有技术中提出了一种基于策略路由牵引的流量牵引技术,其示意图如图2所示,在核心交换机上行接口处配置策略路由,通过策略路由将发往服务器的流量的下一跳改为流量清洗设备,所以核心路由器会将流量直接转给流量清洗设备。这种牵引技术的优点在于利用策略路由本身的特点,不需要对设备作特殊定制修改。策略路由配置灵活。
该策略路由牵引技术的问题在于,在核心交换设备的上行接口上配置策略路由会降低整个数据中心系统的转发性能,导致策略路由的转发效率较低。
发明内容
本发明提供一种流量清洗的方法、系统和设备,用于提高网络系统在流量清洗过程中的转发性能和转发效率。
为达到上述目的,本发明提供一种流量清洗的方法,应用于包括异常流量检测设备、异常流量清洗设备以及业务管理设备的流量清洗系统中,包括:
对网络设备的攻击流量发生时,所述异常流量清洗设备接收所述业务管理设备发送的防御策略;
所述异常流量清洗设备根据所述防御策略,生成静态地址解析协议ARP配置并向所述攻击流量经过的交换设备发送;,所述静态ARP配置用于将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;
所述异常流量清洗设备对所述交换设备发送的流量进行清洗;
所述异常流量清洗设备将所述清洗后的流量通过所述交换设备回流到所述网络设备。
其中,所述异常流量清洗设备接收所述业务管理设备发送的防御策略前,还包括:
所述异常流量检测设备探测到对网络设备的攻击流量时,通知所述业务管理设备受到攻击的网络设备地址;
所述业务管理设备向异常流量清洗设备发送防御策略,所述防御策略中 包括流量清洗策略、以及对所述受到攻击的网络设备地址的流量牵引策略。
其中,所述异常流量清洗设备根据所述防御策略,生成ARP配置并向所述攻击流量经过的交换设备发送后,还包括:
所述交换设备解析并存储所述静态ARP配置;
所述交换设备接收到发往所述受到攻击的网络设备的IP地址的流量时,根据所述静态ARP配置,将所述流量通过与所述异常流量清洗设备连接的端口发送到所述异常流量清洗设备。
其中,所述异常流量清洗设备将所述清洗后的流量通过所述交换设备回流到所述网络设备所述异常流量清洗设备对所述交换设备发送的流量进行清洗后,还包括:
所述异常流量清洗设备将清洗后的流量报文的目的MAC地址替换为所述受到攻击的网络设备的MAC地址,并向所述交换设备发送;
所述交换设备将所述清洗后的流量报文发送回流到所述网络设备。
其中,所述异常流量清洗设备将所述清洗后的流量通过所述交换设备回流到所述网络设备后,还包括:
攻击流量停止时,所述异常流量清洗设备接收所述业务管理设备发送的删除防御策略指示;
所述异常流量清洗设备指示所述交换设备删除所述静态ARP配置,停止将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备。
本发明还提供一种异常流量清洗设备,包括:
防御策略接收单元,用于在对网络设备的攻击流量发生时,接收业务管理设备发送的防御策略;
ARP配置生成单元,用于根据所述防御策略接收单元接收的防御策略,生成静态ARP配置;所述静态ARP配置用于将交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;
ARP配置发送单元,用于向所述攻击流量经过的交换设备发送所述ARP配置生成单元生成的静态ARP配置;
流量清洗单元,用于对所述交换设备发送的流量进行清洗;
流量发送单元,用于将所述流量清洗单元清洗后的流量通过所述交换设备回流到所述网络设备。
其中,所述流量发送单元具体用于将所述流量清洗单元清洗后的流量报文的目的MAC地址替换为所述受到攻击的网络设备的MAC地址,并向所述交换设备发送。
其中,还包括:
ARP配置删除单元,用于接收到所述业务管理设备发送的删除防御策略指示时,指示所述交换设备删除所述静态ARP配置,停止将所述交换设备上发往所述网络设备的流量牵引到本设备。
本发明还提供一种业务管理设备,包括:
防御策略指示单元,用于在攻击流量发生时,向异常流量清洗设备发送防御策略,所述防御策略中包括流量清洗策略、以及对受到攻击的网络设备地址的流量牵引策略;由所述异常流量清洗设备根据所述防御策略,生成静态ARP配置并向所述攻击流量经过的交换设备发送,所述静态ARP配置用于将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;
防御策略删除单元,用于在攻击流量停止时,向所述异常流量清洗设备发送删除防御策略的指示。
本发明还提供一种流量清洗系统,包括异常流量检测设备、异常流量清洗设备以及业务管理设备;
所述异常流量检测设备,用于在检测到对网络设备的攻击流量发生时,通知所述业务管理设备;
所述业务管理设备,用于在所述异常流量检测设备检测到攻击流量发生时,向所述异常流量清洗设备发送防御策略;
所述异常流量清洗设备,用于根据所述业务管理设备发送的防御策略,生成静态ARP配置并向所述攻击流量经过的交换设备发送,所述静态ARP配置用于将所述交换设备上发往所述网络设备的流量牵引到本设备;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;对所述交换设备发送的流量进行清洗。,并将所述清洗后的流量通过所述交换设备回流到所述网络设备。
本发明还提供一种流量清洗方法,应用于包括异常流量检测设备、异常流量清洗设备以及业务管理设备的流量清洗系统中,包括:
对网络设备的攻击流量发生时,所述业务管理设备生成静态ARP配置;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;
所述业务管理设备将所述静态ARP配置向所述攻击流量经过的交换设备发送,以将所述交换设备上发往所述网络设备的流量以将所述攻击流量牵引到所述异常流量清洗设备进行流量清洗。
其中,所述业务管理设备生成静态ARP配置前还包括:
所述异常流量检测设备探测到攻击流量时,通知所述业务管理设备受到攻击的网络设备地址。
其中,所述业务管理设备将所述静态ARP配置向所述攻击流量经过的交换设备发送后,还包括:
所述交换设备解析并存储所述静态ARP配置;
所述交换设备接收到发往所述受到攻击的网络设备的IP地址的流量时,根据所述静态ARP配置,将所述流量通过与所述异常流量清洗设备连接的端口发送到所述异常流量清洗设备;
所述异常流量清洗设备将清洗后的流量报文的目的MAC地址替换为所述受到攻击的网络设备的MAC地址,并向所述交换设备发送;
所述交换设备将所述清洗后的流量报文发送到所述网络设备。
其中,还包括:
攻击流量停止时,所述业务管理设备指示所述交换设备删除所述静态ARP配置,停止将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备。
本发明还提供一种业务管理设备,包括:
ARP配置生成单元,用于在对网络设备的攻击流量发生时,生成静态ARP配置;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;
ARP配置发送单元,用于将所述静态ARP配置向所述攻击流量经过的交换设备发送,以将所述交换设备上发往所述网络设备的流量牵引到异常流量清洗设备进行流量清洗。
其中,还包括:
ARP配置删除单元,用于当攻击流量停止时,指示所述交换设备删除所述静态ARP配置,停止将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备。
本发明所提供的方法与现有技术相比,具有以下优点:
在攻击流量发生时,通过生成ARP配置并向攻击流量经过的交换设备发送,使得交换设备将攻击流量发送到异常流量清洗设备,由异常流量清洗设备对攻击流量进行清洗,提高了整个系统在流量清洗过程中的转发性能和转发效率;同时配置简单灵活,不需要对现有的网络设备进行特殊修改即可实现。
附图说明
图1为现有技术中流量清洗方法的示意图;
图2为现有技术中策略路由牵引方法的示意图;
图3为本发明中流量清洗方法的流程图;
图4为本发明中异常流量检测的流程图;
图5为本发明中业务管理设备的防御策略下发的流程图;
图6为本发明中异常流量清洗设备下发策略流程图;
图7为本发明中核心交换机更新ARP表流程图;
图8为本发明中流量牵引流程图;
图9为本发明中流量清洗回注流程图;
图10为本发明中流量清洗恢复流程图;
图11为本发明中流量清洗方法的另一流程图
图12为本发明中流量清洗方法的再一流程图
图13为本发明中一种流量清洗系统的结构示意图;
图14为本发明中业务管理设备的结构示意图;
图15为本发明中异常流量清洗设备的结构示意图;
图16为本发明中业务管理设备的另一结构示意图。
具体实施方式
以下结合附图和实施例,对本发明的实施方式作进一步说明。
本发明提供一种流量清洗的方法,应用于包括异常流量检测设备、异常流量清洗设备以及业务管理设备的流量清洗系统中,如图3所示,包括:
步骤s301、对网络设备的攻击流量发生时,异常流量清洗设备接收业务管理设备发送的防御策略。
步骤s302、异常流量清洗设备根据所述防御策略,生成静态ARP(Address Resolution Protocol,地址解析协议)配置并向攻击流量经过的交换设备发送,该静态ARP配置用于将交换设备上发往网络设备的流量牵引到异常流量清洗设备。
步骤s303、异常流量清洗设备对交换设备发送的流量进行清洗。
步骤s304、异常流量清洗设备将清洗后的流量通过交换设备回流到网络设备。
具体的,本发明提供的该流量清洗方法中,通过ARP仿冒方法,将向交换设备上发往受攻击网络设备的攻击流量牵引到异常流量清洗设备上,由异常流量清洗设备对攻击流量进行清洗。以下对该方法中涉及的各个流程分别进行详细介绍。
本发明的流量清洗方法中,在异常流量检测设备发现针对网络设备(以下以服务器为例)的攻击流量后,通知业务管理设备受到攻击的服务器IP地址和MAC(Medium Access Control,媒体接入控制)地址。该异常流量检测流程如图4所示,包括以下步骤:
步骤s401、核心交换机将流量镜像发送到异常流量探测设备。
步骤s402、异常流量检测设备探测分析流量,发现针对服务器A的攻击流量,获取服务器A的IP地址和MAC地址。
步骤s403、异常流量探测设备通知业务管理设备服务器A受到攻击,并通知业务管理设备服务器A的IP地址和MAC地址。
业务管理设备接收到异常流量检测设备发送的受到攻击的服务器IP地址和MAC地址后向异常流量清洗设备下发防御策略。该业务管理设备的防御策略下发流程如图5所示,包括以下步骤:
步骤s501、业务管理设备生成防御策略。该防御策略除了原有的清洗策略外,还包括一条流量牵引策略。该流量牵引策略要求异常流量清洗设备向核心交换机下发一条静态ARP配置。该ARP配置的IP地址是受到攻击的服务器IP地址,对应的MAC地址是异常流量清洗设备本身的MAC地址。
步骤s502、业务管理设备向异常流量清洗设备下发防御策略。
异常流量清洗设备收到防御策略后,向攻击流量经过的核心交换机下发策略,如图6所示,包括以下步骤:
步骤s601、异常流量清洗设备接收业务管理设备发送的防御策略。
步骤s602、异常流量清洗设备配置清洗策略。
步骤s603、异常流量清洗设备根据流量牵引策略,向核心交换机下发静态ARP配置。该静态ARP配置中,表项的IP地址是受到攻击的服务器IP地址,对应的MAC地址是异常流量清洗设备本身的MAC地址。
核心交换机接收到该静态ARP配置后,更新本地的ARP表项,如图7所示,包括以下步骤:
步骤s701、核心交换机收到异常流量清洗设备发送的静态ARP配置。
步骤s702、核心交换机执行该ARP配置后并生成一条静态ARP表项,该表项的IP地址是受到攻击的服务器IP地址,对应的MAC地址是异常流量清洗设备的MAC地址。
需要说明的是,在生成静态该ARP表项之前,在ARP表中针对IP A已经存在一条由服务器A的ARP报文生成的动态ARP表项。由于针对同一IP地址不能同时存在两条ARP表项,且静态ARP表项的优先级高于动态生成的ARP表项,所以核心交换机会先删除原本存在的动态ARP表项。然后生成一条针对IP A的静态ARP表项。
另外,由于静态ARP表项的存在,后续服务器A的ARP报文同样无法生成动态ARP表项。也就是说,在核心交换机上对受到攻击的服务器A的IP地址IPA进行ARP解析时,会得到异常流量清洗设备B的MAC地址,异常流量清洗设备B的MAC地址在核心交换机上对应的端口是连接异常流量清洗设备的端口。
核心交换机收到发往受攻击服务器的流量后,查找路由会得到一条直连路由,然后根据目的IP地址查找ARP表解析目的MAC地址,得到异常流量清洗设备B的MAC地址。因此将原本直接发给服务器的流量发给异常流量清洗设备B。该流量牵引流程,如图8所示,包括以下步骤:
步骤s801、核心交换机收到发往受攻击服务器A的流量。
步骤s802、根据IP A查找路由,得到一条直连路由,确定出接口。
步骤s803、根据目的地址IPA查找ARP表解析目的MAC地址,得到异常流量清洗设备的MAC地址,出端口是连接异常流量清洗设备的端口。
步骤s804、将原本直接发给服务器A的流量发给异常流量清洗设备B。
异常流量清洗设备对流量进行清洗后进行流量清洗回注,该流量清洗回注流程,如图9所示,包括以下步骤:
步骤s901、异常流量清洗设备根据清洗策略对流量进行清洗。
步骤s902、将清洗后的流量报文目的MAC替换为服务器A的MAC地址,回注到核心交换机。
步骤s903、核心交换机根据Vlan和目的MAC将报文直接二层转发给服务器A。
步骤s904、服务器A收到报文后进行响应,缺省网关是核心交换机。通过核心交换机直接转发出去,不会再经过流量清洗设备。
流量回注流程后,若异常流量探测设备发现对服务器的攻击停止时,则进行流量清洗恢复,该流量清洗恢复流程如图10所示,包括以下步骤:
步骤s1001、在异常流量探测设备发现针对服务器的攻击流量停止后,通知业务管理设备。
步骤s1002、业务管理设备向异常流量清洗设备下发防御策略,该防御策略要求异常流量清洗设备删除之前下发的牵引策略。
步骤s1003、异常流量清洗设备根据该策略向核心交换机下发删除静态ARP的配置。
需要说明的是,核心交换机删除静态ARP表项后,服务器A的ARP报文会生成的动态ARP表项。也就是说,在核心交换机上对受到攻击的服务器A的IP地址进行ARP解析时,会得到服务器A的MAC地址。
步骤s1004、流量的转发流程恢复正常。
上述图3至图10所描述的各流程中,以攻击流量发生时,业务管理设 备向异常流量清洗设备发送防御策略、进而由异常流量清洗设备生成静态ARP配置并向攻击流量经过的交换设备发送为例,说明了本发明中流量清洗方法的具体实施方式。在实际应用中,上述生成静态ARP配置并向交换设备发送的主体并不限于异常流量清洗设备,还可以是业务管理设备或流量探测设备。
当由业务管理设备生成静态ARP配置并向交换设备发送时,如图11所示,本发明还提供了一种流量清洗方法,应用于包括异常流量检测设备、异常流量清洗设备以及业务管理设备的流量清洗系统中,包括:
步骤s1101、对网络设备的攻击流量发生时,业务管理设备生成静态ARP配置。
具体的,该攻击流量发生的探测流程参见上述对于图4的相关描述,在此不再重复介绍。另外,该静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址,对应的端口是所述交换设备与所述异常流量清洗设备连接所使用的端口。
步骤s1102、业务管理设备将所述静态ARP配置向所述攻击流量经过的交换设备发送,以将交换设备上发往网络设备的流量牵引到所述异常流量清洗设备进行流量清洗。
如图12所示,上述步骤s1102后,还可以包括:
步骤s1103、所述交换设备解析并存储所述静态ARP配置。
该步骤可以具体参见上述对于图7的相关描述,在此不再重复介绍。
步骤s1104、所述交换设备接收到发往所述受到攻击的网络设备的IP地址的流量时,根据所述静态ARP配置,将所述流量通过与所述异常流量清洗设备连接的端口发送到所述异常流量清洗设备。
该步骤可以具体参见上述对于图8的相关描述,在此不再重复介绍。
步骤s1105、所述异常流量清洗设备将清洗后的流量报文的目的MAC替换为所述受到攻击的网络设备的MAC地址,并向所述交换设备发送。
该步骤可以具体参见上述对于图9的相关描述,在此不再重复介绍。
步骤s1106、所述交换设备将所述清洗后的流量报文发送到所述网络设 备。
步骤s1107、攻击流量停止时,所述业务管理设备指示所述交换设备删除所述静态ARP配置,停止将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备。
本发明提供的上述方法中,在攻击流量发生时,通过生成ARP配置并向攻击流量经过的交换设备发送,使得交换设备将攻击流量发送到异常流量清洗设备,由异常流量清洗设备对攻击流量进行清洗,提高了整个系统在流量清洗过程中的转发性能和转发效率;同时配置简单灵活,不需要对现有的网络设备进行特殊修改即可实现。
本发明还提供一种流量清洗系统,如图13所示,包括异常流量检测设备10、业务管理设备20、以及异常流量清洗设备30,具体的:
异常流量检测设备10,用于在检测到攻击流量发生时,通知业务管理设备20。
业务管理设备20,用于在异常流量检测设备10检测到攻击流量发生时,向异常流量清洗设备30发送防御策略。
异常流量清洗设备30,用于根据业务管理设备20发送的防御策略,生成静态ARP配置并向攻击流量经过的交换设备发送,该静态ARP配置用于将交换设备上发往网络设备的流量牵引到本设备;对交换设备发送的流量进行清洗,并将清洗后的流量通过交换设备回流到网络设备。
具体的,如图14所示,上述业务管理设备20进一步包括:
防御策略指示单元21,用于在攻击流量发生时,向异常流量清洗设备30发送防御策略,所述防御策略中包括流量清洗策略、以及对受到攻击的网络设备地址的流量牵引策略。
防御策略删除单元22,用于在攻击流量停止时,向异常流量清洗设备30发送删除防御策略的指示。
具体的,如图15所示,上述异常流量清洗设备30进一步包括:
防御策略接收单元31,用于在对网络设备的攻击流量发生时,接收业务管理设备20发送的防御策略。
ARP配置生成单元32,用于根据防御策略接收单元31接收的防御策略,生成静态ARP配置,该静态ARP配置用于将交换设备上发往网络设备的流量牵引到异常流量清洗设备30。该ARP配置生成单元32具体为,用于生成静态ARP配置,所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址。
ARP配置发送单元33,用于向所述攻击流量经过的交换设备发送ARP配置生成单元32生成的静态ARP配置。
流量清洗单元34,用于对交换设备发送的流量进行清洗。
流量发送单元35,用于将流量清洗单元34清洗后的流量通过交换设备回流到所述网络设备。具体为:将流量清洗单元34清洗后的流量报文的目的MAC替换为所述受到攻击的网络设备的MAC地址,并向交换设备发送。
另外,该异常流量清洗设备30还包括:
ARP配置删除单元36,用于接收到业务管理设备20发送的删除防御策略指示时,指示所述交换设备删除所述静态ARP配置,停止将交换设备上发往网络设备的流量牵引到本设备。
本发明还提供一种业务管理设备40,用于在攻击流量发生时生成静态ARP配置并向交换设备发送,如图16所示,包括:
ARP配置生成单元41,用于在攻击流量发生时,生成静态ARP配置;该ARP配置生成单元41具体为,用于生成静态ARP配置,所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址。
ARP配置发送单元42,用于将ARP配置生成单元41生成的静态ARP配置向所述攻击流量经过的交换设备发送,以将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备进行流量清洗。
另外,该业务管理设备40还包括:
ARP配置删除单元43,用于当攻击流量停止时,指示所述交换设备删除所述静态ARP配置,停止将交换设备上发往网络设备的流量牵引到异常流量清洗设备。
本发明提供的上述系统和设备中,在攻击流量发生时,通过生成ARP配置并向攻击流量经过的交换设备发送,使得交换设备将攻击流量发送到异常流量清洗设备,由异常流量清洗设备对攻击流量进行清洗,提高了整个系统在流量清洗过程中的转发性能和转发效率;同时配置简单灵活,不需要对现有的网络设备进行特殊修改即可实现。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (16)
1.一种流量清洗方法,应用于包括异常流量检测设备、异常流量清洗设备以及业务管理设备的流量清洗系统中,其特征在于,包括:
对网络设备的攻击流量发生时,所述异常流量清洗设备接收所述业务管理设备发送的防御策略;
所述异常流量清洗设备根据所述防御策略,生成静态地址解析协议ARP配置并向所述攻击流量经过的交换设备发送,所述静态ARP配置用于将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;
所述异常流量清洗设备对所述交换设备发送的流量进行清洗;
所述异常流量清洗设备将所述清洗后的流量通过所述交换设备回流到所述网络设备。
2.如权利要求1所述的方法,其特征在于,所述异常流量清洗设备接收所述业务管理设备发送的防御策略前,还包括:
所述异常流量检测设备探测到对网络设备的攻击流量时,通知所述业务管理设备受到攻击的网络设备地址;
所述业务管理设备向异常流量清洗设备发送防御策略,所述防御策略中包括流量清洗策略、以及对所述受到攻击的网络设备地址的流量牵引策略。
3.如权利要求2所述的方法,其特征在于,所述异常流量清洗设备根据所述防御策略,生成ARP配置并向所述攻击流量经过的交换设备发送后,还包括:
所述交换设备解析并存储所述静态ARP配置;
所述交换设备接收到发往所述受到攻击的网络设备的IP地址的流量时,根据所述静态ARP配置,将所述流量通过与所述异常流量清洗设备连接的端口发送到所述异常流量清洗设备。
4.如权利要求1或2所述的方法,其特征在于,所述异常流量清洗设备将所述清洗后的流量通过所述交换设备回流到所述网络设备包括:
所述异 常流量清洗设备将清洗后的流量报文的目的MAC地址替换为所述受到攻击的网络设备的MAC地址,并向所述交换设备发送;
所述交换设备将所述清洗后的流量报文回流到所述网络设备。
5.如权利要求1或2所述的方法,其特征在于,所述异常流量清洗设备将所述清洗后的流量通过所述交换设备回流到所述网络设备后,还包括:
攻击流量停止时,所述异常流量清洗设备接收所述业务管理设备发送的删除防御策略指示;
所述异常流量清洗设备指示所述交换设备删除所述静态ARP配置,停止将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备。
6.一种异常流量清洗设备,其特征在于,包括:
防御策略接收单元,用于在对网络设备的攻击流量发生时,接收业务管理设备发送的防御策略;
ARP配置生成单元,用于根据所述防御策略接收单元接收的防御策略,生成静态ARP配置;所述静态ARP配置用于将交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;
ARP配置发送单元,用于向所述攻击流量经过的交换设备发送所述ARP配置生成单元生成的静态ARP配置;
流量清洗单元,用于对所述交换设备发送的流量进行清洗;
流量发送单元,用于将所述流量清洗单元清洗后的流量通过所述交换设备回流到所述网络设备。
7.如权利要求6所述的设备,其特征在于,所述流量发送单元具体用于将所述流量清洗单元清洗后的流量报文的目的MAC地址替换为所述受到攻击的网络设备的MAC地址,并向所述交换设备发送。
8.如权利要求6所述的设备,其特征在于,还包括:
ARP配置删除单元,用于接收到所述业务管理设备发送的删除防御策略指示时,指示所述交换设备删除所述静态ARP配置,停止将所述交换设备上发往所述网络设备的流量牵引到本设备。
9.一种业务管理设备,其特征在于,包括:
防御策略指示单元,用于在攻击流量发生时,向异常流量清洗设备发送防御策略,所述防御策略中包括流量清洗策略、以及对受到攻击的网络设备地址的流量牵引策略;由所述异常流量清洗设备根据所述防御策略,生成静态ARP配置并向所述攻击流量经过的交换设备发送,所述静态ARP配置用于将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;
防御策略删除单元,用于在攻击流量停止时,向所述异常流量清洗设备发送删除防御策略的指示。
10.一种流量清洗系统,其特征在于,包括异常流量检测设备、异常流量清洗设备以及业务管理设备;
所述异常流量检测设备,用于在检测到对网络设备的攻击流量发生时,通知所述业务管理设备;
所述业务管理设备,用于在所述异常流量检测设备检测到攻击流量发生时,向所述异常流量清洗设备发送防御策略;
所述异常流量清洗设备,用于根据所述业务管理设备发送的防御策略,生成静态ARP配置并向所述攻击流量经过的交换设备发送,所述静态ARP配置用于将所述交换设备上发往所述网络设备的流量牵引到本设备;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;对所述交换设备发送的流量进行清洗,并将所述清洗后的流量通过所述交换设备回流到所述网络设备。
11.一种流量清洗方法,应用于包括异常流量检测设备、异常流量清洗设备以及业务管理设备的流量清洗系统中,其特征在于,包括:
对网络设备的攻击流量发生时,所述业务管理设备生成静态ARP配置;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;
所述业务管理设备将所述静态ARP配置向所述攻击流量经过的交换设备发送,以将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备进行流量清洗。
12.如权利要求11所述的方法,其特征在于,所述业务管理设备生成静态ARP配置前还包括:
所述异常流量检测设备探测到攻击流量时,通知所述业务管理设备受到攻击的网络设备地址。
13.如权利要求12所述的方法,其特征在于,所述业务管理设备将所述静态ARP配置向所述攻击流量经过的交换设备发送后,还包括:
所述交换设备解析并存储所述静态ARP配置;
所述交换设备接收到发往所述受到攻击的网络设备的IP地址的流量时,根据所述静态ARP配置,将所述流量通过与所述异常流量清洗设备连接的端口发送到所述异常流量清洗设备;
所述异常流量清洗设备将清洗后的流量报文的目的MAC地址替换为所述受到攻击的网络设备的MAC地址,并向所述交换设备发送;
所述交换设备将所述清洗后的流量报文发送到所述网络设备。
14.如权利要求12所述的方法,其特征在于,还包括:
攻击流量停止时,所述业务管理设备指示所述交换设备删除所述静态ARP配置,停止将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备。
15.一种业务管理设备,其特征在于,包括:
ARP配置生成单元,用于在对网络设备的攻击流量发生时,生成静态ARP配置;所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP地址,对应的MAC地址是所述异常流量清洗设备的MAC地址;
ARP配置发送单元,用于将所述静态ARP配置向所述攻击流量经过的交换设备发送,以将所述交换设备上发往所述网络设备的流量牵引到异常流量清洗设备进行流量清洗。
16.如权利要求15所述的业务管理设备,其特征在于,还包括:
ARP配置删除单元,用于当攻击流量停止时,指示所述交换设备删除所述静态ARP配置,停止将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101264995A CN101299724B (zh) | 2008-07-04 | 2008-07-04 | 流量清洗的方法、系统和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101264995A CN101299724B (zh) | 2008-07-04 | 2008-07-04 | 流量清洗的方法、系统和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101299724A CN101299724A (zh) | 2008-11-05 |
| CN101299724B true CN101299724B (zh) | 2010-12-08 |
Family
ID=40079416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101264995A Expired - Fee Related CN101299724B (zh) | 2008-07-04 | 2008-07-04 | 流量清洗的方法、系统和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101299724B (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986609A (zh) * | 2009-07-29 | 2011-03-16 | 中兴通讯股份有限公司 | 一种实现网络流量清洗的方法及系统 |
| CN102045302A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 网络攻击的防范方法、业务控制节点及接入节点 |
| CN101917425A (zh) * | 2010-08-09 | 2010-12-15 | 中国电信股份有限公司 | 双向在线方式的网吧流量集中式清洗系统及方法 |
| CN103731314B (zh) * | 2012-10-16 | 2017-11-21 | 中国移动通信集团公司 | 一种通信业务行为异常的检测方法、系统及设备 |
| CN103209192B (zh) * | 2013-05-10 | 2016-03-23 | 张昱 | 用于DDoS攻击时的域名状态清洗系统及检测方法 |
| CN103491095B (zh) * | 2013-09-25 | 2016-07-13 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
| CN104601482A (zh) * | 2013-10-30 | 2015-05-06 | 中兴通讯股份有限公司 | 流量清洗方法和装置 |
| CN105763351B (zh) * | 2014-12-17 | 2019-09-03 | 华为技术有限公司 | 部署增值业务的方法、转发设备、检测设备和管理设备 |
| CN104767762A (zh) * | 2015-04-28 | 2015-07-08 | 亚信科技(南京)有限公司 | 一种安全防护系统 |
| CN106411828B (zh) * | 2015-08-03 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 量化防御结果的方法、装置及系统 |
| CN105282152B (zh) * | 2015-09-28 | 2018-08-28 | 广东睿江云计算股份有限公司 | 一种异常流量检测的方法 |
| CN107018116B (zh) * | 2016-01-27 | 2020-09-18 | 阿里巴巴集团控股有限公司 | 监控网络流量的方法、装置及服务器 |
| CN106101088B (zh) * | 2016-06-04 | 2019-05-24 | 北京兰云科技有限公司 | 清洗设备、检测设备、路由设备和防范dns攻击的方法 |
| CN106330962B (zh) * | 2016-09-30 | 2019-04-12 | 中国联合网络通信集团有限公司 | 一种流量清洗管理方法及装置 |
| CN106302537B (zh) * | 2016-10-09 | 2019-09-10 | 广东睿江云计算股份有限公司 | 一种ddos攻击流量的清洗方法及系统 |
| CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
| CN106899580A (zh) * | 2017-02-10 | 2017-06-27 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
| CN107360058A (zh) * | 2017-07-12 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种实现流量监控的方法及装置 |
| CN109639587A (zh) * | 2018-12-11 | 2019-04-16 | 国网河南省电力公司开封供电公司 | 一种基于电气自动化的流量监测系统 |
| CN109922090A (zh) * | 2019-04-29 | 2019-06-21 | 杭州迪普科技股份有限公司 | 流量转发方法、装置、电子设备及机器可读存储介质 |
| CN110113435B (zh) * | 2019-05-27 | 2022-01-14 | 绿盟科技集团股份有限公司 | 一种流量清洗的方法和设备 |
| CN111181910B (zh) * | 2019-08-12 | 2021-10-08 | 腾讯科技(深圳)有限公司 | 一种分布式拒绝服务攻击的防护方法和相关装置 |
| CN111654469B (zh) * | 2020-04-30 | 2022-09-06 | 河南信大网御科技有限公司 | 一种拟态流量器和拟态交换系统 |
| CN112350939B (zh) * | 2020-10-29 | 2023-11-10 | 腾讯科技(深圳)有限公司 | 旁路阻断方法、系统、装置、计算机设备及存储介质 |
| CN113890746B (zh) * | 2021-08-16 | 2024-05-07 | 曙光信息产业(北京)有限公司 | 攻击流量识别方法、装置、设备以及存储介质 |
| CN113852611B (zh) * | 2021-09-09 | 2023-05-09 | 上海理想信息产业(集团)有限公司 | 网站拦截平台的ip引流方法、计算机设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845528A (zh) * | 2006-01-12 | 2006-10-11 | 华为技术有限公司 | 对数据流进行防攻击过滤的方法、系统及其重定向设备 |
-
2008
- 2008-07-04 CN CN2008101264995A patent/CN101299724B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845528A (zh) * | 2006-01-12 | 2006-10-11 | 华为技术有限公司 | 对数据流进行防攻击过滤的方法、系统及其重定向设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101299724A (zh) | 2008-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101299724B (zh) | 流量清洗的方法、系统和设备 | |
| US10171611B2 (en) | Herd based scan avoidance system in a network environment | |
| CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
| KR101270041B1 (ko) | Arp 스푸핑 공격 탐지 시스템 및 방법 | |
| CN107623663B (zh) | 处理网络流量的方法及装置 | |
| CN107276878B (zh) | 在网络环境下使用本地策略应用进行云电子邮件消息扫描 | |
| Danezis et al. | A survey of anonymous communication channels | |
| CN101036369B (zh) | 分组的脱机分析 | |
| Bailey et al. | Data reduction for the scalable automated analysis of distributed darknet traffic | |
| KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| CN108156079B (zh) | 一种基于云服务平台的数据包转发系统及方法 | |
| Wang et al. | In search of an anonymous and secure lookup: attacks on structured peer-to-peer anonymous communication systems | |
| Bou-Harb et al. | A statistical approach for fingerprinting probing activities | |
| Faghani et al. | Socellbot: A new botnet design to infect smartphones via online social networking | |
| Lu et al. | A novel path‐based approach for single‐packet IP traceback | |
| Zou et al. | A firewall network system for worm defense in enterprise networks | |
| CN101536456A (zh) | 用于超驰一个或多个分组网络中不期望业务量的通告废除的方法和设备 | |
| CN107395615B (zh) | 一种打印机安全防护的方法和装置 | |
| Zhong et al. | Research on DDoS Attacks in IPv6 | |
| Sourour et al. | Network security alerts management architecture for signature-based intrusions detection systems within a NAT environment | |
| Ovadia et al. | {Cross-Router} Covert Channels | |
| Wagenaar | Detecting botnets using file system indicators | |
| Reddy et al. | Efficient detection of DDoS attacks by entropy variation | |
| KR101188308B1 (ko) | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 | |
| KR20210021831A (ko) | 가상 네트워크 기능을 이용한 네트워크 트래픽 감시 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 Termination date: 20200704 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |