CN101917425A - 双向在线方式的网吧流量集中式清洗系统及方法 - Google Patents
双向在线方式的网吧流量集中式清洗系统及方法 Download PDFInfo
- Publication number
- CN101917425A CN101917425A CN2010102483785A CN201010248378A CN101917425A CN 101917425 A CN101917425 A CN 101917425A CN 2010102483785 A CN2010102483785 A CN 2010102483785A CN 201010248378 A CN201010248378 A CN 201010248378A CN 101917425 A CN101917425 A CN 101917425A
- Authority
- CN
- China
- Prior art keywords
- flow
- cleaning
- premises equipment
- internet bar
- downgoing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种双向在线方式的网吧流量集中式清洗系统及方法,该方法包括:驻地设备牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中心;流量清洗中心接收驻地设备牵引的网吧上下行流量,对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给驻地设备;驻地设备接收流量清洗中心清洗后的清洁流量,并将清洁流量回注城域网的出口设备;城域网的出口设备将驻地设备返回的清洁流量回注到目标客户端所在的网络。本发明提供了有效的DDoS攻击防护手段,提高了其抵抗大规模DDoS攻击的能力;同时由于采用专用通道实现清洁流量的远程回注,从而有效节省骨干网带宽资源,避免了对网络资源的占用和浪费,提升防护设备的利用效率。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种双向在线方式的网吧流量集中式清洗系统及方法。
背景技术
随着各个行业信息化水平的不断提高,越来越多企业用户的正常业务运营对于互联网的依赖性也越来越高。目前由于互联网网络安全环境的日益恶化,使得这类客户的互联网业务面临着极大的威胁和风险。
其中,分布式拒绝服务(DDoS,Distributed Denial of Service)攻击是目前互联网中存在的最常见、危害性最大的攻击形式之一。DDoS攻击是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击。DDoS攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。
近几年来由于商业竞争、政治情绪、经济勒索等因素的驱动,DDoS攻击越来越呈现组织化、规模化、商业化的特点,攻击流量动辄数G、十几G,甚至几十G,攻击频率也大有愈演愈烈之势,不但给各类企业客户的互联网应用、IT系统服务造成服务提供中断、系统瘫痪等严重后果,造成重大经济损失;同时也严重威胁到电信运营商的基础设施,严重影响了基础运营商骨干网络的质量和稳定运营,使得DDoS攻击成为目前互联网中存在的最常见、危害性最大的安全问题之一。
目前常用的DDoS攻击防御方法有两种,一种是末端清洗防护方法,通过在靠近被保护目标的地方部署专用的流量清洗设备来进行防御,这种方法的特点是单点防御,只能为本地用户提供清洗防护,而且防御能力有限,在发生大规模攻击后容易造成被保护目标所在网络的拥塞或瘫痪,对于大规模、超大规模的DDoS攻击则无能为力。
另外一种是源端清洗防护方法,通过采用“分布式部署、集中调度、近源清洗”的防护机制,在攻击流量汇聚前,在靠近攻击源的多个骨干网节点处进行分布式清洗,可用来防御十几G、几十G甚至上百G的大规模DDoS攻击。但由于该机制主要是在骨干网层面进行清洗,对于城域网、互联网数据中心(IDC,Internet Data Center)等内部的相互攻击则难以防御,同时由于清洗系统部署层面较高,难以部署精细化的防护策略;上述两个因素可能导致造成部分攻击流量避开防护系统,难以为客户提供的精细化DDoS攻击防护。
综上所述,如何对大规模DDoS攻击的异常流量进行有效清洗,提升全网的大规模DDoS攻击防御能力成为本领域亟待解决的技术问题。
发明内容
本发明要解决的一个技术问题是提供一种双向在线方式的网吧流量集中式清洗系统及方法,能够有效解决现有技术中存在的问题,可达到对大规模DDoS攻击的精细化流量清洗,取得提高全网的大规模DDoS攻击防御能力的预期技术效果。
本发明的一个方面提供了一种双向在线方式的网吧流量集中式清洗系统,该系统包括:驻地设备PE,用于牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中心;接收流量清洗中心清洗后的清洁流量,作为流量清洗中心的出口路由器设备,实现与城域网之间的路由交换,并将清洁流量回注城域网的出口设备;流量清洗中心,用于接收驻地设备PE牵引的网吧上下行流量,对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给驻地设备PE;城域网的出口设备,用于接收网吧上下行流量,并将网吧上下行流量发送至驻地设备PE;以及将驻地设备PE返回的清洁流量回注到目标客户端所在的网络。
本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,驻地设备PE还用于:根据流量清洗中心的处理能力,对各个网吧用户使用DDoS防护进行流量限制。
本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,流量清洗中心还用于:区分正常流量和异常,以及根据异常流量的不同攻击特征,识别攻击类型。
本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,流量清洗中心对Flood类、DoS类攻击直接做识别清洗,对用户数据报文协议UDP、控制信道CC、僵尸网络的应用层的攻击,结合深度包检测DPI进行识别清洗。
本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,该系统还包括:业务路由器SR,以及在驻地设备PE和业务路由器SR之间配置多协议标签交换协议虚拟专用网络MPLS VPN;其中
MPLS VPN用于将清洗后的清洁流量注入对端的业务路由器SR,务路由器SR用于接收MPLS VPN注入的清洁流量,并通过相应的VPN路由转发表接口将清洁流量发送至目标客户端。
本发明的另一个方面提供了一种双向在线方式的网吧流量集中式清洗方法,该方法包括:驻地设备PE牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中心;流量清洗中心接收驻地设备PE牵引的网吧上下行流量,对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给驻地设备PE;驻地设备PE接收流量清洗中心清洗后的清洁流量,并将清洁流量回注城域网的出口设备;城域网的出口设备将驻地设备PE返回的清洁流量回注到目标客户端所在的网络。
本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例中,该方法还包括:在步骤“驻地设备PE牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中心”之前,城域网的出口设备接收网吧上下行流量,并将网吧上下行流量发送至驻地设备PE。
本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例中,步骤“对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗”进一步包括:流量清洗中心对上下行流量区分正常流量和异常,以及根据异常流量的不同攻击特征,识别攻击类型;以及流量清洗中心对Flood类、DoS类攻击直接做识别清洗,对用户数据报文协议UDP、控制信道CC、僵尸网络的应用层的攻击,结合深度包检测DPI进行识别清洗。
本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例中,步骤“驻地设备PE接收流量清洗中心清洗后的清洁流量,并将清洁流量回注城域网的出口设备”进一步包括:驻地设备PE接收流量清洗中心清洗后的清洁流量,作为流量清洗中心的出口路由器设备,实现与城域网之间的路由交换,并将清洁流量回注城域网的出口设备;以及驻地设备PE根据流量清洗中心的处理能力,对各个网吧用户使用DDoS防护进行流量限制。
本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例中,步骤“城域网的出口设备将驻地设备PE返回的清洁流量回注到目标客户端所在的网络”进一步包括:在驻地设备PE和业务路由器SR之间配置多协议标签交换协议虚拟专用网络MPLS VPN;MPLSVPN将清洗后的清洁流量注入对端的业务路由器SR;以及业务路由器SR接收MPLS VPN注入的清洁流量,并通过相应的VPN路由转发表接口将清洁流量发送至目标客户端。
本发明供的双向在线方式的网吧流量集中式清洗系统及方法,解决了现有的DDoS防护技术所存在的清洗容量和清洗精度等问题,在降低业务规模部署成本的基础上,大大提升了全网的大规模DDoS攻击防御能力,提高攻击流量的清洗精度。
附图说明
图1示出本发明实施例提供的一种双向在线方式的网吧流量集中式清洗系统的结构示意图;
图2示出本发明提供的双向在线方式的网吧流量集中式清洗系统的另一个实施例的结构示意图;
图3示出本发明提供的双向在线方式的网吧流量集中式清洗系统的一个具体实施例的组网结构示意图;
图4示出本发明实施例提供的一种双向在线方式的网吧流量集中式清洗方法的流程图;
图5示出本发明提供的双向在线方式的网吧流量集中式清洗系统启动集中清洗的一个具体实施例的流量流向示意图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。
图1示出本发明实施例提供的一种双向在线方式的网吧流量集中式清洗系统的结构示意图。
如图1所示,双向在线方式的网吧流量集中式清洗系统100包括:驻地设备PE 102、流量清洗中心104和城域网的出口设备106,其中
驻地设备(PE,Premises Equipment)102,用于牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中心;接收流量清洗中心清洗后的清洁流量,作为流量清洗中心的出口路由器设备,实现与城域网之间的路由交换,并将清洁流量回注城域网的出口设备。例如,PE主要功能是终结穿过城域网的承载用户流量的隧道,对网吧上下行流经城域网的流量进行牵引/导引,同时其还作为流量清洗中心的出口路由器设备,将清洗后的流量馈入城域网,与城域网进行路由的交换和控制。
流量清洗中心104,用于接收驻地设备PE牵引的网吧上下行流量,对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给驻地设备PE。例如,流量清洗中心可以是一个专门的DDoS攻击清洗设备或由该专门的DDoS攻击清洗设备构成的设备组,当网吧的上下行流量被“牵引”到该流量清洗中心后,其能够通过限速或过滤等手段遏制攻击流量,同时保证合法的数据包能继续传送到目标地址。
城域网的出口设备106,用于接收网吧上下行流量,并将网吧上下行流量发送至驻地设备PE;以及将驻地设备PE返回的清洁流量回注到目标客户端所在的网络。
本发明提供的双向在线方式的网吧流量集中式清洗系统及方法,可以依托运营商一个或多个骨干网络、目标客户所在城域网,以及DDoS攻击清洗中心来实现。在技术实现层面,主要涉及流量监测、流量牵引、流量清洗和流量回注等几个环节;具体来说:
1)流量监测:对于网吧流量,由于网吧业务对于实时性要求较高,并且所遭受的攻击很多持续时间较短,优选采用实时在线清洗的方式;网吧的上下行流量,都是实时经过清洗中心。清洗设备对于经过的上下行流量,进行实时的攻击监测与识别,一旦确认DDoS攻击发生,立即进行流量清洗操作。
2)流量牵引:在城域网内,通过驻地设备PE终结穿过城域网的承载用户流量的隧道,PE与城域网出口设备建立IBGP关系(内部边界网关协议,Internal Border Gateway Protocol),PE上通告网吧更明细IBGP路由给出口设备,出口设备将下行流量牵引到PE。出口设备下连PE接口定义两个子接口,一种是交换IBGP的Global接口,一种是MPLS VPN接口。其中,采用IBGP接口牵引流量到新PE,MPLS VPN接口负责回注VPN流量,此时出口设备作为P路由器,从而将网吧上下行流经城域网的流量牵引到清洗中心进行流量清洗。
3)流量清洗:清洗中心采用Anycast机制(Anycast最初在RFC1546中定义,即在IP网络上通过一个Anycast地址标识一组提供特定服务的接口,同时服务访问方并不关心提供服务的具体是哪一个接口,发送到该接口的报文被网络路由到路由协议度量的“最近”的目标接口上。)进行路由策略的配置,可采用多组Anycast地址,全部或某些清洗中心使用同一个Loopback IP地址作为对外服务地址,可根据需要实现全网或部分节点的负载分担,实现全网清洗中心资源的统一调度,在最大程度上降低大规模DDoS攻击流量对骨干网络造成的冲击或影响。
此外,清洗中心区分正常和异常流量,并根据异常流量的不同攻击特征,对传统的Flood类(例如ICMP Flood攻击、UDP Flood攻击、SYN Flood攻击、UDP Flood攻击)、DoS类(拒绝服务攻击,Denial Of Service)攻击做识别清洗,以及结合DPI(深度包检测,Deep Packet Inspection)攻击检测增强对UDP(用户数据报文协议,User Datagram Protocol)、CC(控制信道,Control Channel)、僵尸网络的应用层攻击识别。整个的防护流程基于层层过滤,并采用关键指纹防护技术(主要是指针对某些有特征的IP攻击包创建指纹,在具体流量检测过程中,及时发现流量中所存在的这些特征IP包,以提高检测的效率和精度。此处的指纹主要指针对特征IP包所形成的特定的字符串),深度检测用户流量形成攻击指纹,匹配动态识别指纹后清洗(动态识别的主要原理是识别之初会根据正常流量环境动态生成一些数据指标的基线阈值,建立流量模型,一旦出现攻击行为,会基于事先形成的基线值对异常情况进行初判和预警,这些基线值包括流量相关的、数据包相关的等)。通过这样的方式完成对复杂攻击流量的识别区分,达到清洗效果。
4)流量回注:经过流量清洗后,正常流量被重新转发回网络,到达原来的目标地址。本方案采用MPLS VPN的回注方式:利用城域网络及驻地设备PE都支持MPLS VPN(多协议标签交换协议虚拟专用网络,Multi-Protocol Label Switch Virtual Private Network)能力,高效简洁地实现“清洁流量”的回送。例如在PE和SR(业务路由器,Service Router)之间配置MPLS VPN,本地网内部发起的流量以及从骨干网进入本地网的流量被清洗后,清洁流量通过本地网内部的MPLS VPN注入对端的SR路由器,并通过相应的VRF(VPN路由转发表,VPN Routing Forwarding Table)接口达到目标客户端,从而最终完成了清洁流量的回注。
本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,驻地设备PE还用于:根据流量清洗中心的处理能力,对各个网吧用户使用DDoS防护进行流量限制。例如,驻地设备PE根据流量清洗中心安全功能模块的处理能力,在该路由器上对各个网吧DDoS防护使用用户进行流量限制,避免由于单个用户受到超大流量攻击而影响其他用户的行为。
本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,流量清洗中心还用于:区分正常流量和异常,以及根据异常流量的不同攻击特征,识别攻击类型。
本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,流量清洗中心对Flood类、DoS类攻击直接做识别清洗,对用户数据报文协议UDP、控制信道CC、僵尸网络的应用层的攻击,结合深度包检测DPI进行识别清洗。
本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例,解决了现有的DDoS防护技术所存在的清洗容量和清洗精度等问题,为广大网吧客户端提供了DDoS攻击的防护服务,大大提高了网吧运营的安全性和业务延续性;同时也很好的解决了电信运维部门面临的巨大压力,避免了大流量DDOS攻击给网络带宽造的冲击。
图2示出本发明提供的双向在线方式的网吧流量集中式清洗系统的另一个实施例的结构示意图。
如图2所示,双向在线方式的网吧流量集中式清洗系统200主要包括:驻地设备PE 202、流量清洗中心204、城域网的出口设备206和业务路由器SR 208,其中;其中流量监测子系统202可以是与图1所示驻地设备PE 102、流量清洗中心104和城域网的出口设备106具有相同或相似的功能模块;为简洁起见,这里不再赘述。
如图2所示,双向在线方式的网吧流量集中式清洗系统200还包括业务路由器SR 208,以及在驻地设备PE 202和业务路由器SR 208之间配置的MPLS VPN 210;其中MPLS VPN用于将清洗后的清洁流量注入对端的业务路由器SR,业务路由器SR用于接收MPLS VPN注入的清洁流量,并通过相应的VPN路由转发表接口将清洁流量发送至目标客户端。
图3示出本发明提供的双向在线方式的网吧流量集中式清洗系统的一个具体实施例的组网结构示意图。
如图3所示,本发明提供的双向在线方式的网吧流量集中式清洗系统在城域网出口路由器旁接挂PE设备,PE设备通过两条上行链路分别与两台出口设备连接,同时下行链路连接流量清洗中心。在SR和PE间建立MPLS VPN,分散在不同SR上的网吧客户端通过MPLSVPN的方式将网吧流量汇聚到PE设备,统一网吧客户端的流量出口,集中进行安全防护。
在该组网方案中,PE与城域网出口设备建立IBGP关系,PE上通告网吧更明细IBGP路由给出口设备,出口设备将下行流量牵引到PE。出口设备下连PE接口定义两个子接口,一种是交换IBGP的Global接口,一种是MPLS VPN接口。其中,采用IBGP接口牵引流量到新PE,MPLS VPN接口负责回注VPN流量,此时出口设备作为P路由器。PE与流量清洗设备建立EBGP关系,在PE上将网吧对应的子接口或VLAN接口与相应VPN的VRF进行绑定,实现不同网吧流量通过不同的VPN进行回注。
本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,为目前组网方式较为简单的网吧提供了有效的DDoS攻击防护手段,提高了其抵抗大规模DDoS攻击的能力;同时由于采用专用通道实现清洁流量的远程回注,从而有效节省骨干网带宽资源,避免了对网络资源的占用和浪费。
图4示出本发明实施例提供的一种双向在线方式的网吧流量集中式清洗方法的流程图。
如图4所示,双向在线方式的网吧流量集中式清洗方法600包括:步骤402,驻地设备PE牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中心。例如,PE主要功能是终结穿过城域网的承载用户流量的隧道,对网吧上下行流经城域网的流量进行导引。
步骤404,流量清洗中心接收驻地设备PE牵引的网吧上下行流量,对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给驻地设备PE。例如,流量清洗中心可以是一个专门的DDoS攻击清洗设备或由该专门的DDoS攻击清洗设备构成的设备组,当网吧的上下行流量被“牵引”到该流量清洗中心后,其能够通过限速或过滤等手段遏制攻击流量,同时保证合法的数据包能继续传送到目标地址。
步骤406,驻地设备PE接收流量清洗中心清洗后的清洁流量,并将清洁流量回注城域网的出口设备。例如,驻地设备PE接收流量清洗中心清洗后的清洁流量,作为流量清洗中心的出口路由器设备,实现与城域网之间的路由交换,并将清洁流量回注城域网的出口设备
步骤408,城域网的出口设备将驻地设备PE返回的清洁流量回注到目标客户端所在的网络。例如,在驻地设备PE和业务路由器SR之间配置多协议标签交换协议虚拟专用网络MPLS VPN;MPLS VPN将清洗后的清洁流量注入对端的业务路由器SR;以及业务路由器SR接收MPLS VPN注入的清洁流量,并通过相应的VPN路由转发表接口将清洁流量发送至目标客户端。
本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例,该方法还包括:在步骤“驻地设备PE牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中心”之前,城域网的出口设备接收网吧上下行流量,并将网吧上下行流量发送至驻地设备PE。
本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例,步骤“对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗”进一步包括:流量清洗中心对上下行流量区分正常流量和异常,以及根据异常流量的不同攻击特征,识别攻击类型;以及流量清洗中心对flood类、DoS类攻击直接做识别清洗,对用户数据报文协议UDP、控制信道CC、僵尸网络的应用层的攻击,结合深度包检测DPI进行识别清洗。
本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例,驻地设备PE根据流量清洗中心的处理能力,对各个网吧用户使用DDoS防护进行流量限制。
本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例,解决了现有的DDoS防护技术所存在的清洗容量和清洗精度等问题,为广大网吧客户端提供了DDoS攻击的防护服务,大大提高了网吧运营的安全性和业务延续性;同时也很好的解决了电信运维部门面临的巨大压力,避免了大流量DDOS攻击给网络带宽造的冲击。
图5示出本发明提供的双向在线方式的网吧流量集中式清洗系统启动集中清洗的一个具体实施例的流量流向示意图。
本实例将结合电信的城域网对网吧流量的双向在线式集中清洗方案作进一步的详细描述。由于各地市的网吧分布在城域网各个节点,流量实际上是分散的。因此通过部署MPLS VPN,将各个不同节点上的网吧数据聚集到一台PE设备节点,然后进行集中的流量清洗。
如图5所示,在城域网出口路由器旁挂PE设备,PE设备通过两条万兆(10GE)上行链路分别与两台出口设备连接,同时下连流量清洗中心的清洗设备。在SR和PE间建立MPLS VPN,分散在不同SR上的网吧客户通过MPLS VPN的方式将网吧流量汇聚到PE路由器。
图5中所示流向,代表被牵引的网吧正常流量,包括网吧客户端上行流量和从骨干网下行的流量;所示流向,代表被牵引的异常流量,可以是来自同一城域网的客户端,也可以是来自骨干网的其它客户端;所示流向,代表清洗后回注到目标客户端的流量。清洗中心采用实时在线的方式,无论攻击是否存在异常攻击流量都把需防护的网吧联盟用户的流量通过MPLS VPN引入清洗中心,检测流量中是否有异常。从城域网外部进入的数据流量,其目的IP指向网吧的混合数据报文(正常报文和攻击报文的混杂),将通过主机路由到清洗中心进行流量的监测和清洗,监测和清洗之后的清洁流量将通过清洗设备转到PE,再通过PE采用MPLS VPN技术回注到每个网吧的出口路由器上。
参考前述本发明示例性的描述,本领域技术人员可以清楚的知晓本发明具有以下优点:
1、本发明提供的双向在线方式的网吧流量集中式清洗系统及方法的一个实施例,解决了现有的DDoS防护技术所存在的清洗容量和清洗精度等问题,为广大网吧客户端提供了DDoS攻击的防护服务,大大提高了网吧运营的安全性和业务延续性;同时也很好的解决了电信运维部门面临的巨大压力,避免了大流量DDOS攻击给网络带宽造的冲击。
2、本发明提供的双向在线方式的网吧流量集中式清洗系统及方法的一个实施例,为目前组网方式较为简单的网吧提供了有效的DDoS攻击防护手段,提高了其抵抗大规模DDoS攻击的能力;同时由于采用专用通道实现清洁流量的远程回注,从而有效节省骨干网带宽资源,避免了对网络资源的占用和浪费,提升防护设备的利用效率。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (10)
1.一种双向在线方式的网吧流量集中式清洗系统,其特征在于,所述系统包括:
驻地设备PE,用于牵引网吧上下行流量,并将所述网吧上下行流量发送至流量清洗中心;接收所述流量清洗中心清洗后的清洁流量,作为流量清洗中心的出口路由器设备,实现与城域网之间的路由交换,并将所述清洁流量回注城域网的出口设备;
所述流量清洗中心,用于接收所述驻地设备PE牵引的所述网吧上下行流量,对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给所述驻地设备PE;
所述城域网的出口设备,用于接收所述网吧上下行流量,并将所述网吧上下行流量发送至所述驻地设备PE;以及将所述驻地设备PE返回的所述清洁流量回注到目标客户端所在的网络。
2.根据权利要求1所述的系统,其特征在于,所述驻地设备PE还用于:根据所述流量清洗中心的处理能力,对各个网吧用户使用DDoS防护进行流量限制。
3.根据权利要求1所述的系统,其特征在于,所述流量清洗中心还用于:区分正常流量和异常,以及根据所述异常流量的不同攻击特征,识别攻击类型。
4.根据权利要求3所述的系统,其特征在于,所述流量清洗中心对Flood类、DoS类攻击直接做识别清洗,对用户数据报文协议UDP、控制信道CC、僵尸网络的应用层的攻击,结合深度包检测DPI进行识别清洗。
5.根据权利要求1所述的系统,其特征在于,所述系统还包括:业务路由器SR,以及在所述驻地设备PE和所述业务路由器SR之间配置多协议标签交换协议虚拟专用网络MPLS VPN;其中
所述MPLS VPN用于将所述清洗后的清洁流量注入对端的业务路由器SR,所述业务路由器SR用于接收所述MPLS VPN注入的清洁流量,并通过相应的VPN路由转发表接口将所述清洁流量发送至目标客户端。
6.一种双向在线方式的网吧流量集中式清洗方法,其特征在于,所述方法包括:
驻地设备PE牵引网吧上下行流量,并将所述网吧上下行流量发送至流量清洗中心;
所述流量清洗中心接收所述驻地设备PE牵引的所述网吧上下行流量,对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给所述驻地设备PE;
所述驻地设备PE接收所述流量清洗中心清洗后的清洁流量,并将所述清洁流量回注城域网的出口设备;
所述城域网的出口设备将所述驻地设备PE返回的所述清洁流量回注到目标客户端所在的网络。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在步骤“驻地设备PE牵引网吧上下行流量,并将所述网吧上下行流量发送至流量清洗中心”之前,所述城域网的出口设备接收所述网吧上下行流量,并将所述网吧上下行流量发送至所述驻地设备PE。
8.根据权利要求7所述的方法,其特征在于,步骤“对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗”进一步包括:
所述流量清洗中心对所述上下行流量区分正常流量和异常,以及根据所述异常流量的不同攻击特征,识别攻击类型;以及
所述流量清洗中心对Flood类、DoS类攻击直接做识别清洗,对用户数据报文协议UDP、控制信道CC、僵尸网络的应用层的攻击,结合深度包检测DPI进行识别清洗。
9.根据权利要求7所述的方法,其特征在于,步骤“所述驻地设备PE接收所述流量清洗中心清洗后的清洁流量,并将所述清洁流量回注城域网的出口设备”进一步包括:
所述驻地设备PE接收所述流量清洗中心清洗后的清洁流量,作为流量清洗中心的出口路由器设备,实现与城域网之间的路由交换,并将所述清洁流量回注城域网的出口设备;以及
所述驻地设备PE根据所述流量清洗中心的处理能力,对各个网吧用户使用DDoS防护进行流量限制。
10.根据权利要求7所述的方法,其特征在于,步骤“所述城域网的出口设备将所述驻地设备PE返回的所述清洁流量回注到目标客户端所在的网络”进一步包括:
在所述驻地设备PE和所述业务路由器SR之间配置多协议标签交换协议虚拟专用网络MPLS VPN;
所述MPLS VPN将所述清洗后的清洁流量注入对端的业务路由器SR;以及
所述业务路由器SR接收所述MPLS VPN注入的清洁流量,并通过相应的VPN路由转发表接口将所述清洁流量发送至目标客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102483785A CN101917425A (zh) | 2010-08-09 | 2010-08-09 | 双向在线方式的网吧流量集中式清洗系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102483785A CN101917425A (zh) | 2010-08-09 | 2010-08-09 | 双向在线方式的网吧流量集中式清洗系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101917425A true CN101917425A (zh) | 2010-12-15 |
Family
ID=43324809
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102483785A Pending CN101917425A (zh) | 2010-08-09 | 2010-08-09 | 双向在线方式的网吧流量集中式清洗系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101917425A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103401796A (zh) * | 2013-07-09 | 2013-11-20 | 北京百度网讯科技有限公司 | 网络流量清洗系统及方法 |
CN104158803A (zh) * | 2014-08-01 | 2014-11-19 | 国家电网公司 | 一种针对DDoS攻击的模块化防护检测方法及系统 |
CN106341423A (zh) * | 2016-10-26 | 2017-01-18 | 杭州华三通信技术有限公司 | 一种报文处理方法和装置 |
CN107231344A (zh) * | 2017-05-04 | 2017-10-03 | 杭州迪普科技股份有限公司 | 流量清洗方法和装置 |
CN107294922A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种应对网络攻击的网络地址调度方法及装置 |
CN108259466A (zh) * | 2017-12-08 | 2018-07-06 | 中国联合网络通信集团有限公司 | DDoS流量回注方法、SDN控制器及网络系统 |
CN110995884A (zh) * | 2019-12-13 | 2020-04-10 | 成都知道创宇信息技术有限公司 | 基于Anycast架构DNS进行流量清洗及传输方法 |
CN112398967A (zh) * | 2020-11-13 | 2021-02-23 | 中盈优创资讯科技有限公司 | 一种基于sr的集中式流量调度方法及装置 |
CN113726729A (zh) * | 2021-07-13 | 2021-11-30 | 中国电信集团工会上海市委员会 | 一种基于双向引流的网站安全防护方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101005458A (zh) * | 2007-01-30 | 2007-07-25 | 华为技术有限公司 | 一种下发路由的方法、装置及系统 |
CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
-
2010
- 2010-08-09 CN CN2010102483785A patent/CN101917425A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101005458A (zh) * | 2007-01-30 | 2007-07-25 | 华为技术有限公司 | 一种下发路由的方法、装置及系统 |
CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103401796A (zh) * | 2013-07-09 | 2013-11-20 | 北京百度网讯科技有限公司 | 网络流量清洗系统及方法 |
CN103401796B (zh) * | 2013-07-09 | 2016-05-25 | 北京百度网讯科技有限公司 | 网络流量清洗系统及方法 |
CN104158803A (zh) * | 2014-08-01 | 2014-11-19 | 国家电网公司 | 一种针对DDoS攻击的模块化防护检测方法及系统 |
CN107294922A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种应对网络攻击的网络地址调度方法及装置 |
CN106341423A (zh) * | 2016-10-26 | 2017-01-18 | 杭州华三通信技术有限公司 | 一种报文处理方法和装置 |
CN106341423B (zh) * | 2016-10-26 | 2019-12-06 | 新华三技术有限公司 | 一种报文处理方法和装置 |
CN107231344A (zh) * | 2017-05-04 | 2017-10-03 | 杭州迪普科技股份有限公司 | 流量清洗方法和装置 |
CN108259466A (zh) * | 2017-12-08 | 2018-07-06 | 中国联合网络通信集团有限公司 | DDoS流量回注方法、SDN控制器及网络系统 |
CN108259466B (zh) * | 2017-12-08 | 2020-06-05 | 中国联合网络通信集团有限公司 | DDoS流量回注方法、SDN控制器及网络系统 |
CN110995884A (zh) * | 2019-12-13 | 2020-04-10 | 成都知道创宇信息技术有限公司 | 基于Anycast架构DNS进行流量清洗及传输方法 |
CN112398967A (zh) * | 2020-11-13 | 2021-02-23 | 中盈优创资讯科技有限公司 | 一种基于sr的集中式流量调度方法及装置 |
CN113726729A (zh) * | 2021-07-13 | 2021-11-30 | 中国电信集团工会上海市委员会 | 一种基于双向引流的网站安全防护方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101924764B (zh) | 基于二级联动机制的大规模DDoS攻击防御系统及方法 | |
CN101917425A (zh) | 双向在线方式的网吧流量集中式清洗系统及方法 | |
US11394743B2 (en) | SDN-based DDoS attack prevention method, apparatus, and system | |
CN101431449B (zh) | 一种网络流量清洗系统 | |
US9258323B1 (en) | Distributed filtering for networks | |
US20190394229A1 (en) | Apparatus and methods for mitigation of network attacks via dynamic re-routing | |
CN110113435B (zh) | 一种流量清洗的方法和设备 | |
WO2017148263A1 (zh) | 网络攻击的防控方法、装置及系统 | |
CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
CN102263788B (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
CA2497242A1 (en) | Method for distributed denial-of-service attack mitigation by selective black-holing in mpls vpns | |
WO2018108052A1 (zh) | 一种DDoS攻击的防御方法、系统及相关设备 | |
CN103036733A (zh) | 非常规网络接入行为的监测系统及监测方法 | |
CA2511997A1 (en) | Mitigating denial of service attacks | |
CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
CN109995714B (zh) | 一种处置流量的方法、装置和系统 | |
CN110213214B (zh) | 一种攻击防护方法、系统、装置和存储介质 | |
CN104104669A (zh) | 适用于因特网数据中心领域的抗DDoS攻击防护系统 | |
Mahajan et al. | DDoS attack prevention and mitigation techniques-a review | |
Agarwal et al. | DDoS mitigation via regional cleaning centers | |
US20090122784A1 (en) | Method and device for implementing the security of the backbone network | |
KR100478899B1 (ko) | 터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법 | |
CN104038409A (zh) | 一种邮件安全管理方法和装置 | |
Serodio | Traffic diversion techniques for DDoS mitigation using BGP flowspec | |
CN115776406B (zh) | 安全防护方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101215 |