CN103491095A - 流量清洗架构、装置及流量牵引、流量回注方法 - Google Patents

Abstract

本发明公开了一种流量清洗架构、装置及流量牵引、流量回注方法，包括OpenFlow控制器，生成流量清洗流表和流量回注流表并下发给OpenFlow清洗交换机；生成流量牵引流表并下发给OpenFlow核心路由器。在发生攻击时，OpenFlow清洗交换机根据流量清洗流表匹配根据流量牵引流表牵引的被攻击服务器的流量，以进行流量清洗；按照流量回注流表对清洗后的“干净”流量进行转发，以实现流量回注。本发明基于OpenFlow的流量清洗架构，统一实现了流量牵引和流量回注；异常流量清洗部件由OpenFlow控制器和OpenFlow清洗交换机组成，实现了流量清洗系统的控制和转发的分离；当业务需求变化时，仅通过OpenFlow控制器对各种流表进行更新即可，从而简单、灵活地实现了对网络的重新配置和部署。

Description

流量清洗架构、装置及流量牵引、流量回注方法

技术领域

本发明涉及流量清洗技术，尤指一种流量清洗架构、流量清洗装置及流量牵引、流量回注方法。

背景技术

分布式拒绝服务（DDoS，Distributed Denial of Service）已成为互联网上最常见的攻击类型，攻击工具在互联网上可轻易获得，发动攻击的技术门槛很低。近来，DDoS的攻击流量明显增大，数十G的攻击流量频频出现，最高已达300G，甚至已经逐渐发展成为公开的服务。

目前，较为成熟的防御DDoS攻击的手段是流量清洗，即运营商通过在城域网串接或旁挂流量清洗中心，在不影响正常业务的同时，对城域网中出现的DDoS攻击流量进行过滤，实现对城域网和大客户网络业务的保护。

图1为现有流量清洗解决方案组成及工作模型的示意图，如图1所示，流量清洗解决方案由异常流量探测部件、异常流量清洗部件及业务管理平台三部分组成，其中，

异常流量探测部件，用于通过镜像或者分光的方式复制用户的流量，并实时进行攻击探测及异常流量分析。具体地，异常流量探测部件在网络中运行一段时间，通过对城域网用户业务流量进行逐包的分析和统计，学习出一套与实际网络相似的流量分布情况并自动生成安全策略基线，学习到的安全策略基线上报给业务管理平台，由业务管理平台对该安全策略基线进行进一步加工处理后，再下发给异常流量探测部件或异常流量清洗部件，并应支持安全策略基线的配置。目前，大多数运营商的异常流量探测部件具备深度包检测（DPI，Deep Packet Inspection）和深度流检测（DFI，Deep Flow Inspection）的综合防御检测技术。

异常流量清洗部件，用于通过发布明细路由的方式，牵引发生攻击的用户流量即流量牵引，对牵引过来的流量进行攻击报文的过滤，并把清洗后的“干净”流量回注给用户即流量回注。具体地，当攻击发生时，异常流量清洗部件通过更新旁路设备上的路由表项，将流经所有旁路设备上的被保护对象的流量动态地牵引到清洗部件进行清洗。清洗部件可通过边界网关协议版本4（BGP4，Border Gateway Protocol Version 4）或其它路由协议向旁路设备发布更新路由来实现旁路设备路由表更新。异常流量清洗部件将清洗后的流量回注给被保护对象，并向业务管理平台上报清洗日志以形成相应的报表。

业务管理平台，用于完成对异常流量探测部件、异常流量清洗部件的集中管理，并根据异常流量探测部件上报的异常流量告警，通过邮件、短信的方式通知运营商运维人员或者用户，并下发防御策略。另外，业务管理平台还用于为用户提供详细的流量日志分析报表、攻击事件处理报告等。

对于流量清洗解决方案来讲，如何实现流量牵引和流量回注是两大难题。目前，流量牵引主要有BGP流量牵引。为了能在用户的业务遭受DDoS攻击时，将用户的流量动态的牵引到异常流量清洗部件完成清洗过程，异常流量清洗部件利用内部BGP协议（IBGP）或者外部BGP协议（EBGP），首先与城域网中用户流量路径上的多个核心设备建立BGP对等体（BGP Peer）；在攻击发生时，异常流量清洗部件通过BGP协议会向核心路由器发布BGP更新路由通告，更新核心路由器上的路由表项，将流经所有核心路由器上的被攻击服务器的流量动态的牵引到异常流量清洗部件进行清洗。同时，异常流量清洗部件发布的BGP路由添加不宣告（no-advertise）属性，确保异常流量清洗部件发布的路由不会被扩散到城域网，其中，no-advertise属性是BGP协议中的团体属性中有一个属性，带有该属性的路由信息不通告给任何BGP相邻体。进一步地，在异常流量清洗部件上通过路由策略不接收核心路路由器发布的路由更新。从而严格控制对城域网造成的影响。

而流量回注主要有采用策略路由方式、MPLS VPN方式、VLAN方式等的流量回注方式。其中，

图2为现有采用策略路由方式的流量回注方式的组成示意图，如图2所示，采用策略路由方式的流量回注方式，是通过在旁挂路由器上配置策略路由，将异常流量清洗部件中需要回注的流量指向受保护设备相对应的下一跳，从而绕过旁挂设备的正常转发，实现该用户的流量回注。为了简化策略路由的部署，会将城域网的用户分组，仅为每组用户配置一条策略路由指向该组用户所对应的下一跳设备。这样既可实现针对该组用户的流量回注，而且在初期实施完成后不需要再修改城域网设备配置，其可维护性和可操作性得到了很大的增加，但是，用策略路由方式的流量回注方式直接影响到了城域网中的路由设备。

图3为现有采用MPLS VPN方式的流量回注方式的机构组成示意图，如图3所示，在MPLS VPN方式的流量回注方式中，在异常流量清洗部件与业务路由器之间需要建立MPLS VPN隧道，来自城域网外部的异常流量经过异常流量清洗部件清洗后，选择对应的VPN隧道，并打上该VPN标签后，将“干净”报文发送给城域网核心路由器，核心路由器及汇聚路由器对其进行标签交换，最后在核心路由器上弹出标签，并转发到客户网络。采用MPLS VPN方式的流量回注方式便于开展业务，一旦部署完成后，后续业务的开展就都不需要再修改城域网设备的数据；但是，这种流量回注方式要求城域网接入层以上的设备都要支持MPLS功能，这样，对于现网中并没有开展MPLS VPN业务的情况，部署起来较为复杂，对设备的改动也会很大，而且当配置发生改变后，需要对参与实现流量回注的每个设备进行重新配置，部署起来较为复杂。

图4为现有采用VLAN方式的流量回注方式的架构组成示意图采用，如图4所示，在采用VLAN方式的流量回注方式中，在异常流量清洗部件与核心路由器之间需要建立多个VLAN子接口，来自城域网外部的异常流量经过异常流量清洗部件清洗后，选择对应的VLAN子接口，并打上该VLAN Tag后，将“干净”报文发送给城域网核心路由器，核心路由器根据VLAN Tag找到对应的VLAN子接口，并根据子接口下的策略路由选择把报文转发到对应的汇聚路由器上。采用VLAN方式的流量回注方式便于开展业务，一旦部署完成后，后续业务的开展就都不需要再修改城域网设备的数据，以后业务开展时只需要在防御设备上做数据就行了，而且部署实现相对较为简单，只需要在与防御设备现连的核心路由器上做VLAN子接口与汇聚路由器一一对应的策略路由配置即可。但是，这种流量回注方式中，当汇聚设备路由变化时，核心设备和异常流量清洗部件是无法感知的，因此是不能进行自动调整的，从而影响了流量回注的实现。

综上所述，现有流量清洗解决方案中流量牵引和流量回注按照部署场景、路由协议、现网实际业务的不同需要考虑多种实现方式，很难统一管理，也无法实现控制和转发分离。特别地，当用户的业务需求变化时，需要重新进行网络配置和部署，甚至需要更换流量清洗硬件设备，实现难度大，不灵活。

发明内容

为了解决上述技术问题，本发明提供了一种流量清洗架构、流量清洗装置及流量牵引、流量回注方法，能够实现流量清洗系统的控制和转发分离，而且当用户的业务需求变化时，能够简单、灵活地实现对网络的重新配置和部署。

为了达到本发明目的，本发明提供了一种流量清洗装置，包括OpenFlow控制器和OpenFlow清洗交换机，其中，

OpenFlow控制器，用于根据业务管理平台上报的不同异常流量特征生成由不同的流表项以形成流量清洗流表，并下发给OpenFlow清洗交换机；将被攻击服务器的地址作为目的地址组成流表项，与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表，并通过OpenFlow协议下发/更新至OpenFlow核心路由器；将被攻击服务器的地址作为目的地址组成流表项，与将回注的流量转发至受保护服务器相对应的下一跳的指令一起生成流量回注流表，并下发给OpenFlow清洗交换机；

OpenFlow清洗交换机，用于在发生攻击时，根据流量清洗流表匹配来自OpenFlow核心路由器根据流量牵引流表牵引的被攻击服务器的流量，以进行流量清洗；按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址，以实现流量回注。

所述OpenFlow清洗交换机，还用于将经过所述流量清洗后确定为异常流量的流表项对应的清洗计数器的计数值加一。

所述OpenFlow控制器，还用于定时查询所述清洗计数器；在所述流量清洗流表中的流表项记录对应的清洗计数器的计数值大于预先设置的阈值时，通知所述业务管理平台清洗停止，删除所述流量牵引流表和流量回注流表中对应所述所述清洗计数器的流表项。

本发明还提供一种核心路由器，支持OpenFlow协议，用于在发生攻击时，根据异常流量清洗部件中的OpenFlow控制器下发/更新的流量牵引流表，将被攻击服务器的流量转发至OpenFlow清洗交换机，以实现流量牵引。

本发明还提供一种流量清洗架构，包括异常流量探测部件、业务管理平台，还包括：基于OpenFlow协议的异常流量清洗部件，以及OpenFlow核心路由器；其中，异常流量清洗部件包括OpenFlow控制器和OpenFlow清洗交换机。

本发明还提供一种流量牵引方法，包括：当攻击发生时，业务管理平台向异常流量清洗部件中的OpenFlow控制器通知被攻击服务器的地址信息；

OpenFlow控制器将被攻击服务器的地址作为目的地址组成流表项，与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表，并通过OpenFlow协议下发/更新至OpenFlow核心路由器；

OpenFlow核心路由器将目的地址为被攻击服务器的流量转发至OpenFlow清洗交换机，以实现流量牵引。

所述被攻击服务器的地址包括IP地址和TCP端口；

所述目的地址包括目的IP地址和目的TCP端口。

本发明还提供一种流量回注方法，OpenFlow清洗交换机根据OpenFlow控制器下发的流量清洗流表，对OpenFlow核心路由器牵引的流量进行匹配，如果不匹配，

OpenFlow控制器将被攻击服务器的地址作为目的地址生成流表项，与将回注的流量转发至受保护服务器相对应的下一跳指令一起生成流量回注流表，并通过OpenFlow协议下发/更新至OpenFlow清洗交换机；

OpenFlow清洗交换机按照流量回注流表，将所述不匹配的流量转发目的地址，以实现流量回注。

当所述牵引的流量在所述流量清洗流表中有匹配的流表项时，所述牵引的流量为异常流量；该方法还包括：

丢弃该所述异常流量，同时将对应该异常流量的流量清洗流表中流表项条目的清洗计数器的计数值加一。

所述流量回注表的优先级为最高。

所述清洗流表的最后一个流表项需要显示地将报文指向流量回注流表。

该方法还包括：

所述OpenFlow控制器定时查询所述清洗计数器；

在判断出流量清洗流表中有流表项记录对应的清洗计数器的计数值大于预先设置的阈值时，通知业务管理平台清洗停止，同时分别删除所述流量牵引流表和所述流量回注流表中对应的流表项。

与现有技术相比，本发明包括异常流量清洗装置由OpenFlow控制器和OpenFlow清洗交换机组成；OpenFlow控制器，生成流量清洗流表并下发给OpenFlow清洗交换机；生成流量牵引流表并下发给OpenFlow核心路由器；生成流量回注流表并下发给OpenFlow清洗交换机；在发生攻击时，OpenFlow清洗交换机根据流量清洗流表匹配来自OpenFlow核心路由器根据流量牵引流表牵引的被攻击服务器的流量，以进行流量清洗；按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址，以实现流量回注。本发明基于OpenFlow的流量清洗架构，统一实现了流量牵引和流量回注，不必再依据网络部署场景、路由协议、现网实际业务的不同而采用多种流量牵引和流量回注的方式；而且，异常流量清洗部件由OpenFlow控制器和OpenFlow清洗交换机组成，实现了流量清洗系统的控制和转发的分离。按照本发明提供的基于OpenFlow的流量清洗架构，当业务需求变化时，仅通过OpenFlow控制器对各种流表进行更新即可，不必重新进行网络配置、部署及更换硬件设备，从而简单、灵活地实现了对网络的重新配置和部署。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。

图1为现有流量清洗解决方案组成及工作模型的示意图；

图2为现有采用策略路由方式的流量回注方式的架构组成示意图；

图3为现有采用MPLS VPN方式的流量回注方式的机构组成示意图；

图4为现有采用VLAN方式的流量回注方式的架构组成示意图；

图5为本发明基于OpenFlow的流量清洗架构的组成结构示意图；

图6为本发明生成清洗流表的实施例的流程示意图；

图7为本发明流量牵引方法的实施例的流程示意图；

图8为本发明流量清洗及回注方法的实施例的流程示意图；

图9为本发明攻击停止取消清洗的实施例的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

软件定义网络（SDN，Software defined Networking）技术是一种通信网络实现方法，其将传统交换机上的报文转发和转发策略分离开来，目前通用的解决方案是，通过开源的OpenFlow协议将控制器（Controller）与交换机连接。这样，原来同在一台交换机设备上的报文转发功能（硬件芯片实现）和报文转发策略（各种软件协议）就被分开到了不同的硬件设备上。其中，一台控制器还可以控制多台OpenFlow交换机，从而实现了统一的转发控制端，更有效地实现了对网络的管理和控制。

OpenFlow交换机的核心功能是报文转发，其报文转发机制大致包括：先在流表中进行报文流匹配，然后根据流表中查找到的行为进行转发。其中，流表由多个流表项组成，而流表项又由匹配字段（Match Fields）、计数器字段（Counters）、指令集字段（Instructions）组成。OpenFlow交换机根据流表对经由自身的每个数据包进行查找，如果匹配成功则执行相关策略；否则，通过安全通道将包转发到控制器，并由控制器决策相关行为。

图5为本发明基于OpenFlow的流量清洗架构的组成结构示意图，如图5所示，在本发明基于OpenFlow的异常流量清洗架构中，异常流量清洗部件由OpenFlow控制器和OpenFlow清洗交换机组成（旁挂设备需要支持OpenFlow）。

其中，OpenFlow控制器根据业务管理平台上报的不同异常流量特征生成多个不同的流表项以形成流量清洗流表，并下发给OpenFlow清洗交换机；OpenFlow控制器将被攻击服务器的地址（如IP地址及TCP端口）作为目的地址（如目的IP地址和目的TCP端口）组成流表项，与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表，并通过OpenFlow协议下发/更新至OpenFlow核心路由器；OpenFlow控制器将被攻击服务器的地址（如IP地址及TCP端口）作为目的地址（如目的IP地址和目的TCP端口）组成流表项，与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量回注流表，并下发给OpenFlow清洗交换机；

当发生攻击时，OpenFlow核心路由器根据流量牵引流表，将被攻击服务器的流量转发至OpenFlow清洗交换机，实现流量牵引;OpenFlow清洗交换机依据流量清洗流表匹配由OpenFlow核心路由器转发的流量以进行流量清洗，并按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址，从而实现流量回注。

进一步地，OpenFlow清洗交换机，将经过所述流量清洗后确定为异常流量的流表项对应的清洗计数器的计数值加一，其中，清洗计数器与流量清洗流表中的流表项一一对应；那么，当攻击停止后取消清洗的过程包括：OpenFlow控制器每隔一段时间（如定时器定时）查询OpenFlow交换机维护的清洗计数器，如果流量清洗流表中的某条流表项记录对应的清洗计数器的计数值大于预先设置的阈值，OpenFlow控制器通知业务管理平台清洗停止，同时分别删除对应的下发给OpenFlow核心路由器的流量牵引流表和OpenFlow清洗交换机的流量回注流表中对应的流表项（依据被保护服务器IP地址和TCP端口判定对应的流表项）；否则，继续轮询清洗计数器。

本发明基于OpenFlow的流量清洗架构，统一实现了流量牵引和流量回注，不必再依据网络部署场景、路由协议、现网实际业务的不同而采用多种流量牵引和流量回注的方式；而且，异常流量清洗部件由OpenFlow控制器和OpenFlow清洗交换机组成，实现了流量清洗系统的控制和转发的分离。按照本发明提供的基于OpenFlow的流量清洗架构，当业务需求变化时，仅通过OpenFlow控制器对各种流表进行更新即可，不必重新进行网络配置、部署及更换硬件设备，从而简单、灵活地实现了对网络的重新配置和部署。

下面结合具体实施例，对本发明的具体实现进行详细描述。

图6为本发明生成清洗流表的实施例的流程示意图，如图6所示，包括：

步骤600：业务管理平台依据异常流量探测部件学习到的安全策略基线，将异常流量特征分类并通知异常流量清洗部件中的OpenFlow控制器。

其中，异常流量探测部件通过学习得到安全策略基线，以及对异常流量特征进行分类的具体实现属于本领域技术人员的惯用技术手段，并不用于限定本发明的保护范围，这里不再赘述。

步骤601：异常流量清洗部件中的OpenFlow控制器，根据业务管理平台上报的不同异常流量特征及种类，生成/更新多个不同的流表项以组成流量清洗流表（当流量清洗流表中存在时，就是进行更新）。

其中，每个流表项代表一类异常流量。流表项由匹配字段（Match Fields）、计数器字段（Counters），以及指令集字段（Instructions）组成。流量清洗流表的最后一个流表项需要显示地将报文指向流量回注流表。根据流水线的限制，流量回注流表的号码需要大于清洗流表的号码。在完成流水线操作后没有可匹配的流表项时，说明不需要流量清洗，进而需要进行流量回注，因此，清洗流表的最后一个流表项需要将报文指向流量回注流表，以便启动流量回注操作。OpenFlow交换机中的流表是从0开始顺序编号的，由于流水线处理只能向前不能向后，因此流水线处理总是从第一个流表开始按编号由小到大依次进行处理。流表项只能将报文指向比自己流表号码大的流表。

步骤602：OpenFlow控制器将生成/更新的流量清洗流表通过OpenFlow协议下发/更新至OpenFlow清洗交换机。

流表的下发通过OpenFlow协议，采用的消息和格式均由OpenFlow本身定义，其具体实现不属于本发明的保护范围，也不用于限定本发明的保护范围。

图7为本发明流量牵引方法的实施例的流程示意图，如图7所示，包括：

步骤700：当攻击发生时，业务管理平台向异常流量清洗部件中的OpenFlow控制器通知被攻击服务器的IP地址及TCP端口。

步骤701：OpenFlow控制器将被攻击服务器的IP地址及TCP端口作为目的IP地址和目的TCP端口生成流表项，与将牵引的流量转发至OpenFlow清洗交换机的指令一起组成流量牵引流表。

本步骤中还将流量牵引流表的优先级设置为最高，从而保证了被牵引的流量不会再转发至其它目的地。

其中，流量牵引流表项中的匹配字段如表1所示。

表1

步骤702：OpenFlow控制器通过OpenFlow协议将生成/更新的流量牵引流表下发/更新至OpenFlow核心路由器。

步骤703：OpenFlow核心路由器将目的地址为被攻击服务器的流量转发至OpenFlow清洗交换机，以实现流量牵引。

图8为本发明流量清洗及回注方法的实施例的流程示意图，如图8所示，包括以下步骤：

步骤800：OpenFlow清洗交换机根据OpenFlow控制器下发的流量清洗流表，对OpenFlow核心路由器牵引的流量进行匹配。

步骤801：如果有匹配的流表项，则丢弃该匹配的流量即异常流量，同时将对应该异常流量的流量清洗流表中流表项条目的预先设置的清洗计数器的计数值加一；如果不匹配，则进入步骤802。

其中，清洗计数器保存在OpenFlow清洗交换机中，其格式如表2所示：

ID

IPv4/6地址

TCF端口

清洗计数器

表2

步骤802：OpenFlow控制器将被攻击服务器的IP地址及TCP端口作为目的IP地址和目的TCP端口生成流表项，与转发至受保护服务器相对应的下一跳指令一起生成流量回注流表。

本步骤中还将流量回注表的优先级设置为最高，从而保证了回注流量不会再转发至其它目的地。其中，流量回注流表项匹配字段如表1所示。

步骤803：OpenFlow控制器通过OpenFlow协议将生成/更新的流量回注流表下发/更新至OpenFlow清洗交换机。

步骤804：OpenFlow清洗交换机按照流量回注流表，将清洗后的“干净”流量（即经步骤801匹配过程未匹配到流表项的流量）转发至被保护服务器相对应的下一跳地址，从而实现流量回注。

图9为本发明攻击停止取消清洗的实施例的流程示意图，如图9所示，包括以下步骤：

步骤900：OpenFlow控制器每隔一段时间（比如采用定时器实现定时）查询OpenFlow交换机中设置的清洗计数器。

步骤901：判断流量清洗流表中各流表项记录对应的清洗计数器的计数值是否大于预先设置的阈值，如果不是，则在定时范围内返回继续查询；否者进入步骤902。

步骤902：在某条流表项记录对应的清洗计数器的计数值大于预先设定的阈值时，OpenFlow控制器通知业务管理平台清洗停止，同时分别删除（即更新）其下发给OpenFlow核心路由器的流量牵引流表和OpenFlow清洗交换机的流量回注流表中对应的流表项（根据被保护服务器IP地址和TCP端口判定对应的流表项）。

这样，在攻击停止后，停止了对无攻击流量的流量牵引和流量回注，恢复了对无攻击流量的正常转发。

如图5所示，本发明流量清洗装置（即图5中所示的遗产流量清洗部件）包括OpenFlow控制器和OpenFlow清洗交换机，其中，

OpenFlow控制器，用于根据业务管理平台上报的不同异常流量特征生成多个不同的流表项以形成流量清洗流表，并下发给OpenFlow清洗交换机；将被攻击服务器的IP地址及TCP端口作为目的IP地址和目的TCP端口生成流表项，与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表，生成的流量牵引流表通过OpenFlow协议下发/更新至OpenFlow核心路由器；根据被攻击服务器的IP地址及TCP端口作为目的IP地址和目的TCP端口生成流表项，与将回注的流量转发至受保护服务器相对应的下一跳指令一起生成流量回注流表，并下发给OpenFlow清洗交换机；

OpenFlow清洗交换机，用于在发生攻击时，根据流量清洗流表匹配来自OpenFlow核心路由器根据流量牵引流表牵引的被攻击服务器的流量，以进行流量清洗；按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址，以实现流量回注。

OpenFlow控制器，还用于每隔一段时间（如定时器定时）查询OpenFlow交换机维护的清洗计数器，在流量清洗流表中的某条流表项记录对应的清洗计数器的计数值大于预先设置的阈值时，通知业务管理平台清洗停止，同时分别删除对应的下发给OpenFlow核心路由器的流量牵引流表和OpenFlow清洗交换机的流量回注流表中对应的流表项。

本发明异常流量清洗装置由OpenFlow控制器和OpenFlow清洗交换机组成，实现了流量清洗系统的控制和转发的分离。按照本发明提供的基于OpenFlow的流量清洗架构，当业务需求变化时，仅通过OpenFlow控制器对各种流表进行更新即可，不必重新进行网络配置、部署及更换硬件设备，从而简单、灵活地实现了对网络的重新配置和部署。

虽然本发明所揭露的实施方式如上，但所述的内容仅为便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

Claims (12)

1.一种流量清洗装置，其特征在于，包括OpenFlow控制器和OpenFlow清洗交换机，其中，

OpenFlow控制器，用于根据业务管理平台上报的不同异常流量特征生成由不同的流表项以形成流量清洗流表，并下发给OpenFlow清洗交换机；将被攻击服务器的地址作为目的地址组成流表项，与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表，并通过OpenFlow协议下发/更新至OpenFlow核心路由器；将被攻击服务器的地址作为目的地址组成流表项，与将回注的流量转发至受保护服务器相对应的下一跳的指令一起生成流量回注流表，并下发给OpenFlow清洗交换机；

OpenFlow清洗交换机，用于在发生攻击时，根据流量清洗流表匹配来自OpenFlow核心路由器根据流量牵引流表牵引的被攻击服务器的流量，以进行流量清洗；按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址，以实现流量回注。

2.根据权利要求1所述的流量清洗装置，其特征在于，所述OpenFlow清洗交换机，还用于将经过所述流量清洗后确定为异常流量的流表项对应的清洗计数器的计数值加一。

3.根据权利要求2所述的流量清洗装置，其特征在于，

所述OpenFlow控制器，还用于定时查询所述清洗计数器；在所述流量清洗流表中的流表项记录对应的清洗计数器的计数值大于预先设置的阈值时，通知所述业务管理平台清洗停止，删除所述流量牵引流表和流量回注流表中对应所述所述清洗计数器的流表项。

4.一种核心路由器，其特征在于，支持OpenFlow协议，用于在发生攻击时，根据异常流量清洗部件中的OpenFlow控制器下发/更新的流量牵引流表，将被攻击服务器的流量转发至OpenFlow清洗交换机，以实现流量牵引。

5.一种流量清洗架构，包括异常流量探测部件、业务管理平台，其特征在于，还包括：基于OpenFlow协议的异常流量清洗部件，以及OpenFlow核心路由器；其中，异常流量清洗部件包括OpenFlow控制器和OpenFlow清洗交换机。

6.一种流量牵引方法，其特征在于，包括：当攻击发生时，业务管理平台向异常流量清洗部件中的OpenFlow控制器通知被攻击服务器的地址信息；

OpenFlow控制器将被攻击服务器的地址作为目的地址组成流表项，与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表，并通过OpenFlow协议下发/更新至OpenFlow核心路由器；

OpenFlow核心路由器将目的地址为被攻击服务器的流量转发至OpenFlow清洗交换机，以实现流量牵引。

7.根据权利要求6所述的流量牵引方法，其特征在于，所述被攻击服务器的地址包括IP地址和TCP端口；

所述目的地址包括目的IP地址和目的TCP端口。

8.一种流量回注方法，其特征在于，OpenFlow清洗交换机根据OpenFlow控制器下发的流量清洗流表，对OpenFlow核心路由器牵引的流量进行匹配，如果不匹配，

OpenFlow控制器将被攻击服务器的地址作为目的地址生成流表项，与将回注的流量转发至受保护服务器相对应的下一跳指令一起生成流量回注流表，并通过OpenFlow协议下发/更新至OpenFlow清洗交换机；

OpenFlow清洗交换机按照流量回注流表，将所述不匹配的流量转发目的地址，以实现流量回注。

9.根据权利要求8所述的流量回注方法，其特征在于，当所述牵引的流量在所述流量清洗流表中有匹配的流表项时，所述牵引的流量为异常流量；该方法还包括：

丢弃该所述异常流量，同时将对应该异常流量的流量清洗流表中流表项条目的清洗计数器的计数值加一。

10.根据权利要求8或9所述的流量回注方法，其特征在于，所述流量回注表的优先级为最高。

11.根据权利要求8所述的流量回注方法，其特征在于，所述清洗流表的最后一个流表项需要显示地将报文指向流量回注流表。

12.根据权利要求9所述的流量回注方法，其特征在于，该方法还包括：

所述OpenFlow控制器定时查询所述清洗计数器；

在判断出流量清洗流表中有流表项记录对应的清洗计数器的计数值大于预先设置的阈值时，通知业务管理平台清洗停止，同时分别删除所述流量牵引流表和所述流量回注流表中对应的流表项。

Images