CN103491095B - 流量清洗架构、装置及流量牵引、流量回注方法 - Google Patents
流量清洗架构、装置及流量牵引、流量回注方法 Download PDFInfo
- Publication number
- CN103491095B CN103491095B CN201310445695.XA CN201310445695A CN103491095B CN 103491095 B CN103491095 B CN 103491095B CN 201310445695 A CN201310445695 A CN 201310445695A CN 103491095 B CN103491095 B CN 103491095B
- Authority
- CN
- China
- Prior art keywords
- flow
- openflow
- cleaning
- stream table
- injection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004140 cleaning Methods 0.000 title claims abstract description 168
- 238000002347 injection Methods 0.000 title claims abstract description 101
- 239000007924 injection Substances 0.000 title claims abstract description 101
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000002159 abnormal effect Effects 0.000 claims abstract description 71
- 230000008878 coupling Effects 0.000 claims abstract description 6
- 238000010168 coupling process Methods 0.000 claims abstract description 6
- 238000005859 coupling reaction Methods 0.000 claims abstract description 6
- 239000000203 mixture Substances 0.000 claims description 21
- 230000013011 mating Effects 0.000 claims description 4
- 238000000926 separation method Methods 0.000 abstract description 5
- 239000000243 solution Substances 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000008859 change Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000010926 purge Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Abstract
本发明公开了一种流量清洗架构、装置及流量牵引、流量回注方法,包括OpenFlow控制器,生成流量清洗流表和流量回注流表并下发给OpenFlow清洗交换机;生成流量牵引流表并下发给OpenFlow核心路由器。在发生攻击时,OpenFlow清洗交换机根据流量清洗流表匹配根据流量牵引流表牵引的被攻击服务器的流量,以进行流量清洗;按照流量回注流表对清洗后的“干净”流量进行转发,以实现流量回注。本发明基于OpenFlow的流量清洗架构,统一实现了流量牵引和流量回注;异常流量清洗部件由OpenFlow控制器和OpenFlow清洗交换机组成,实现了流量清洗系统的控制和转发的分离;当业务需求变化时,仅通过OpenFlow控制器对各种流表进行更新即可,从而简单、灵活地实现了对网络的重新配置和部署。
Description
技术领域
本发明涉及流量清洗技术,尤指一种流量清洗架构、流量清洗装置及流量牵引、流量回注方法。
背景技术
分布式拒绝服务(DDoS,DistributedDenialofService)已成为互联网上最常见的攻击类型,攻击工具在互联网上可轻易获得,发动攻击的技术门槛很低。近来,DDoS的攻击流量明显增大,数十G的攻击流量频频出现,最高已达300G,甚至已经逐渐发展成为公开的服务。
目前,较为成熟的防御DDoS攻击的手段是流量清洗,即运营商通过在城域网串接或旁挂流量清洗中心,在不影响正常业务的同时,对城域网中出现的DDoS攻击流量进行过滤,实现对城域网和大客户网络业务的保护。
图1为现有流量清洗解决方案组成及工作模型的示意图,如图1所示,流量清洗解决方案由异常流量探测部件、异常流量清洗部件及业务管理平台三部分组成,其中,
异常流量探测部件,用于通过镜像或者分光的方式复制用户的流量,并实时进行攻击探测及异常流量分析。具体地,异常流量探测部件在网络中运行一段时间,通过对城域网用户业务流量进行逐包的分析和统计,学习出一套与实际网络相似的流量分布情况并自动生成安全策略基线,学习到的安全策略基线上报给业务管理平台,由业务管理平台对该安全策略基线进行进一步加工处理后,再下发给异常流量探测部件或异常流量清洗部件,并应支持安全策略基线的配置。目前,大多数运营商的异常流量探测部件具备深度包检测(DPI,DeepPacketInspection)和深度流检测(DFI,DeepFlowInspection)的综合防御检测技术。
异常流量清洗部件,用于通过发布明细路由的方式,牵引发生攻击的用户流量即流量牵引,对牵引过来的流量进行攻击报文的过滤,并把清洗后的“干净”流量回注给用户即流量回注。具体地,当攻击发生时,异常流量清洗部件通过更新旁路设备上的路由表项,将流经所有旁路设备上的被保护对象的流量动态地牵引到清洗部件进行清洗。清洗部件可通过边界网关协议版本4(BGP4,BorderGatewayProtocolVersion4)或其它路由协议向旁路设备发布更新路由来实现旁路设备路由表更新。异常流量清洗部件将清洗后的流量回注给被保护对象,并向业务管理平台上报清洗日志以形成相应的报表。
业务管理平台,用于完成对异常流量探测部件、异常流量清洗部件的集中管理,并根据异常流量探测部件上报的异常流量告警,通过邮件、短信的方式通知运营商运维人员或者用户,并下发防御策略。另外,业务管理平台还用于为用户提供详细的流量日志分析报表、攻击事件处理报告等。
对于流量清洗解决方案来讲,如何实现流量牵引和流量回注是两大难题。目前,流量牵引主要有BGP流量牵引。为了能在用户的业务遭受DDoS攻击时,将用户的流量动态的牵引到异常流量清洗部件完成清洗过程,异常流量清洗部件利用内部BGP协议(IBGP)或者外部BGP协议(EBGP),首先与城域网中用户流量路径上的多个核心设备建立BGP对等体(BGPPeer);在攻击发生时,异常流量清洗部件通过BGP协议会向核心路由器发布BGP更新路由通告,更新核心路由器上的路由表项,将流经所有核心路由器上的被攻击服务器的流量动态的牵引到异常流量清洗部件进行清洗。同时,异常流量清洗部件发布的BGP路由添加不宣告(no-advertise)属性,确保异常流量清洗部件发布的路由不会被扩散到城域网,其中,no-advertise属性是BGP协议中的团体属性中有一个属性,带有该属性的路由信息不通告给任何BGP相邻体。进一步地,在异常流量清洗部件上通过路由策略不接收核心路路由器发布的路由更新。从而严格控制对城域网造成的影响。
而流量回注主要有采用策略路由方式、MPLSVPN方式、VLAN方式等的流量回注方式。其中,
图2为现有采用策略路由方式的流量回注方式的组成示意图,如图2所示,采用策略路由方式的流量回注方式,是通过在旁挂路由器上配置策略路由,将异常流量清洗部件中需要回注的流量指向受保护设备相对应的下一跳,从而绕过旁挂设备的正常转发,实现该用户的流量回注。为了简化策略路由的部署,会将城域网的用户分组,仅为每组用户配置一条策略路由指向该组用户所对应的下一跳设备。这样既可实现针对该组用户的流量回注,而且在初期实施完成后不需要再修改城域网设备配置,其可维护性和可操作性得到了很大的增加,但是,用策略路由方式的流量回注方式直接影响到了城域网中的路由设备。
图3为现有采用MPLSVPN方式的流量回注方式的机构组成示意图,如图3所示,在MPLSVPN方式的流量回注方式中,在异常流量清洗部件与业务路由器之间需要建立MPLSVPN隧道,来自城域网外部的异常流量经过异常流量清洗部件清洗后,选择对应的VPN隧道,并打上该VPN标签后,将“干净”报文发送给城域网核心路由器,核心路由器及汇聚路由器对其进行标签交换,最后在核心路由器上弹出标签,并转发到客户网络。采用MPLSVPN方式的流量回注方式便于开展业务,一旦部署完成后,后续业务的开展就都不需要再修改城域网设备的数据;但是,这种流量回注方式要求城域网接入层以上的设备都要支持MPLS功能,这样,对于现网中并没有开展MPLSVPN业务的情况,部署起来较为复杂,对设备的改动也会很大,而且当配置发生改变后,需要对参与实现流量回注的每个设备进行重新配置,部署起来较为复杂。
图4为现有采用VLAN方式的流量回注方式的架构组成示意图采用,如图4所示,在采用VLAN方式的流量回注方式中,在异常流量清洗部件与核心路由器之间需要建立多个VLAN子接口,来自城域网外部的异常流量经过异常流量清洗部件清洗后,选择对应的VLAN子接口,并打上该VLANTag后,将“干净”报文发送给城域网核心路由器,核心路由器根据VLANTag找到对应的VLAN子接口,并根据子接口下的策略路由选择把报文转发到对应的汇聚路由器上。采用VLAN方式的流量回注方式便于开展业务,一旦部署完成后,后续业务的开展就都不需要再修改城域网设备的数据,以后业务开展时只需要在防御设备上做数据就行了,而且部署实现相对较为简单,只需要在与防御设备现连的核心路由器上做VLAN子接口与汇聚路由器一一对应的策略路由配置即可。但是,这种流量回注方式中,当汇聚设备路由变化时,核心设备和异常流量清洗部件是无法感知的,因此是不能进行自动调整的,从而影响了流量回注的实现。
综上所述,现有流量清洗解决方案中流量牵引和流量回注按照部署场景、路由协议、现网实际业务的不同需要考虑多种实现方式,很难统一管理,也无法实现控制和转发分离。特别地,当用户的业务需求变化时,需要重新进行网络配置和部署,甚至需要更换流量清洗硬件设备,实现难度大,不灵活。
发明内容
为了解决上述技术问题,本发明提供了一种流量清洗架构、流量清洗装置及流量牵引、流量回注方法,能够实现流量清洗系统的控制和转发分离,而且当用户的业务需求变化时,能够简单、灵活地实现对网络的重新配置和部署。
为了达到本发明目的,本发明提供了一种流量清洗装置,包括OpenFlow控制器和OpenFlow清洗交换机,其中,
OpenFlow控制器,用于根据业务管理平台上报的不同异常流量特征生成由不同的流表项以形成流量清洗流表,并下发给OpenFlow清洗交换机;将被攻击服务器的地址作为目的地址组成流表项,与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表,并通过OpenFlow协议下发/更新至OpenFlow核心路由器;将被攻击服务器的地址作为目的地址组成流表项,与将回注的流量转发至受保护服务器相对应的下一跳的指令一起生成流量回注流表,并下发给OpenFlow清洗交换机;
OpenFlow清洗交换机,用于在发生攻击时,根据流量清洗流表匹配来自OpenFlow核心路由器根据流量牵引流表牵引的被攻击服务器的流量,以进行流量清洗;按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址,以实现流量回注。
所述OpenFlow清洗交换机,还用于将经过所述流量清洗后确定为异常流量的流表项对应的清洗计数器的计数值加一。
所述OpenFlow控制器,还用于定时查询所述清洗计数器;在所述流量清洗流表中的流表项记录对应的清洗计数器的计数值大于预先设置的阈值时,通知所述业务管理平台清洗停止,删除所述流量牵引流表和流量回注流表中对应所述所述清洗计数器的流表项。
本发明还提供一种核心路由器,支持OpenFlow协议,用于在发生攻击时,根据异常流量清洗部件中的OpenFlow控制器下发/更新的流量牵引流表,将被攻击服务器的流量转发至OpenFlow清洗交换机,以实现流量牵引。
本发明还提供一种流量清洗架构,包括异常流量探测部件、业务管理平台,还包括:基于OpenFlow协议的异常流量清洗部件,以及OpenFlow核心路由器;其中,异常流量清洗部件包括OpenFlow控制器和OpenFlow清洗交换机。
本发明还提供一种流量牵引方法,包括:当攻击发生时,业务管理平台向异常流量清洗部件中的OpenFlow控制器通知被攻击服务器的地址信息;
OpenFlow控制器将被攻击服务器的地址作为目的地址组成流表项,与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表,并通过OpenFlow协议下发/更新至OpenFlow核心路由器;
OpenFlow核心路由器将目的地址为被攻击服务器的流量转发至OpenFlow清洗交换机,以实现流量牵引。
所述被攻击服务器的地址包括IP地址和TCP端口;
所述目的地址包括目的IP地址和目的TCP端口。
本发明还提供一种流量回注方法,OpenFlow清洗交换机根据OpenFlow控制器下发的流量清洗流表,对OpenFlow核心路由器牵引的流量进行匹配,如果不匹配,
OpenFlow控制器将被攻击服务器的地址作为目的地址生成流表项,与将回注的流量转发至受保护服务器相对应的下一跳指令一起生成流量回注流表,并通过OpenFlow协议下发/更新至OpenFlow清洗交换机;
OpenFlow清洗交换机按照流量回注流表,将所述不匹配的流量转发目的地址,以实现流量回注。
当所述牵引的流量在所述流量清洗流表中有匹配的流表项时,所述牵引的流量为异常流量;该方法还包括:
丢弃该所述异常流量,同时将对应该异常流量的流量清洗流表中流表项条目的清洗计数器的计数值加一。
所述流量回注表的优先级为最高。
所述清洗流表的最后一个流表项需要显示地将报文指向流量回注流表。
该方法还包括:
所述OpenFlow控制器定时查询所述清洗计数器;
在判断出流量清洗流表中有流表项记录对应的清洗计数器的计数值大于预先设置的阈值时,通知业务管理平台清洗停止,同时分别删除所述流量牵引流表和所述流量回注流表中对应的流表项。
与现有技术相比,本发明包括异常流量清洗装置由OpenFlow控制器和OpenFlow清洗交换机组成;OpenFlow控制器,生成流量清洗流表并下发给OpenFlow清洗交换机;生成流量牵引流表并下发给OpenFlow核心路由器;生成流量回注流表并下发给OpenFlow清洗交换机;在发生攻击时,OpenFlow清洗交换机根据流量清洗流表匹配来自OpenFlow核心路由器根据流量牵引流表牵引的被攻击服务器的流量,以进行流量清洗;按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址,以实现流量回注。本发明基于OpenFlow的流量清洗架构,统一实现了流量牵引和流量回注,不必再依据网络部署场景、路由协议、现网实际业务的不同而采用多种流量牵引和流量回注的方式;而且,异常流量清洗部件由OpenFlow控制器和OpenFlow清洗交换机组成,实现了流量清洗系统的控制和转发的分离。按照本发明提供的基于OpenFlow的流量清洗架构,当业务需求变化时,仅通过OpenFlow控制器对各种流表进行更新即可,不必重新进行网络配置、部署及更换硬件设备,从而简单、灵活地实现了对网络的重新配置和部署。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为现有流量清洗解决方案组成及工作模型的示意图;
图2为现有采用策略路由方式的流量回注方式的架构组成示意图;
图3为现有采用MPLSVPN方式的流量回注方式的机构组成示意图;
图4为现有采用VLAN方式的流量回注方式的架构组成示意图;
图5为本发明基于OpenFlow的流量清洗架构的组成结构示意图;
图6为本发明生成清洗流表的实施例的流程示意图;
图7为本发明流量牵引方法的实施例的流程示意图;
图8为本发明流量清洗及回注方法的实施例的流程示意图;
图9为本发明攻击停止取消清洗的实施例的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
软件定义网络(SDN,SoftwaredefinedNetworking)技术是一种通信网络实现方法,其将传统交换机上的报文转发和转发策略分离开来,目前通用的解决方案是,通过开源的OpenFlow协议将控制器(Controller)与交换机连接。这样,原来同在一台交换机设备上的报文转发功能(硬件芯片实现)和报文转发策略(各种软件协议)就被分开到了不同的硬件设备上。其中,一台控制器还可以控制多台OpenFlow交换机,从而实现了统一的转发控制端,更有效地实现了对网络的管理和控制。
OpenFlow交换机的核心功能是报文转发,其报文转发机制大致包括:先在流表中进行报文流匹配,然后根据流表中查找到的行为进行转发。其中,流表由多个流表项组成,而流表项又由匹配字段(MatchFields)、计数器字段(Counters)、指令集字段(Instructions)组成。OpenFlow交换机根据流表对经由自身的每个数据包进行查找,如果匹配成功则执行相关策略;否则,通过安全通道将包转发到控制器,并由控制器决策相关行为。
图5为本发明基于OpenFlow的流量清洗架构的组成结构示意图,如图5所示,在本发明基于OpenFlow的异常流量清洗架构中,异常流量清洗部件由OpenFlow控制器和OpenFlow清洗交换机组成(旁挂设备需要支持OpenFlow)。
其中,OpenFlow控制器根据业务管理平台上报的不同异常流量特征生成多个不同的流表项以形成流量清洗流表,并下发给OpenFlow清洗交换机;OpenFlow控制器将被攻击服务器的地址(如IP地址及TCP端口)作为目的地址(如目的IP地址和目的TCP端口)组成流表项,与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表,并通过OpenFlow协议下发/更新至OpenFlow核心路由器;OpenFlow控制器将被攻击服务器的地址(如IP地址及TCP端口)作为目的地址(如目的IP地址和目的TCP端口)组成流表项,与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量回注流表,并下发给OpenFlow清洗交换机;
当发生攻击时,OpenFlow核心路由器根据流量牵引流表,将被攻击服务器的流量转发至OpenFlow清洗交换机,实现流量牵引;OpenFlow清洗交换机依据流量清洗流表匹配由OpenFlow核心路由器转发的流量以进行流量清洗,并按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址,从而实现流量回注。
进一步地,OpenFlow清洗交换机,将经过所述流量清洗后确定为异常流量的流表项对应的清洗计数器的计数值加一,其中,清洗计数器与流量清洗流表中的流表项一一对应;那么,当攻击停止后取消清洗的过程包括:OpenFlow控制器每隔一段时间(如定时器定时)查询OpenFlow交换机维护的清洗计数器,如果流量清洗流表中的某条流表项记录对应的清洗计数器的计数值大于预先设置的阈值,OpenFlow控制器通知业务管理平台清洗停止,同时分别删除对应的下发给OpenFlow核心路由器的流量牵引流表和OpenFlow清洗交换机的流量回注流表中对应的流表项(依据被保护服务器IP地址和TCP端口判定对应的流表项);否则,继续轮询清洗计数器。
本发明基于OpenFlow的流量清洗架构,统一实现了流量牵引和流量回注,不必再依据网络部署场景、路由协议、现网实际业务的不同而采用多种流量牵引和流量回注的方式;而且,异常流量清洗部件由OpenFlow控制器和OpenFlow清洗交换机组成,实现了流量清洗系统的控制和转发的分离。按照本发明提供的基于OpenFlow的流量清洗架构,当业务需求变化时,仅通过OpenFlow控制器对各种流表进行更新即可,不必重新进行网络配置、部署及更换硬件设备,从而简单、灵活地实现了对网络的重新配置和部署。
下面结合具体实施例,对本发明的具体实现进行详细描述。
图6为本发明生成清洗流表的实施例的流程示意图,如图6所示,包括:
步骤600:业务管理平台依据异常流量探测部件学习到的安全策略基线,将异常流量特征分类并通知异常流量清洗部件中的OpenFlow控制器。
其中,异常流量探测部件通过学习得到安全策略基线,以及对异常流量特征进行分类的具体实现属于本领域技术人员的惯用技术手段,并不用于限定本发明的保护范围,这里不再赘述。
步骤601:异常流量清洗部件中的OpenFlow控制器,根据业务管理平台上报的不同异常流量特征及种类,生成/更新多个不同的流表项以组成流量清洗流表(当流量清洗流表中存在时,就是进行更新)。
其中,每个流表项代表一类异常流量。流表项由匹配字段(MatchFields)、计数器字段(Counters),以及指令集字段(Instructions)组成。流量清洗流表的最后一个流表项需要显示地将报文指向流量回注流表。根据流水线的限制,流量回注流表的号码需要大于清洗流表的号码。在完成流水线操作后没有可匹配的流表项时,说明不需要流量清洗,进而需要进行流量回注,因此,清洗流表的最后一个流表项需要将报文指向流量回注流表,以便启动流量回注操作。OpenFlow交换机中的流表是从0开始顺序编号的,由于流水线处理只能向前不能向后,因此流水线处理总是从第一个流表开始按编号由小到大依次进行处理。流表项只能将报文指向比自己流表号码大的流表。
步骤602:OpenFlow控制器将生成/更新的流量清洗流表通过OpenFlow协议下发/更新至OpenFlow清洗交换机。
流表的下发通过OpenFlow协议,采用的消息和格式均由OpenFlow本身定义,其具体实现不属于本发明的保护范围,也不用于限定本发明的保护范围。
图7为本发明流量牵引方法的实施例的流程示意图,如图7所示,包括:
步骤700:当攻击发生时,业务管理平台向异常流量清洗部件中的OpenFlow控制器通知被攻击服务器的IP地址及TCP端口。
步骤701:OpenFlow控制器将被攻击服务器的IP地址及TCP端口作为目的IP地址和目的TCP端口生成流表项,与将牵引的流量转发至OpenFlow清洗交换机的指令一起组成流量牵引流表。
本步骤中还将流量牵引流表的优先级设置为最高,从而保证了被牵引的流量不会再转发至其它目的地。
其中,流量牵引流表项中的匹配字段如表1所示。
表1
步骤702:OpenFlow控制器通过OpenFlow协议将生成/更新的流量牵引流表下发/更新至OpenFlow核心路由器。
步骤703:OpenFlow核心路由器将目的地址为被攻击服务器的流量转发至OpenFlow清洗交换机,以实现流量牵引。
图8为本发明流量清洗及回注方法的实施例的流程示意图,如图8所示,包括以下步骤:
步骤800:OpenFlow清洗交换机根据OpenFlow控制器下发的流量清洗流表,对OpenFlow核心路由器牵引的流量进行匹配。
步骤801:如果有匹配的流表项,则丢弃该匹配的流量即异常流量,同时将对应该异常流量的流量清洗流表中流表项条目的预先设置的清洗计数器的计数值加一;如果不匹配,则进入步骤802。
其中,清洗计数器保存在OpenFlow清洗交换机中,其格式如表2所示:
| ID | IPv4/6地址 | TCF端口 | 清洗计数器 |
表2
步骤802:OpenFlow控制器将被攻击服务器的IP地址及TCP端口作为目的IP地址和目的TCP端口生成流表项,与转发至受保护服务器相对应的下一跳指令一起生成流量回注流表。
本步骤中还将流量回注表的优先级设置为最高,从而保证了回注流量不会再转发至其它目的地。其中,流量回注流表项匹配字段如表1所示。
步骤803:OpenFlow控制器通过OpenFlow协议将生成/更新的流量回注流表下发/更新至OpenFlow清洗交换机。
步骤804:OpenFlow清洗交换机按照流量回注流表,将清洗后的“干净”流量(即经步骤801匹配过程未匹配到流表项的流量)转发至被保护服务器相对应的下一跳地址,从而实现流量回注。
图9为本发明攻击停止取消清洗的实施例的流程示意图,如图9所示,包括以下步骤:
步骤900:OpenFlow控制器每隔一段时间(比如采用定时器实现定时)查询OpenFlow交换机中设置的清洗计数器。
步骤901:判断流量清洗流表中各流表项记录对应的清洗计数器的计数值是否大于预先设置的阈值,如果不是,则在定时范围内返回继续查询;否者进入步骤902。
步骤902:在某条流表项记录对应的清洗计数器的计数值大于预先设定的阈值时,OpenFlow控制器通知业务管理平台清洗停止,同时分别删除(即更新)其下发给OpenFlow核心路由器的流量牵引流表和OpenFlow清洗交换机的流量回注流表中对应的流表项(根据被保护服务器IP地址和TCP端口判定对应的流表项)。
这样,在攻击停止后,停止了对无攻击流量的流量牵引和流量回注,恢复了对无攻击流量的正常转发。
如图5所示,本发明流量清洗装置(即图5中所示的遗产流量清洗部件)包括OpenFlow控制器和OpenFlow清洗交换机,其中,
OpenFlow控制器,用于根据业务管理平台上报的不同异常流量特征生成多个不同的流表项以形成流量清洗流表,并下发给OpenFlow清洗交换机;将被攻击服务器的IP地址及TCP端口作为目的IP地址和目的TCP端口生成流表项,与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表,生成的流量牵引流表通过OpenFlow协议下发/更新至OpenFlow核心路由器;根据被攻击服务器的IP地址及TCP端口作为目的IP地址和目的TCP端口生成流表项,与将回注的流量转发至受保护服务器相对应的下一跳指令一起生成流量回注流表,并下发给OpenFlow清洗交换机;
OpenFlow清洗交换机,用于在发生攻击时,根据流量清洗流表匹配来自OpenFlow核心路由器根据流量牵引流表牵引的被攻击服务器的流量,以进行流量清洗;按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址,以实现流量回注。
OpenFlow控制器,还用于每隔一段时间(如定时器定时)查询OpenFlow交换机维护的清洗计数器,在流量清洗流表中的某条流表项记录对应的清洗计数器的计数值大于预先设置的阈值时,通知业务管理平台清洗停止,同时分别删除对应的下发给OpenFlow核心路由器的流量牵引流表和OpenFlow清洗交换机的流量回注流表中对应的流表项。
本发明异常流量清洗装置由OpenFlow控制器和OpenFlow清洗交换机组成,实现了流量清洗系统的控制和转发的分离。按照本发明提供的基于OpenFlow的流量清洗架构,当业务需求变化时,仅通过OpenFlow控制器对各种流表进行更新即可,不必重新进行网络配置、部署及更换硬件设备,从而简单、灵活地实现了对网络的重新配置和部署。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (11)
1.一种流量清洗装置,其特征在于,包括OpenFlow控制器和OpenFlow清洗交换机,其中,
OpenFlow控制器,用于根据业务管理平台上报的不同异常流量特征生成由不同的流表项以形成流量清洗流表,并下发给OpenFlow清洗交换机;将被攻击服务器的地址作为目的地址组成流表项,与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表,并通过OpenFlow协议下发/更新至OpenFlow核心路由器;将被攻击服务器的地址作为目的地址组成流表项,与将回注的流量转发至受保护服务器相对应的下一跳的指令一起生成流量回注流表,并下发给OpenFlow清洗交换机;
OpenFlow清洗交换机,用于在发生攻击时,根据流量清洗流表匹配来自OpenFlow核心路由器根据流量牵引流表牵引的被攻击服务器的流量,以进行流量清洗;按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址,以实现流量回注。
2.根据权利要求1所述的流量清洗装置,其特征在于,所述OpenFlow清洗交换机,还用于将经过流量清洗后确定为异常流量的流表项对应的清洗计数器的计数值加一。
3.根据权利要求2所述的流量清洗装置,其特征在于,
所述OpenFlow控制器,还用于定时查询所述清洗计数器;在所述流量清洗流表中的流表项记录对应的清洗计数器的计数值大于预先设置的阈值时,通知所述业务管理平台清洗停止,删除所述流量牵引流表和流量回注流表中对应所述清洗计数器的流表项。
4.一种流量清洗架构,包括异常流量探测部件、业务管理平台,其特征在于,还包括:基于OpenFlow协议的异常流量清洗部件,以及OpenFlow核心路由器;其中,异常流量清洗部件包括OpenFlow控制器和OpenFlow清洗交换机,其中,
OpenFlow控制器,用于根据业务管理平台上报的不同异常流量特征生成由不同的流表项以形成流量清洗流表,并下发给OpenFlow清洗交换机;将被攻击服务器的地址作为目的地址组成流表项,与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表,并通过OpenFlow协议下发/更新至OpenFlow核心路由器;将被攻击服务器的地址作为目的地址组成流表项,与将回注的流量转发至受保护服务器相对应的下一跳的指令一起生成流量回注流表,并下发给OpenFlow清洗交换机;
OpenFlow清洗交换机,用于在发生攻击时,根据流量清洗流表匹配来自OpenFlow核心路由器根据流量牵引流表牵引的被攻击服务器的流量,以进行流量清洗;按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址,以实现流量回注。
5.一种流量牵引方法,其特征在于,包括:当攻击发生时,业务管理平台向异常流量清洗部件中的OpenFlow控制器通知被攻击服务器的地址信息;
OpenFlow控制器将被攻击服务器的地址作为目的地址组成流表项,与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表,并通过OpenFlow协议下发/更新至OpenFlow核心路由器;
OpenFlow核心路由器将目的地址为被攻击服务器的流量转发至OpenFlow清洗交换机,以实现流量牵引。
6.根据权利要求5所述的流量牵引方法,其特征在于,所述被攻击服务器的地址包括IP地址和TCP端口;
所述目的地址包括目的IP地址和目的TCP端口。
7.一种流量回注方法,其特征在于,OpenFlow清洗交换机根据OpenFlow控制器下发的流量清洗流表,对OpenFlow核心路由器牵引的流量进行匹配,如果不匹配,
OpenFlow控制器将被攻击服务器的地址作为目的地址生成流表项,与将回注的流量转发至受保护服务器相对应的下一跳指令一起生成流量回注流表,并通过OpenFlow协议下发/更新至OpenFlow清洗交换机;
OpenFlow清洗交换机按照流量回注流表,将不匹配的流量转发目的地址,以实现流量回注。
8.根据权利要求7所述的流量回注方法,其特征在于,当所述牵引的流量在所述流量清洗流表中有匹配的流表项时,所述牵引的流量为异常流量;该方法还包括:
丢弃该所述异常流量,同时将对应该异常流量的流量清洗流表中流表项条目的清洗计数器的计数值加一。
9.根据权利要求7或8所述的流量回注方法,其特征在于,所述流量回注流表的优先级为最高。
10.根据权利要求7所述的流量回注方法,其特征在于,所述清洗流表的最后一个流表项需要显示地将报文指向流量回注流表。
11.根据权利要求8所述的流量回注方法,其特征在于,该方法还包括:
所述OpenFlow控制器定时查询所述清洗计数器;
在判断出流量清洗流表中有流表项记录对应的清洗计数器的计数值大于预先设置的阈值时,通知业务管理平台清洗停止,同时分别删除所述流量牵引流表和所述流量回注流表中对应的流表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310445695.XA CN103491095B (zh) | 2013-09-25 | 2013-09-25 | 流量清洗架构、装置及流量牵引、流量回注方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310445695.XA CN103491095B (zh) | 2013-09-25 | 2013-09-25 | 流量清洗架构、装置及流量牵引、流量回注方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103491095A CN103491095A (zh) | 2014-01-01 |
| CN103491095B true CN103491095B (zh) | 2016-07-13 |
Family
ID=49831054
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310445695.XA Active CN103491095B (zh) | 2013-09-25 | 2013-09-25 | 流量清洗架构、装置及流量牵引、流量回注方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103491095B (zh) |
Families Citing this family (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104852887B (zh) * | 2014-02-17 | 2019-03-15 | 上海宽带技术及应用工程研究中心 | 基于OpenFlow技术的网络流量溯源系统及方法 |
| EP3166265B1 (en) | 2014-08-06 | 2019-10-02 | Huawei Technologies Co., Ltd. | Method, apparatus and system for processing data packet in software defined network (sdn) |
| CN104202322B (zh) * | 2014-09-04 | 2018-01-19 | 国家电网公司 | 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法 |
| CN104394080A (zh) * | 2014-11-28 | 2015-03-04 | 杭州华三通信技术有限公司 | 实现安全组功能的方法及装置 |
| CN105791205B (zh) * | 2014-12-15 | 2019-06-14 | 中国移动通信集团公司 | 一种防止ddos攻击的方法和装置 |
| CN108040057B (zh) * | 2014-12-17 | 2021-08-06 | 江西武大扬帆科技有限公司 | 适于保障网络安全、网络通信质量的sdn系统的工作方法 |
| CN107979607A (zh) * | 2014-12-17 | 2018-05-01 | 蔡留凤 | 适于网络安全的软件定义的网络架构及其工作方法 |
| CN106161333B (zh) * | 2015-03-24 | 2021-01-15 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
| CN104767762A (zh) * | 2015-04-28 | 2015-07-08 | 亚信科技(南京)有限公司 | 一种安全防护系统 |
| CN104954367B (zh) * | 2015-06-04 | 2019-02-12 | 饶小毛 | 一种互联网全向跨域DDoS攻击防护方法 |
| CN106713182B (zh) | 2015-08-10 | 2020-10-09 | 华为技术有限公司 | 一种处理流表的方法及装置 |
| CN105187324B (zh) * | 2015-08-21 | 2018-01-30 | 上海斐讯数据通信技术有限公司 | 一种sdn流转发的数量限制方法和控制系统 |
| CN105681218B (zh) * | 2016-04-11 | 2019-01-08 | 北京邮电大学 | 一种Openflow网络中流量处理的方法及装置 |
| CN107404435B (zh) * | 2016-05-19 | 2021-10-15 | 中兴通讯股份有限公司 | 一种管理组表项的方法和装置 |
| CN106131031B (zh) * | 2016-07-19 | 2020-03-10 | 北京兰云科技有限公司 | 一种DDoS流量清洗处理的方法及装置 |
| CN106230798B (zh) * | 2016-07-21 | 2019-08-06 | 杭州迪普科技股份有限公司 | 一种流量牵引方法及装置 |
| CN106161228B (zh) * | 2016-08-01 | 2019-10-11 | 杭州迪普科技股份有限公司 | 一种发布路由的方法和装置 |
| CN106330951B (zh) * | 2016-09-14 | 2019-11-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络防护方法、装置和系统 |
| CN106330962B (zh) * | 2016-09-30 | 2019-04-12 | 中国联合网络通信集团有限公司 | 一种流量清洗管理方法及装置 |
| CN106302537B (zh) * | 2016-10-09 | 2019-09-10 | 广东睿江云计算股份有限公司 | 一种ddos攻击流量的清洗方法及系统 |
| CN106789981A (zh) * | 2016-12-07 | 2017-05-31 | 北京奇虎科技有限公司 | 基于waf的流量控制方法、装置及系统 |
| CN106685823B (zh) * | 2016-12-16 | 2019-11-12 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
| CN108270600B (zh) * | 2016-12-30 | 2021-03-05 | 中国移动通信集团黑龙江有限公司 | 一种对恶意攻击流量的处理方法及相关服务器 |
| CN106899580A (zh) * | 2017-02-10 | 2017-06-27 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
| TWI648978B (zh) * | 2017-07-18 | 2019-01-21 | 中華電信股份有限公司 | Hacker reverse connection behavior detection method |
| CN107682342B (zh) * | 2017-10-17 | 2020-03-10 | 盛科网络(苏州)有限公司 | 一种基于openflow的DDoS流量牵引的方法和系统 |
| CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
| CN108259466B (zh) * | 2017-12-08 | 2020-06-05 | 中国联合网络通信集团有限公司 | DDoS流量回注方法、SDN控制器及网络系统 |
| CN109995714B (zh) * | 2017-12-29 | 2021-10-29 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
| CN108289104B (zh) * | 2018-02-05 | 2020-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
| CN111355649A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 流量回注方法、装置和系统 |
| CN111385161B (zh) * | 2018-12-28 | 2022-05-13 | 中国移动通信集团新疆有限公司 | 流量监控方法、装置、设备、系统和介质 |
| CN110768975B (zh) * | 2019-10-21 | 2022-05-31 | 杭州迪普科技股份有限公司 | 流量清洗方法、装置、电子设备及机器可读存储介质 |
| CN113347107B (zh) * | 2020-03-02 | 2022-10-14 | 中国移动通信集团浙江有限公司 | 基于上行报文的流量调度方法、装置及计算设备 |
| CN111726290B (zh) * | 2020-07-23 | 2021-12-17 | 迈普通信技术股份有限公司 | 路由控制方法、装置、边界网关及可读存储介质 |
| CN112153006A (zh) * | 2020-08-26 | 2020-12-29 | 广东网堤信息安全技术有限公司 | 一种基于网络边界的DDoS攻击防护方法 |
| CN112165428B (zh) * | 2020-10-23 | 2022-07-22 | 新华三信息安全技术有限公司 | 一种流量清洗方法、装置及第一边界路由设备 |
| CN112291234B (zh) * | 2020-10-28 | 2023-04-28 | 杭州迪普科技股份有限公司 | 流量回注方法、装置、设备及计算机可读存储介质 |
| CN112532621B (zh) * | 2020-11-26 | 2023-03-24 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置、电子设备及存储介质 |
| CN115499325A (zh) * | 2021-06-17 | 2022-12-20 | 中国联合网络通信集团有限公司 | 专线流量显示方法、装置、设备及存储介质 |
| CN113542069B (zh) * | 2021-07-15 | 2022-09-23 | 恒安嘉新(北京)科技股份公司 | 一种流量牵引方法、装置、电子设备及存储介质 |
| CN113709045A (zh) * | 2021-07-19 | 2021-11-26 | 国网河南省电力公司信息通信公司 | 对等网络流量牵引系统及流量牵引方法 |
| CN114143085B (zh) * | 2021-11-30 | 2023-08-01 | 中国人民解放军国防科技大学 | 一种基于自编码器的bgp团体属性异常检测方法及系统 |
| CN114978600B (zh) * | 2022-04-25 | 2023-06-23 | 中国联合网络通信集团有限公司 | 异常流量处理方法、系统、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN103095701A (zh) * | 2013-01-11 | 2013-05-08 | 中兴通讯股份有限公司 | 开放流表安全增强方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8976661B2 (en) * | 2012-01-11 | 2015-03-10 | Nec Laboratories America, Inc. | Network self-protection |
-
2013
- 2013-09-25 CN CN201310445695.XA patent/CN103491095B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN103095701A (zh) * | 2013-01-11 | 2013-05-08 | 中兴通讯股份有限公司 | 开放流表安全增强方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 城域网DDOS防护及流量清洗浅析;董云刚等;《山东通信技术》;20120630;第32卷(第2期);第19-22页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103491095A (zh) | 2014-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103491095B (zh) | 流量清洗架构、装置及流量牵引、流量回注方法 | |
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
| CN101924764B (zh) | 基于二级联动机制的大规模DDoS攻击防御系统及方法 | |
| EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
| EP2442604B1 (en) | Method and router for implementing mirroring | |
| US20130177016A1 (en) | Communication system, control apparatus, packet handling operation setting method, and program | |
| EP2643940B1 (en) | Method of shrinking a data loss window in a packet network device | |
| US9049150B2 (en) | Communication system, control apparatus, node controlling method and node controlling program | |
| CN103384223B (zh) | 一种流表项更新方法及设备 | |
| CN110830469A (zh) | 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 | |
| CN101217457A (zh) | 实现快速重路由的方法及路由器 | |
| CN102137024B (zh) | 报文处理方法、出口路由设备及边界路由设备 | |
| CN102195843A (zh) | 一种流量控制系统和方法 | |
| CN102427429B (zh) | 一种实现交换机内部报文安全防护的方法、系统以及交换机 | |
| CN103053138A (zh) | 利用网格标签进行外出分组转发的装置和方法 | |
| CN105978741A (zh) | 一种网络故障处理方法和处理系统 | |
| CN103957157B (zh) | 一种网络接口可定义转发规则的路由方法 | |
| CN105991441A (zh) | 对bgp路由选择性下发路由转发表的方法和装置 | |
| GB2519824A (en) | Identifying an egress port of a device | |
| CN104486229B (zh) | 一种实现vpn网络报文转发的方法及设备 | |
| CN105681102A (zh) | 一种基于sdn的行为策略方法和系统 | |
| CN102480377B (zh) | 聚合链路的管理方法及系统 | |
| CN107566298A (zh) | 一种生成表项的方法和设备 | |
| CN100393047C (zh) | 一种入侵检测系统与网络设备联动的系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |