CN106230798B - 一种流量牵引方法及装置 - Google Patents
一种流量牵引方法及装置 Download PDFInfo
- Publication number
- CN106230798B CN106230798B CN201610589416.0A CN201610589416A CN106230798B CN 106230798 B CN106230798 B CN 106230798B CN 201610589416 A CN201610589416 A CN 201610589416A CN 106230798 B CN106230798 B CN 106230798B
- Authority
- CN
- China
- Prior art keywords
- flow
- equipment
- attack
- secondary route
- cleaning equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供流量牵引方法及装置,所述方法包括:在检测DDoS攻击后,流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,第一路由和第二路由的下一跳均为所述流量清洗设备,第一路由的优先级高于地市城域网路由的优先级;省网核心设备接收到流量清洗设备发送的第一路由和第二路由后,将其转发至骨干网设备;骨干网设备根据优先级高的第一路由的下一跳,将被攻击ip所在网段的流量转发至省网核心设备;省网核心设备根据第一路由和第二路由的下一跳,转发被攻击ip所在网段的流量至流量清洗设备;流量清洗设备接收被攻击ip所在网段的流量。在网络扁平化处理后,应用本申请实施例,可以实现降低流量牵引的成本。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种流量牵引方法及装置。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是互联网上最常见的网络攻击类型。由于发动DDoS攻击的技术门槛较低,而攻击效果较好,近年来DDoS攻击事件变得越来越多,造成的危害也越来越大。
目前,防御DDoS攻击的较为有效的手段就是流量清洗,即运行商在省核心网中部署流量清洗设备,在不影响正常业务的同时,将被攻击ip的流量牵引到所述流量清洗设备中进行清洗。
以下结合图1所示的一种实现流量牵引的应用场景示意图。图1中,流量清洗设备部署在省网核心设备上。在发生DDoS攻击时,所述流量清洗设备通过BGP(Border GatewayProtocol,边界网关协议)向省网核心设备下发包含32位掩码、下一跳为该流量清洗设备的路由(牵引路由);接着,所述省网核心设备将所述32为掩码的路由转发至骨干网设备,其中,转发过程中将下一跳修改为该省网核心设备。所述省网核心设备根据流量清洗设备发送的所述32位掩码的路由,优先将被攻击ip的流量转发至下一跳即转发到所述流量清洗设备上,如此,完成流量牵引的过程。
随着各地市城域网的流量逐渐增大,为了减少省网核心设备压力,同时增加流量转发速度,网络运行商将网络进行扁平化处理。如图2所示的一种扁平化网络的示意图中,网络运营商将省网核心的作用进行更改,将省网核心用于地市城域网之间的流量交互使用,以及用于省内外流量的备份链路使用,而省内和省外的流量交互不再经过省网核心设备,如图2所示,直接由骨干网设备和地市城域网设备进行交互。经过扁平化处理后,由于省内和省外的流量交互不再经过省网核心设备,直接由骨干网设备和地市城域网设备进行交互,上述方式部署的流量清洗设备就无法牵引被攻击ip的流量。
现有技术中,针对扁平化网络实现流量牵引的方案,如图3所示为一种扁平化网络中实现流量牵引的示意图,图3中网络运营商是将流量清洗设备逐地市进行部署,即将流量清洗设备部署在各地市城域网出口路由处。但是,这种逐地市部署的方案,由于流量清洗设备的采购成本较高,后期进行维护的成本及维护人员的人工成本也较高,导致整个流量牵引成本过高。
发明内容
本申请提供了一种流量牵引方法及装置,以解决现有流量牵引成本过高的问题。
根据本申请实施例提供的一种流量牵引方法,所述方法包括:
在检测DDoS攻击后,流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;
省网核心设备接收到所述流量清洗设备发送的第一路由和第二路由后,将其转发至骨干网设备;其中,转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;
所述骨干网设备根据优先级高的第一路由的下一跳,将被攻击ip所在网段的流量转发至所述省网核心设备;
所述省网核心设备根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备;
所述流量清洗设备接收所述被攻击ip所在网段的流量。
可选的,所述流量清洗设备发送的第一路由和第二路由,具体包括:
25位掩码的第一路由,下一跳为所述流量清洗设备上的交换板卡;所述交换板卡用于将所述流量进行转发,所述第一路由的优先级高于地市城域网路由的优先级;
32位掩码的第二路由,下一跳为所述流量清洗设备上的清洗板卡,所述清洗板卡用于对所述流量进行清洗。
根据本申请实施例提供的一种流量牵引方法,所述方法应用在流量清洗设备,所述方法包括:
在检测DDoS攻击后,向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;
接收所述省网核心设备转发的被攻击ip所在网段的流量。
可选的,所述第一路由和第二路由,具体包括:
25位掩码的第一路由,下一跳为所述流量清洗设备上的交换板卡;所述交换板卡用于将所述流量进行转发,所述第一路由的优先级高于地市城域网路由的优先级;
32位掩码的第二路由,下一跳为所述流量清洗设备上的清洗板卡,所述清洗板卡用于对所述流量进行清洗。
根据本申请实施例提供的一种流量牵引方法,所述方法应用在省网核心设备,所述方法包括:
接收到流量清洗设备发送的25位掩码的第一路由和32位掩码的第二路由后,将其转发至骨干网设备;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;
接收所述骨干网设备发送被攻击ip所在网段的流量;
根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备。
可选的,所述流量清洗设备发送的第一路由和第二路由,具体包括:
25位掩码的第一路由,下一跳为所述流量清洗设备上的交换板卡;所述交换板卡用于将所述流量进行转发,所述第一路由的优先级高于地市城域网路由的优先级;
32位掩码的第二路由,下一跳为所述流量清洗设备上的清洗板卡,所述清洗板卡用于对所述流量进行清洗。
根据本申请实施例提供的一种流量牵引系统,所述系统包括骨干网设备、省网核心设备、部署在省网核心设备上的流量清洗设备,其中:
所述流量清洗设备,用于在检测DDoS攻击后,向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;还用于接收所述省网核心设备转发的被攻击ip所在网段的流量;
所述省网核心设备,用于在接收到所述流量清洗设备发送的第一路由和第二路由后,将其转发至骨干网设备,转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;还用于接收所述骨干网设备发送被攻击ip所在网段的流量;还用于根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备;
所述骨干网设备,用于根据优先级高的第一路由的下一跳,将被攻击ip所在网段的流量转发至所述省网核心设备。
根据本申请实施例提供的一种流量牵引装置,所述装置包括:
发送路由单元,用于在检测DDoS攻击后,流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;
转发路由单元,用于省网核心设备接收到所述流量清洗设备发送的第一路由和第二路由后,将其转发至骨干网设备;其中,转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;
第一流量牵引单元,用于所述骨干网设备根据优先级高的第一路由的下一跳,将被攻击ip所在网段的流量转发至所述省网核心设备;
第二流量牵引单元,用于所述省网核心设备根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备;
流量接收单元,用于所述流量清洗设备接收所述被攻击ip所在网段的流量。
根据本申请实施例提供的一种流量清洗设备,所述流量清洗设备包括:
发送单元,用于在检测DDoS攻击后,向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;
接收单元,用于接收所述省网核心设备转发的被攻击ip所在网段的流量。
根据本申请实施例提供的一种省网核心设备,所述省网核心设备包括:
转发路由单元,用于接收到流量清洗设备发送的25位掩码的第一路由和32位掩码的第二路由后,将其转发至骨干网设备;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;
接收流量单元,用于接收所述骨干网设备发送被攻击ip所在网段的流量;
流量牵引单元,用于根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备。
本申请实施例中,在流量清洗设备检测到ip攻击时,通过BGP协议分别下发25位和32位掩码的牵引路由,下一跳均指向该流量清洗设备。如此,经过核网核心设备转发后,骨干网就可以根据优先级最高的即该流量清洗设备发送的25位掩码的牵引路由,将需要进行清洗的流量牵引至核心网路由,再由核心网路转发至该流量清洗设备。如此,只需一套流量清洗设备就可以完成扁平化组网下的流量牵引,从而降低了流量牵引成本。
附图说明
图1是现有的一种实现流量牵引的应用场景示意图;
图2是现有的一种扁平化网络的示意图;
图3是现有的一种扁平化网络中实现流量牵引的示意图;
图4是本申请一实施例提供的一种扁平化网络中,低成本实现流量牵引的应用场景示意图;
图5是本申请一实施例提供的一种流量牵引方法的流程图;
图6是本申请一实施例提供的发送路由的示意图;
图7是本申请一实施例提供的被攻击ip的流量牵引路径示意图;
图8是本申请一实施例提供的流量清洗设备向省网核心设备发送第一路由和第二路由的示意图;
图9是本申请一实施例提供的一种流量牵引方法的流程图;
图10是本申请一实施例提供的一种流量牵引方法的流程图;
图11是本申请一实施例提供的流量牵引装置所在设备的一种硬件结构图;
图12是本申请一实施例提供的一种流量牵引装置的模块示意图;
图13是本申请一实施例提供的一种流量清洗设备的模块示意图;
图14是本申请一实施例提供的一种省网核心设备的模块示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
如上所述,网络扁平化处理后,由于骨干网设备不接收掩码高于25位的路由,也不予许直接和流量清洗设备对接,所以流量清洗设备只能往地市城域网部署,即将流量清洗设备部署在各地市城域网出口路由处。这样,由于地市城域网本来就向骨干网设备发送25位掩码的路由,所以骨干网设备就会将被攻击ip的流量发送至地市城域网中,而流量清洗设备向地市城域网设备发送的32位掩码的路由就可以将该被攻击ip的流量牵引至流量清洗设备。但是,这种逐地市部署的方案,由于流量清洗设备的采购成本较高,并且后期进行维护的成本及维护人员的人工成本也较高,最终导致整个流量牵引成本过高。
为了解决上述问题,请参见图4所示的一种扁平化网络中,低成本实现流量牵引的应用场景示意图。如图4所示,该扁平化网络中包括:骨干网、省网核心、地市城域网以及旁路部署在省网核心设备上的流量清洗设备。
所述骨干网为网络运营商部署的主干网络,该骨干网中包括骨干网出口路由器设备;
所述省网核心中包括省网出口核心路由器设备;
所述地市城域网中包括地市城域网出口路由器设备;
所述流量清洗设备,用于对被攻击ip的流量进行清洗,从而防御DDoS攻击。
以下结合图5进一步描述,图5为本申请一实施例提供的流量牵引方法的流程图,所述流量牵引方法包括以下步骤:
步骤110:在检测DDoS攻击后,流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级。
本实施例中,所述流量清洗设备可以检测是否存在DDoS攻击,并在检测到DDoS攻击时,启动流量牵引进程。具体地,所述检测的方法是业内通用技术,例如深度数据包检测技术(Deep Packet Inspection,DPI)、NetFlow/NetStream/nFlow流信息(DFI)等。所述DDoS攻击包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻击等各种攻击。
如图6所示为发送路由的示意图,在检测到DDoS攻击后,流量清洗设备在通过BGP协议向省网核心设备发送牵引路由时,由原来的32位掩码的路由变为发送32位掩码的第一路由和25位掩码的第二路由,这两个路由的下一跳均指向该流量清洗设备,并且由于这两个路由的优先级较高,而地市城域网发送的25位掩码的路由的优先级较低,所以流量清洗设备发送的25位掩码的第一路由的优先级高于地市城域网发送的25位掩码的路由的优先级。
步骤120:省网核心设备接收到所述流量清洗设备发送的第一路由和第二路由后,将其转发至骨干网设备;其中,转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备。
本实施例中,省网核心设备转发所述第一路由和第二路由的过程中,需要将所述第一路由和第二路由的下一跳修改为本省网核心设备。
也就是说,省网核心设备上保留的第一路由和第二路由,下一跳均为流量清洗设备;而骨干网接收到所述省网核心设备转发的第一路由和第二路由,下一跳均为省网核心设备。
如图6所述,省网核心设备转发所述25位掩码的第一路由及32位掩码的第二路由至骨干网设备。
步骤130:所述骨干网设备根据优先级高的第一路由的下一跳,将被攻击ip所在网段的流量转发至所述省网核心设备。
本实施例中,如图6所示的,所述骨干网设备同时会接收到3条用于牵引攻击流量的路由如下:
第一条:省核心网发送的25位掩码的第一路由,优先级较高;
第二条:省核心网发送的32位掩码的第二路由,优先级较高。
第三条:地市城域网发送的25位掩码的第三路由,优先级较低。
由于所述骨干网设备不接收超过25位掩码的路由,所以第二路由会被丢弃,而第一路由的优先级高于第三路由的优先级,所以最终骨干网设备中生效的路由为省网核心设备转发的来自流量清洗设备的25位掩码的第一路由。
请参见图7所述为被攻击ip的流量牵引路径示意图,骨干网设备最终会根据优先级高的第一路由(25位掩码),将被攻击ip所在网段的流量转发至所述省网核心设备。
步骤140:所述省网核心设备根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备。
本实施例中,依然参见图7,在骨干网设备发送的被攻击ip所在网段的的流量到达省网核心设备后,由于所述省网核心设备上25位掩码的第一路由和32位掩码的第二路由的下一跳均是流量清洗设备,所以将所述被攻击ip所在网段的流量转发至所述流量清洗设备。
步骤150:所述流量清洗设备接收所述被攻击ip所在网段的流量。
本实施例中,流量清洗设备接收由省网核心设备转发的被攻击ip所在网段的流量,如此,完成整个的流量牵引过程。之后,所述流量清洗设备就可以进行流量清洗,将针对所述ip的攻击流量拦截,还可以通过策略路由、MPLS VPN、GRE VPN、二层透传等多种方式,将清洗后的正常流量回注。如此,即防御了DDoS攻击流量,也保证正常的业务流量不受任何影响。
本申请实施例中,在流量清洗设备检测到某ip被攻击时,通过BGP协议分别下发25位和32位掩码的路由,下一跳均指向该流量清洗设备。如此,经过省网核心设备转发后,骨干网设备就可以根据优先级最高的即该流量清洗设备发送的25位掩码的路由,将需要进行清洗的流量牵引至省网核心设备,再由省网核心设备转发至流量清洗设备。如此,只需一套流量清洗设备就可以完成扁平化网络下的流量牵引工作,从而降低了流量牵引成本。
在实际应用中,针对检测和清洗的攻击流量,所述流量清洗设备还可以提供攻击日志、报表统计等功能,用于记录攻击前流量信息、清洗后流量信息、攻击流量大小、时间及排序等信息以及攻击趋势分析等各种详细的报表信息,便于了解网络流量状况。
在实际应用中,对于某些已经去除省网核心设备的网络来说,可以将所述地市城域网设备当作省网核心设备使用,牵引方法于上述方法相同。
在实际应用中,被攻击ip所在网段的流量中不仅包括被攻击ip的流量,也包括其它正常流量。如上所述流量牵引方法,会将攻击流量和正常流量都牵引到流量清洗设备中进行清洗,但是,正常流量其实并不需要进行清洗。通过上述方法,虽然可以实现一套流量清洗设备完成流量牵引和后续的流量清洗工作,但是会导致用户正常访问延迟、流量清洗设备清洗效率低的问题。
为了避免上述清洗整个网段中流量导致的访问延迟、清洗效率低的问题,本申请一实施例提供的流量清洗设备发送的第一路由和第二路由,具体可以包括:
25位掩码的第一路由,下一跳为所述流量清洗设备上的交换板卡;所述交换板卡用于将所述流量进行转发,所述第一路由的优先级高于地市城域网路由的优先级;
32位掩码的第二路由,下一跳为所述流量清洗设备上的清洗板卡,所述清洗板卡用于对所述流量进行清洗。
本实施例中,通过在清洗设备上增加交换板卡,并且将25位掩码的第一路由下一跳修改为交换板卡,将32位掩码的第二路由下一跳修改为清洗板卡。如下图8所示,流量清洗设备向省网核心设备发送第一路由和第二路由的示意图。如此,在省网核心设备转发被攻击ip所在网段的流量时,根据32位掩码的第二路由下一跳,可以将该网段中被攻击ip的流量转发至清洗板卡;根据25位掩码的第一路由下一跳,将该网段中其它流量转发至交换板卡。
本实施例中,下一跳的修改可以通过rount-map实现,将25位掩码的第一路由下一跳修改为交换板卡、32位掩码的第二路由下一跳修改为清洗板卡。
相应地,所述流量清洗设备的交换板卡直接将该网段中其它流量进行转发(流量回注),从而不影响正常的业务流量;
所述流量清洗设备的清洗板卡对被攻击ip的流量进行清洗操作。
图9为本申请一实施例提供的流量牵引方法的流程图,该实施例以流量清洗设备侧进行描述,所述方法包括以下步骤:
步骤210:在检测DDoS攻击后,向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级。
步骤220:接收所述省网核心设备转发的被攻击ip所在网段的流量。
在图9所述的实施例中,可选的,流量清洗设备发送的第一路由和第二路由,具体可以包括:
25位掩码的第一路由,下一跳为所述流量清洗设备上的交换板卡;所述交换板卡用于将所述流量进行转发,所述第一路由的优先级高于地市城域网路由的优先级;
32位掩码的第二路由,下一跳为所述流量清洗设备上的清洗板卡,所述清洗板卡用于对所述流量进行清洗。
图10为本申请一实施例提供的流量牵引方法的流程图,该实施例以省网核心设备侧进行描述,所述方法包括以下步骤:
步骤310:接收到流量清洗设备发送的25位掩码的第一路由和32位掩码的第二路由后,将其转发至骨干网设备;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级,转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备。
步骤320:接收所述骨干网设备发送被攻击ip所在网段的流量;
步骤330:根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备。
在图10所述的实施例中,可选的,流量清洗设备发送的第一路由和第二路由,具体可以包括:
25位掩码的第一路由,下一跳为所述流量清洗设备上的交换板卡;所述交换板卡用于将所述流量进行转发,所述第一路由的优先级高于地市城域网路由的优先级;
32位掩码的第二路由,下一跳为所述流量清洗设备上的清洗板卡,所述清洗板卡用于对所述流量进行清洗。
以下介绍本申请一种流量牵引系统,所述系统包括骨干网设备、省网核心设备、部署在省网核心设备上的流量清洗设备,其中:
所述流量清洗设备,用于在检测DDoS攻击后,向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;还用于接收所述省网核心设备转发的被攻击ip所在网段的流量。
所述省网核心设备,用于在接收到所述流量清洗设备发送的第一路由和第二路由后,将其转发至骨干网设备,转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;还用于接收所述骨干网设备发送被攻击ip所在网段的流量;还用于根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备。
所述骨干网设备,用于根据优先级高的第一路由的下一跳,将被攻击ip所在网段的流量转发至所述省网核心设备。
该系统中,所述流量清洗设备可以是旁路部署在所述省网核心设备上的;
该系统中还包括地市城域网设备,所述地市城域网设备,用于向骨干网设备发送25位掩码的第三路由。
在上述实现流量牵引的系统中,流量清洗设备发送的第一路由和第二路由,具体可以包括:
25位掩码的第一路由,下一跳为所述流量清洗设备上的交换板卡;所述交换板卡用于将所述流量进行转发,所述第一路由的优先级高于地市城域网路由的优先级;
32位掩码的第二路由,下一跳为所述流量清洗设备上的清洗板卡,所述清洗板卡用于对所述流量进行清洗。
与前述流量牵引方法实施例相对应,本申请还提供了流量牵引装置的实施例。
本申请流量牵引装置的实施例可以分别应用在实现流量牵引设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图11所示,为本申请流量牵引装置所在设备的一种硬件结构图,除了图11所示的处理器、网络接口、内存以及非易失性存储器之外,实施例中装置所在的设备通常根据该流量牵引的实际功能,还可以包括其他硬件,对此不再赘述。
参见图12,为本申请一实施例提供的一种流量牵引装置的模块示意图,所述装置包括:发送路由单元410、转发路由单元420、第一流量牵引单元430、第二流量牵引单元440和流量接收单元450。
其中,发送路由单元410,用于在检测DDoS攻击后,流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;
转发路由单元420,用于省网核心设备接收到所述流量清洗设备发送的第一路由和第二路由后,将其转发至骨干网设备;其中,转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;
第一流量牵引单元430,用于所述骨干网设备根据优先级高的第一路由的下一跳,将被攻击ip所在网段的流量转发至所述省网核心设备;
第二流量牵引单元440,用于所述省网核心设备根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备;
流量接收单元450,用于所述流量清洗设备接收所述被攻击ip所在网段的流量。
在一个可选的实现方式中:
所述流量清洗设备发送的第一路由和第二路由,具体可以包括:
25位掩码的第一路由,下一跳为所述流量清洗设备上的交换板卡;所述交换板卡用于将所述流量进行转发,所述第一路由的优先级高于地市城域网路由的优先级;
32位掩码的第二路由,下一跳为所述流量清洗设备上的清洗板卡,所述清洗板卡用于对所述流量进行清洗。
参见图13,为本申请一实施例提供的一种流量清洗设备的模块示意图,包括:发送单元510、接收单元520。
其中,发送单元510,用于在检测DDoS攻击后,向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级。
接收单元520,用于接收所述省网核心设备转发的被攻击ip所在网段的流量。
在一个可选的实现方式中:
所述第一路由和第二路由,具体可以包括:
25位掩码的第一路由,下一跳为所述流量清洗设备上的交换板卡;所述交换板卡用于将所述流量进行转发,所述第一路由的优先级高于地市城域网路由的优先级;
32位掩码的第二路由,下一跳为所述流量清洗设备上的清洗板卡,所述清洗板卡用于对所述流量进行清洗。
参见图14,为本申请一实施例提供的省网核心设备的模块示意图,包括:转发路由单元610、接收流量单元620和流量牵引单元630。
其中,转发路由单元610,用于接收到流量清洗设备发送的25位掩码的第一路由和32位掩码的第二路由后,将其转发至骨干网设备;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;
接收流量单元620,用于接收所述骨干网设备发送被攻击ip所在网段的流量;
流量牵引单元630,用于根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备。
在一个可选的实现方式中:
所述流量清洗设备发送的第一路由和第二路由,具体可以包括:
25位掩码的第一路由,下一跳为所述流量清洗设备上的交换板卡;所述交换板卡用于将所述流量进行转发,所述第一路由的优先级高于地市城域网路由的优先级;
32位掩码的第二路由,下一跳为所述流量清洗设备上的清洗板卡,所述清洗板卡用于对所述流量进行清洗。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (10)
1.一种流量牵引方法,其特征在于,所述方法包括:
在检测DDoS攻击后,流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;
省网核心设备接收到所述流量清洗设备发送的第一路由和第二路由后,将其转发至骨干网设备;其中,转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;
所述骨干网设备根据优先级高的第一路由的下一跳,将被攻击ip所在网段的流量转发至所述省网核心设备;
所述省网核心设备根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备;
所述流量清洗设备接收所述被攻击ip所在网段的流量。
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备,具体包括:
根据32位掩码的第二路由下一跳,将所述网段中被攻击ip的流量转发至所述流量清洗设备上的清洗板卡;
根据25位掩码的第一路由下一跳,将所述网段中其它流量转发至所述流量清洗设备上的交换板卡。
3.一种流量牵引方法,其特征在于,所述方法应用在流量清洗设备,所述方法包括:
在检测DDoS攻击后,向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;
接收所述省网核心设备转发的被攻击ip所在网段的流量。
4.根据权利要求3所述的方法,其特征在于,所述接收所述省网核心设备转发的被攻击ip所在网段的流量,具体包括:
所述流量清洗设备上的清洗板卡接收所述省网核心设备根据32位掩码的第二路由下一跳发送的所述网段中被攻击ip的流量;
所述流量清洗设备上的交换板卡接收所述省网核心设备根据25位掩码的第一路由下一跳发送的所述网段中其他流量。
5.一种流量牵引方法,其特征在于,所述方法应用在省网核心设备,所述方法包括:
接收到流量清洗设备发送的25位掩码的第一路由和32位掩码的第二路由后,将其转发至骨干网设备;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;
接收所述骨干网设备发送被攻击ip所在网段的流量;
根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备。
6.根据权利要求5所述的方法,其特征在于,所述根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备,具体包括:
根据32位掩码的第二路由下一跳,将所述网段中被攻击ip的流量转发至所述流量清洗设备上的清洗板卡;
根据25位掩码的第一路由下一跳,将所述网段中其它流量转发至所述流量清洗设备上的交换板卡。
7.一种流量牵引系统,其特征在于,所述系统包括骨干网设备、省网核心设备、部署在省网核心设备上的流量清洗设备,其中:
所述流量清洗设备,用于在检测DDoS攻击后,向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;还用于接收所述省网核心设备转发的被攻击ip所在网段的流量;
所述省网核心设备,用于在接收到所述流量清洗设备发送的第一路由和第二路由后,将其转发至骨干网设备,转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;还用于接收所述骨干网设备发送被攻击ip所在网段的流量;还用于根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备;
所述骨干网设备,用于根据优先级高的第一路由的下一跳,将被攻击ip所在网段的流量转发至所述省网核心设备。
8.一种流量牵引装置,其特征在于,所述装置包括:
发送路由单元,用于在检测DDoS攻击后,流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;
转发路由单元,用于省网核心设备接收到所述流量清洗设备发送的第一路由和第二路由后,将其转发至骨干网设备;其中,转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;
第一流量牵引单元,用于所述骨干网设备根据优先级高的第一路由的下一跳,将被攻击ip所在网段的流量转发至所述省网核心设备;
第二流量牵引单元,用于所述省网核心设备根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备;
流量接收单元,用于所述流量清洗设备接收所述被攻击ip所在网段的流量。
9.一种流量清洗设备,其特征在于,包括:
发送单元,用于在检测DDoS攻击后,向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;
接收单元,用于接收所述省网核心设备转发的被攻击ip所在网段的流量。
10.一种省网核心设备,其特征在于,包括:
转发路由单元,用于接收到流量清洗设备发送的25位掩码的第一路由和32位掩码的第二路由后,将其转发至骨干网设备;其中,所述第一路由和第二路由的下一跳均为所述流量清洗设备,所述第一路由的优先级高于地市城域网路由的优先级;转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备;
接收流量单元,用于接收所述骨干网设备发送被攻击ip所在网段的流量;
流量牵引单元,用于根据所述第一路由和第二路由的下一跳,转发所述被攻击ip所在网段的流量至所述流量清洗设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610589416.0A CN106230798B (zh) | 2016-07-21 | 2016-07-21 | 一种流量牵引方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610589416.0A CN106230798B (zh) | 2016-07-21 | 2016-07-21 | 一种流量牵引方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106230798A CN106230798A (zh) | 2016-12-14 |
CN106230798B true CN106230798B (zh) | 2019-08-06 |
Family
ID=57532463
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610589416.0A Active CN106230798B (zh) | 2016-07-21 | 2016-07-21 | 一种流量牵引方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106230798B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111385161B (zh) * | 2018-12-28 | 2022-05-13 | 中国移动通信集团新疆有限公司 | 流量监控方法、装置、设备、系统和介质 |
CN112532621B (zh) * | 2020-11-26 | 2023-03-24 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007070838A2 (en) * | 2005-12-13 | 2007-06-21 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
CN103491095A (zh) * | 2013-09-25 | 2014-01-01 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
CN104954367A (zh) * | 2015-06-04 | 2015-09-30 | 饶小毛 | 一种互联网全向跨域DDoS攻击防护方法 |
-
2016
- 2016-07-21 CN CN201610589416.0A patent/CN106230798B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007070838A2 (en) * | 2005-12-13 | 2007-06-21 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
CN103491095A (zh) * | 2013-09-25 | 2014-01-01 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
CN104954367A (zh) * | 2015-06-04 | 2015-09-30 | 饶小毛 | 一种互联网全向跨域DDoS攻击防护方法 |
Non-Patent Citations (1)
Title |
---|
"基于跨域MPLS的异常流量清洗系统部署";叶晓斌;《电信技术》;20110823;全文 |
Also Published As
Publication number | Publication date |
---|---|
CN106230798A (zh) | 2016-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
CN106161333B (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
US7636305B1 (en) | Method and apparatus for monitoring network traffic | |
CN102195843B (zh) | 一种流量控制系统和方法 | |
CN106685823B (zh) | 一种流量清洗方法及装置 | |
CN103748835B (zh) | 标签交换路径的动态更新 | |
WO2015074324A1 (zh) | 一种数据包快速转发方法及装置 | |
CN107743109A (zh) | 流量攻击的防护方法、控制装置、处理装置及系统 | |
CN110830469A (zh) | 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 | |
CN108449314B (zh) | 一种流量牵引方法和装置 | |
CA2497242A1 (en) | Method for distributed denial-of-service attack mitigation by selective black-holing in mpls vpns | |
CN102123088B (zh) | 建立te隧道的方法及设备 | |
EP2509262B1 (en) | Unaddressed device communication from within an MPLS network | |
CN101309150A (zh) | 分布式拒绝服务攻击的防御方法、装置和系统 | |
JP2006157911A (ja) | Igp監視システムを使用したmplsvpn障害管理 | |
CN101610535A (zh) | 多链路直连场景下保证bfd会话稳定性的方法、系统及装置 | |
US20150149812A1 (en) | Self-Debugging Router Platform | |
Huang et al. | Countering denial-of-service attacks using congestion triggered packet sampling and filtering | |
CN105827629B (zh) | 云计算环境下软件定义安全导流装置及其实现方法 | |
JP2009088936A (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
CN101447996A (zh) | 分布式拒绝服务攻击防护方法、系统及设备 | |
CN109995714B (zh) | 一种处置流量的方法、装置和系统 | |
CN101106518A (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
CN104104669A (zh) | 适用于因特网数据中心领域的抗DDoS攻击防护系统 | |
CN103297340B (zh) | Mpls和bgp组网中的路由收敛方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
COR | Change of bibliographic data | ||
GR01 | Patent grant | ||
GR01 | Patent grant |