CN106330951B - 一种网络防护方法、装置和系统 - Google Patents
一种网络防护方法、装置和系统 Download PDFInfo
- Publication number
- CN106330951B CN106330951B CN201610827108.7A CN201610827108A CN106330951B CN 106330951 B CN106330951 B CN 106330951B CN 201610827108 A CN201610827108 A CN 201610827108A CN 106330951 B CN106330951 B CN 106330951B
- Authority
- CN
- China
- Prior art keywords
- destination
- flowing
- access
- cleaning equipment
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络防护方法、装置和系统,所述网络防护方法,包括接收至少一台流量清洗设备发送的其针对每一目的IP统计的访问流量;针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数,从而可以快速检测到DDoS大流量攻击,并有效地实现对DDoS大流量攻击的防护,从而保证了其它业务的正常访问。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种网络防护方法、装置和系统。
背景技术
DDoS(Distributed Denial of service,分布式拒绝服务):借助于客户端/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发起DoS攻击,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。
随着计算机网络技术的发展,网络带宽、网络速度都有大幅度提升。伴随着网络技术的发展,大流量DDoS攻击事件也越来越多,而流量清洗设备是DDoS安全防护方案中必不可少的技术,但承受的性能压力也越来越大。流量清洗服务通过流量清洗设备实行对流量的监控和清洗,一般单台清洗设备或清洗设备集群都有自己的容量限制,一台80G的清洗设备处理不了200G流量的DDoS攻击,因此如何有效防护大流量DDoS攻击也是清洗厂商和服务商技术研究的重点。
现有技术中,防护大流量DDoS攻击的方法可分为两种:一种是增加流量清洗设备的容量和数量,另一种是通过Netflow采集设置检测攻击,再通过BGP(Border GatewayProtocol,边界网关协议)配置黑洞路由。这两种方法都存在各自的问题,如DDoS攻击成本越来越低,攻击流量的上限不可预估,采用增加流量清洗设备的容量和数量的方法,提前部署过多的清洗设备会给客户增加运营成本,与绿色环保的理念相悖。例如,用300G清洗容量的设备防护10G的数据业务,性价比太低。同时,DDoS攻击流量极有可能仍然会超过流量清洗设备的容量,使得清洗效果显著降低,最终影响客户业务;此外,Netflow采用检测和BGP黑洞路由的方式实时性太差,且BGP协议报文与数据通道采用同一物理链路,可靠性不高。
由此可见,如何既能准确高效地防护DDoS大流量攻击、提高防护大流量攻击的可靠性,又能减小DDoS攻击对其它业务的影响成为现有技术中亟待解决的技术问题之一。
发明内容
本发明实施例提供一种网络防护方法、装置和系统,用以解决现有技术中存在的大流量DDoS攻击流量防护实时性低、防护可靠性不高的问题。
本发明实施例提供一种网络防护系统,包括流量清洗设备和流量管理设备,其中:
所述流量清洗设备,用于针对每一目的互联网协议IP统计该目的IP对应的访问流量;并将统计的每一目的IP的访问流量发送给所述流量管理设备;
所述流量管理设备,用于针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
所述流量清洗设备,具体用于同时启动防护进程和上传进程,其中:
所述防护进程,用于针对每一目的IP统计该目的IP对应的访问流量并写入共享内存单元;
所述上传进程,用于从所述共享内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
所述共享内存单元包括第一内存单元和第二内存单元,其中:
如果所述防护进程向第一内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程具体用于从第二内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备;
如果所述防护进程向第二内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程具体用于从第一内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
所述流量管理设备,具体用于针对所述前N位目的IP中的每一目的IP,自动远程登录上游路由器,将该目的IP的下一跳路由配置为空路由。
所述流量管理设备,还用于如果根据后续接收到的至少一台流量清洗设备发送的、其针对每一目的IP统计的访问流量确定每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则启动计时器;以及如果在所述计时器的计时时长内,每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值;则针对所述前N位目的IP中的每一目的IP,恢复该目的IP的下一跳路由配置为原始配置。
本发明实施例提供一种网络防护方法,包括:
接收至少一台流量清洗设备发送的其针对每一目的IP统计的访问流量;
针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;
如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;
将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
将前N位目的IP的下一跳路由配置为空路由,具体包括:
针对所述前N位目的IP中的每一目的IP,自动远程登录到上游路由器,将该目的IP的下一跳路由配置为空路由。
所述方法,还包括:
如果根据后续接收到的至少一台流量清洗设备发送的、其针对每一目的IP统计的访问流量确定每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则启动计时器;
如果在所述计时器的计时时长内,每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值;
则针对所述前N位目的IP中的每一目的IP,恢复该目的IP的下一跳路由为原始配置。
本发明实施例提供另一种网络防护方法,包括;
流量清洗设备针对每一目的IP统计该目的IP对应的访问流量;并
将统计的每一目的IP的访问流量发送给流量管理设备。
所述流量清洗设备同时启动防护进程和上传进程,其中:
流量清洗设备针对每一目的IP统计该目的IP对应的访问流量,具体包括:
所述防护进程针对每一目的IP统计该目的IP对应的访问流量并写入共享内存单元;以及
将统计的每一目的IP的访问流量发送给流量管理设备,具体包括:
所述上传进程从所述共享内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
所述共享内存单元包括第一内存单元和第二内存单元,其中:
如果所述防护进程向第一内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程从第二内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备;
如果所述防护进程向第二内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程从第一内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
本发明实施例提供一种网络防护装置,包括:
接收单元,用于接收至少一台流量清洗设备发送的其针对每一目的IP统计的访问流量;
统计单元,用于针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;
排序单元,用于如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;
配置单元,用于将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
所述配置单元,具体用于针对所述前N位目的IP中的每一目的IP,自动远程登录2上游路由器,将该目的IP的下一跳路由配置为空路由。
所述装置,还包括计时单元,其中:
所述计时单元,用于如果根据后续接收到的至少一台流量清洗设备发送的、其针对每一目的IP统计的访问流量确定每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则启动计时器;
所述配置单元,还用于如果在所述计时器的计时时长内,每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则针对所述前N位目的IP中的每一目的IP,恢复该目的IP的下一跳路由为原始配置。
本发明实施例提供另一种网络防护装置,包括:
防护单元,用于针对每一目的IP统计该目的IP对应的访问流量;
上传单元,用于将统计的每一目的IP的访问流量发送给流量管理设备。
所述防护单元,具体用于针对每一目的IP统计该目的IP对应的访问流量并写入共享内存单元;
所述上传单元,具体用于从所述共享内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
所述共享内存单元包括第一内存单元和第二内存单元,其中:
如果所述防护单元向第一内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传单元从第二内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备;
如果所述防护单元向第二内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传单元从第一内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
本发明的有益效果:
本发明实施例提供的网络防护方法、装置和系统,流量清洗设备针对每一目的IP统计该目的IP对应的访问流量,并将统计的每一目的IP的访问流量发送给所述流量管理设备,流量管理设备在接收到每一目的IP的访问流量后,针对每一流量清洗设备,流量管理设备统计该流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和,如果确定出该流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序,流量管理设备将前N位目的IP的下一跳路由配置为空路由,或者针对若干个流量清洗设备,流量管理设备统计接收到的所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和,如果所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;将前N位目的IP的下一跳路由配置为空路由,使得其他目的IP的服务器能够响应其他业务的正常流量访问,有效地检测和防护了DDoS大流量攻击,且减小了DDoS攻击对其它业务的影响,提高了防护DDoS大流量攻击的实时性和可靠性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1a为本发明实施例提供的网络防护方法的应用场景示意图;
图1b为本发明实施例提供的网络防护系统的结构示意图;
图1c为本发明实施例提供的网络防护系统中单核流量清洗设备的防护进程和上传进程的实施流程示意图;
图1d为本发明实施例提供的网络防护系统中下一个预设周期单核流量清洗设备的防护进程和上传进程的实施流程示意图;
图1e为本发明实施例提供的网络防护系统中双核流量清洗设备的防护进程和上传进程的实施流程示意图;
图1f为本发明实施例提供的网络防护系统中下一个预设周期双核流量清洗设备的防护进程和上传进程的实施流程示意图;
图1g为本发明实施例提供的网络防护系统中流量管理设备针对DDoS攻击场景的执行过程的实施流程示意图;
图2为本发明实施例提供的流量管理设备实施的网络防护方法的实施流程示意图;
图3为本发明实施例提供的流量清洗设备实施的网络防护方法的实施流程示意图;
图4为本发明实施例提供的流量管理设备实施的网络防护装置的结构示意图;
图5为本发明实施例提供的流量清洗设备实施的网络防护装置的结构示意图。
具体实施方式
本发明实施例提供了一种网络防护方法、装置和系统,用以解决现有技术中存在的DDoS攻击流量防护效果低、防护可靠性不高的问题。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
如图1a所示,为本发明实施例提供的网络防护方法的应用场景示意图,网络防护的实现过程为:
在对本发明实施例提供的网络的防护过程进行介绍之前,首先对DDoS大流量攻击过程进行分析,在没有对网络进行防护时,DDoS的流量攻击过程大致如下:黑客10在利用DDoS对数据中心进行攻击时,可以通过终端11向数据中心16中的服务器160发送网络访问请求,终端11通过互联网与上游路由器12建立通信连接,在配置流量防护设备时,黑客10请求的访问流量直接通过上游路由器12和路由器13将网络访问请求发送给数据中心16中的目的IP(Internet Protocol,互联网协议)对应的服务器160,由于DDoS攻击的流量非常大,会导致黑客10发送的网络访问请求占满网络所能承受的容量带宽,进而导致其它服务器不能为用户20的网络访问请求提供的相应的服务响应。因此,针对数据中心16中每一目的IP对应的服务器160,需要将黑客10通过终端11请求的网络访问请求进行过滤,防止黑客10产生的DDoS流量攻击对数据中心16中的其它服务器造成严重影响,避免影响其他用户20的正常访问。
参考图1a,本发明实施例提供的网络防护过程为:用户20在利用终端21或黑客10在利用终端11对数据中心16进行访问时,先将用户20或黑客10的网络访问请求引导至流量清洗设备14,流量清洗设备14对经路由器13传输的网络访问请求进行过滤,并将过滤后的网络访问请求回注到路由器13,经过路由器13发往数据中心16,具体的,流量清洗设备14可以针对每一目的IP统计该目的IP对应的访问流量,并将统计的每一目的IP的访问流量发送给所述流量管理设备15,流量管理设备15用于针对每一流量清洗设备14,统计该流量清洗设备14的访问流量总和,和/或统计所有流量清洗设备14的访问流量总和,和/或相同目的IP访问流量总和;流量管理设备15如果确定出任一流量清洗设备14的访问流量总和或者所有流量清洗设备14的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数,至此,流量管理设备16能快速防护DDoS大流量攻击,避免由于上游带宽被攻击流量堵死而影响其他业务的正常访问。
需要说明的是,无论是用户20还是黑客10在对数据中心16进行访问时,都是通过终端(其中用户20通过终端21,黑客10通过终端11)执行相应操作,终端与数据中心16之间通过Internet网络、上游路由器12、路由器13等网络设备进行通信连接,该Internet网络可以为局域网、广域网等。终端11可以为便携设备(例如:手机、平板、笔记本电脑等),也可以为个人电脑(PC,Personal Computer),数据中心16由多个服务器160组成,其中数据中心16中的服务器160可以为任何能够提供互联网服务的设备。
下面结合图1a的应用场景,参考图1b-图5来描述根据本发明示例性实施方式的网络防护方法。需要注意的是,上述应用场景仅是为了便于理解本发明的精神和原理而示出,本发明的实施方式在此方面不受任何限制。相反,本发明的实施方式可以应用于适用的任何场景。
实施例一、
如图1b所示,为本发明实施例提供的网络防护系统的结构示意图,包括流量清洗设备14和流量管理设备15,其中:
流量清洗设备14,用于针对每一目的IP统计该目的IP对应的访问流量;并将统计的每一目的IP的访问流量发送给所述流量管理设备15。
其中,参照图1a所示,数据中心16是由若干个服务器160组成,因此用户20或黑客10在对数据中心16进行访问时,可以对数据中心16中的任意一个服务器160发送网络访问请求,因此,为了实现对各个服务器的防护操作,用其目的IP来区分各个服务器,便于流量清洗设备14统计每一目的IP对应的服务器的访问流量,并将统计的每一目的IP的访问流量发送给流量管理设备15,其中,流量清洗设备14针对每一目的IP的访问流量的统计过程和流量管理设备15针对每一目的IP的访问流量的处理过程将在后续展开描述。
需要说明的是,本发明实施例提供的流量清洗设备14可以为一台,也可以为多台,针对不同的应用环境,用户可以根据需要自行进行设置。
流量管理设备15,用于针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;如果任一流量清洗设备发送的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
其中,任一流量清洗设备的访问流量总和为该流量清洗设备上报的所有目的IP对应的访问流量之和;所有流量清洗设备的访问流量总和为所有流量清洗设备的访问流量之和,即所有流量清洗设备上报的全部目的IP对应的访问流量之和。
具体实施时,所述流量清洗设备14,具体用于同时启动防护进程和上传进程,其中:
所述防护进程141,用于针对每一目的IP统计该目的IP对应的访问流量并写入共享内存单元;
具体实施时,参考图1a,假设图1a中数据中心中有五个服务器,其IP地址分别为192.168.0.1、192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5,以下为了便于描述,分别称之为服务器1~服务器5;流量清洗设备14工作的有ADS1(抗DDoS产品)、ADS2和ADS3,其中,ADS1中统计的有服务器1和服务器2的访问流量;ADS2统计的有服务器1、服务器3、服务器5的访问流量;ADS3统计的有服务器2和服务器4的访问流量;并将统计的服务器访问流量存储到共享内存单元中。
所述上传进程142,用于从所述共享内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备15。
具体实施时,流量清洗设备14中的上传进程142将存储在共享内存单元中、防护进程141统计的每一目的IP对应的服务器的访问流量发送给流量管理设备。即将ADS1、ADS2和ADS3统计的五个服务器对应的访问流量发送给流量清洗设备15。
较佳地,所述共享内存单元包括第一内存单元143和第二内存单元144,其中:
如果所述防护进程141向第一内存单元143写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程142具体用于从第二内存单元144读取统计的每一目的IP的访问流量并发送给流量管理设备15。
如果所述防护进程141向第二内存单元144写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程142具体用于从第一内存单元143读取统计的每一目的IP的访问流量并发送给流量管理设备15。
基于此,流量清洗设备14中的防护进程141和上传进程142共享两个内存单元,从而能够保证防护进程141的写入与上传进程142的读出互不影响。
具体实施时,本发明实施例以流量清洗设备14具有一个单核CPU(CentralProcessor,中央处理器)为例进行说明,该单核CPU的共享内存单元包括第一内存单元143和第二内存单元144,流量清洗设备14的防护进程141和上传进程142的工作过程如图1c和1d所示:
具体实施时,如图1c所示,流量清洗设备14中的防护进程141可以按照预设周期定时对每一目的IP的访问流量进行统计,并写入第一内存单元143,同时上传进程142可以按照预设周期定时从第二内存单元144中读取统计的每一目的IP的访问流量;当下一预设周期开始时,防护进程141将统计的每一目的IP的访问流量存储到第二内存单元144,同时上传进程142开始从第一内存单元143中读取上一预设周期防护进程141写入第一内存单元143中的统计的每一目的IP的访问流量,在后续预设周期内,防护进程141和上传进程142依次循环交替对第一内存单元143或第二内存单元144执行相应操作。
需要说明的是,防护进程141将统计的访问流量写入第一内存单元143或第二内存单元144的操作,以及上传进程142读取第一内存单元143或第二内存单元144中统计的访问流量的操作,需要一个内存切换标识shm_flag来实现,例如,在当前预设周期开始时,当shm_flag为1时,防护进程141执行将统计的访问流量写入第一内存单元143的操作,同时上传进程142执行读取第二内存单元144中统计的访问流量的操作;在下一个预设周期开始时,当shm_flag为0时,防护进程141执行将统计的访问流量写入第二内存单元144的操作,同时上传进程142执行读取第一内存单元143中统计的访问流量的操作,至于内存切换标识shm_flag为0或为1时,防护进程141具体写入哪一个内存单元,和上传进程具体从哪一个内存单元读取数据,本发明对此不进行限定。
较佳地,由于单核流量清洗设备14对环境及自身性能非常敏感,如果在防护过程中执行太多统计操作,会严重影响流量清洗设备14的流量清洗能力,因此,为了减少统计带来的性能损耗,同时又能保证流量清洗设备14能够统计到尽可能完整的目的IP的访问流量,本发明实施例提供的流量清洗设备14还可以采用双核CPU,每一个内核CPU为其配置两个内存单元,实现双核共享内存切换,其内存切换过程如图1e和1f所示:
流量清洗设备14采用双核CPU时,其防护进程141和上传进程142的操作过程与单核CPU的操作过程类似,即在当前检测周期开始时,根据内存切换标识shm_flag的值,双核CPU中的防护进程141和上传进程142分别执行相应操作,例如,当shm_flag为1时,核0的防护进程141执行向核0内存中的第一内存单元143中写入统计的每一目的IP的访问流量的操作,核0的上传进程142执行从核0内存中的第二内存单元144中读取统计的每一目的IP的访问流量,以及核1的防护进程141执行向核1内存中的第一内存单元143中写入统计的每一目的IP的访问流量的操作,核1的上传进程142执行从核1内存中的第二内存单元144中读取统计的每一目的IP的访问流量,其防护进程和上传进程的具体操作如图1e所示;当下一预设周期开始时,双核CPU的流量清洗设备14中的防护进程141和上传进程142的执行过程如图1f所示,即:当shm_flag为0时,核0的防护进程141执行向核0内存中的第二内存单元144中写入统计的每一目的IP的访问流量的操作,核0的上传进程142执行从核0内存中的第一内存单元143中读取统计的每一目的IP的访问流量,以及核1的防护进程141执行向核1内存中的第二内存单元144中写入统计的每一目的IP的访问流量的操作,核1的上传进程142执行从核1内存中的第一内存单元143中读取统计的每一目的IP的访问流量;至于内存切换标识shm_flag为0或为1时,防护进程141具体写入哪一个内存单元,和上传进程具体从哪一个内存单元读取数据,本发明对此不进行限定。
具体实施时,具有双核CPU的流量清洗设备14中上传进程142在对共享内存单元中的统计的每一目的IP的访问流量进行上传时,其上传的数据格式如表1所示:
表1
| 时间戳 | 内核数量 | 每核IP数量 | 核0数据块 | 核1数据块 |
| 8byte | 4byte | 4byte | 每核IP数量*32byte | 每核IP数量*32byte |
需要说明的是,流量清洗设备14采用双核CPU时,需要为每一个内核CPU配置一个hash表(哈希表),能够保证核0或1的防护进程141和上传进程142只能够访问该核的共享内存单元,从而减少了防护进程141统计访问流量代理的性能损耗,又能够保证统计到尽可能完整的服务器访问流量,达到防护的目的。其中,哈希表的大小为65536,是根据服务器目的IP的后16位计算得到的。
具体实施时,所述流量管理设备15在接收到至少一台流量清洗设备14发送的、针对每一目的IP统计的访问流量后,流量管理设备15可以采用两种方法对接收到的每一目的IP统计的访问流量进行处理,分别介绍之:
方法一、
针对一台流量清洗设备14,例如流量清洗设备ADS1正在对每一目的IP的访问流量进行统计,对应的服务器为服务器1~服务器5,其中,统计的服务器1~服务器5的访问流量分别为L1~L5,流量管理设备15统计该流量清洗设备14的访问流量总和,和相同目的IP的访问流量总和,即流量管理设备15统计服务器1~服务器5对应的访问流量的总和,记为:L1+L2+L3+L4+L5,将该服务器1~服务器5访问流量的总和与预设阈值进行比较,假设预设阈值为L,如果确定出L1+L2+L3+L4+L5>L,由于此处是以该流量清洗设备14发送的目的IP各不相同为例进行说明,因此,直接对接收到的五个服务器的访问流量按照由大到小的顺序进行排序,如确定出L1<L2<L3<L4<L5,流量管理设备15确定将排序在前3位目的IP的下一跳路由配置为空路由,也就是说流量管理设备15判定前3位的流量访问为大流量攻击,为了对该大流量攻击进行有效防护,针对前3位目的IP中的每一目的IP,流量管理设备15自动远程登录上游路由器,并将访问流量分别为L5、L4、L3的下一跳路由配置为空路由,需要说明的是,如果注入到该流量清洗设备14的网络访问请求有相同的目的IP,则流量管理设备15在确定出该流量清洗设备14的访问流量总和超过预设阈值时,需要按照访问流量总和由大到小的顺序对所有目的IP进行排序,然后再将前N位目的IP的下一跳路由配置为空路由,至此,流量管理设备15实现了对大流量攻击的防护。
方法二、
针对多台流量清洗设备14,例如流量清洗设备ADS1、ADS2和ADS3正在对每一目的IP的访问流量进行统计,对应的服务器为服务器1~5,其中,ADS1中统计的有服务器1和服务器2的访问流量,分别记为:L11和L21;ADS2统计的有服务器1、服务器3、服务器5的访问流量,分别记为:L12、L31和L51;ADS3统计的有服务器2和服务器4的访问流量,分别记为:L22和L41,由于服务器1~5是用IP来区分,因此,流量清洗设备14统计的每一目的IP的访问流量即为对应的服务器的访问流量,以下用服务器访问流量代替对应目的IP的访问流量,ADS1、ADS2和ADS3分别将其统计的服务器访问流量发送给流量管理设备15,流量管理设备15接收到ADS1、ADS2和ADS3分别发送的服务器访问流量后,统计接收到的所有流量清洗设备14的访问流量总和,和相同目的IP的访问流量的总和,即流量管理设备15统计服务器1~服务器5的访问流量总和为L11+L12+L21+L22+L31+L41+L51,且统计服务器1的访问流量为L1=L11+L12;统计的服务器2的访问流量为L2=L21+L22,如果确定出所有流量清洗设备14的访问流量总和超过预设阈值L,则根据服务器1和服务器2统计的访问流量总和以及服务器3~服务器5的访问流量,对接收到的所有目的IP访问流量按照由大到小的顺序进行排序,例如,如果确定出服务器1~服务器5的访问流量总和L11+L12+L21+L22+L31+L41+L51>L,则流量管理设备15对L1、L2、L31、L41、L51进行由大到小排序,如得出L1>L2>L31>L41>L51,则流量管理设备15将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数,假设N=2,则流量管理设备15将访问流量分别为L1和L2的目的IP的下一跳路由配置为空路由,至此,流量管理设备15实现了对大流量攻击的防护。
此外,如果根据后续接收到的至少一台流量清洗设备14发送的、其针对每一目的IP统计的访问流量确定每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则启动计时器;
如果在所述计时器的计时时长内,每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则针对所述前N位目的IP中的每一目的IP,恢复该目的IP的下一跳路由为原始配置。
较佳地,如果根据后续接收到的至少一台流量清洗设备发送的、其针对每一目的IP统计的访问流量确定每一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过所述预设阈值,且按照访问流量总和由大到小的顺序对所有目的IP进行排序得到的前N位目的IP与前一时刻排序得到的前N位目的IP不一致时,则流量管理设备15判定前一时刻排序得到的前N位目的IP的服务器处于黑洞保持状态,并自动远程登录上游路由器将后续排序得到的前N位目的IP的下一跳路由设置为空路由,例如,设N=3,当前时刻流量管理设备15确定服务器1~服务器5的访问流量总和排序为L1>L2>L3>L4>L5,则流量管理设备15将前3位目的IP(服务器1、服务器2、服务器3)的下一跳路由配置为空路由,后续时刻流量管理设备15确定服务器1~服务器5的访问流量总和仍超过所述预设阈值,则按照访问流量总和由大到小的顺序对目的IP进行排序,且得到L5>L4>L3>L2>L1,则流量管理设备15判断服务器1~服务器3处于黑洞保持状态,然后流量管理设备自动远程登录上游路由器将服务器4和服务器5的下一跳路由配置为空路由。
需要说明的是,流量清洗设备14和流量管理设备15可以按预设周期执行过程相应过程,可以一直对服务器访问流量进行统计和清洗,用户可以根据需要自行设定。
此外,在DDoS攻击的应用场景中,流量管理设备的大致执行过程可以根据图1g直观的得出,首先,当流量管理设备判断出每一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值时,则流量管理设备15判定处于黑洞状态,并远程登录上游路由器,配置该相应目的IP的下一跳路由为空路由;如果判断出后续接收到的每一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和不超过预设阈值,则判定处于黑洞保持状态;并启动定时器开始计时,如果流量管理设备判断出在定时器的预设时长内,根据每一流量清洗设备上报的、其针对每一目的IP统计的访问流量确定每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过预设阈值,则判定黑洞结束,即DDoS攻击得到有效防护;在黑洞保持状态或者黑洞结束状态下,如果后续确定出每一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则判定再次进入黑洞状态,然后流量管理设备按照访问流量总和由大到小的顺序对所有目的IP进行排序,自动远程登录上游路由器将前N位目的IP的下一跳路由配置为空路由,对DDoS攻击执行有效地防护措施。
本发明实施例提供的网络防护系统,流量清洗设备14针对每一目的IP统计该目的IP对应的访问流量,并将统计的每一目的IP的访问流量发送给所述流量管理设备15,流量管理设备15在接收到每一目的IP的访问流量后,针对每一流量清洗设备14,流量管理设备15统计该流量清洗设备的访问流量总和,如果确定出该流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序,流量管理设备15将前N位目的IP的下一跳路由配置为空路由,或者针对若干个流量清洗设备14,流量管理设备15统计接收到的所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和,如果所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;将前N位目的IP的下一跳路由配置为空路由,使得其他目的IP的服务器能够响应其他业务的正常流量访问,有效地检测和防护了DDoS大流量攻击,且减小了DDoS攻击对其它业务的影响,提高了防护DDoS大流量攻击的实时性和可靠性。
实施例二、
如图2所示,为本发明实施例提供的流量管理设备实施的网络防护方法的实施流程示意图,可以包括以下步骤:
S21、接收至少一台流量清洗设备发送的其针对每一目的IP统计的访问流量。
S22、针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和。
S23、如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序。
S24、将前N位目的IP的下一跳路由配置为空路由。
具体实施时,针对所述前N位目的IP中的每一目的IP,远程登录上游路由器,将该目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
较佳地,流量管理设备可以采用Telnet方法自动远程登录上游路由器,相比现有技术采用的BGP(Border Gateway Protocol,边界网关协议)方法登录上游路由器,采用Telnet自动远程登录上游路由器配置前N位目的IP的下一跳路由器为空路由,耗时短,且Telnet操作生效比BGP方法块,能快速丢弃DDoS大流量攻击,避免由于上游带宽被DDoS大流量攻击堵死而影响其他用户的正常访问。
具体实施时,所述方法,还包括:
如果根据后续接收到的至少一台流量清洗设备发送的、其针对每一目的IP统计的访问流量确定每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则启动计时器;
如果在所述计时器的计时时长内,任一流量清洗设备发送的目的IP访问流量总和以及所有目的IP的访问流量总和不超过所述预设阈值;
则针对所述前N位目的IP中的每一目的IP,恢复该目的IP的下一跳路由为原始配置。
需要说明的是,具体实施时,参照实施例一网络防护系统中流量管理设备15的描述过程执行大流量攻击的流量清洗。
本发明实施例提供的流量管理设备实施的网络防护方法,在接收至少一台流量清洗设备发送的其针对每一目的IP统计的访问流量后,针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和,如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序,并将前N位目的IP的下一跳路由配置为空路由,不仅可以有效地防止大流量DDoS攻击,还可以保证其他服务器能够正常响应用户发送的网络访问请求。
实施例三、
如图3所示,为本发明实施例提供的流量清洗设备实施的网络防护方法的实施流程示意图,可以包括以下步骤:
S31、流量清洗设备针对每一目的IP统计该目的IP对应的访问流量。
具体实施时,所述流量清洗设备启动防护进程,所述防护进程针对每一目的IP统计该目的IP对应的访问流量并写入共享内存单元。
S32、将统计的每一目的IP的访问流量发送给流量管理设备。
所述流量清洗设备启动上传进程,所述上传进程从所述共享内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备
所述共享内存单元包括第一内存单元和第二内存单元,其中:
如果所述防护进程向第一内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程从第二内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备;
如果所述防护进程向第二内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程从第一内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
需要说明的是,具体实施时,参照实施例一网络防护系统中流量清洗设备14的描述过程执行访问流量的统计过程。
本发明实施例提供的流量清洗设备实施的网络防护方法,流量清洗设备针对每一目的IP统计该目的IP对应的访问流量,为了减小统计带来的性能损耗,流量清洗设备将统计的每一目的IP的访问流量在内存中交替存储,并交替从内存中读取统计的每一目的IP的访问流量并发送给流量管理设备,保证能够尽可能完整地统计每一目的IP对应的访问流量,使得流量管理设备在接收到每一目的IP的访问流量时,对大流量攻击的防护效果更加可靠。
实施例四、
基于同一发明构思,本发明实施例中还提供了一种网络防护装置,由于上述装置解决问题的原理与网络防护方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图4所示,为本发明实施例提供的网络防护装置的结构示意图,包括:接收单元41、统计单元42、排序单元43和配置单元44,其中:
接收单元41,用于接收至少一台流量清洗设备发送的其针对每一目的IP统计的访问流量;
统计单元42,用于针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;
排序单元43,用于如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;
配置单元44,用于将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
具体实施时,所述配置单元44,具体用于针对所述前N位目的IP中的每一目的IP,自动远程登录上游路由器,将该目的IP的下一跳路由配置为空路由。
较佳地,所述装置,还包括:计时单元45,其中:
计时单元45,用于如果根据后续接收到的至少一台流量清洗设备发送的、其针对每一目的IP统计的访问流量确定每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则启动计时器;
配置单元44,还用于如果在所述计时器的计时时长内,每一流量清洗设备发送的目的IP访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则针对所述前N位目的IP中的每一目的IP,恢复该目的IP的下一跳路由为原始配置。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。例如,本发明实施例四提供的网络防护装置可以设置于流量管理设备中,由流量管理设备完成对服务器访问流量的管理。
本发明实施例提供了一种网络防护装置,例如,可以包括存储器和处理器,其中,处理器可以用于读取存储器中的程序,执行下列过程:接收至少一台流量清洗设备发送的其针对每一目的IP统计的访问流量;针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
本发明实施例提供了一种程序产品,其包括程序代码,当所述程序产品运行时,所述程序代码用于执行以下过程:接收至少一台流量清洗设备发送的其针对每一目的IP统计的访问流量;针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
实施例五、
基于同一发明构思,本发明实施例中还提供了另一种网络防护装置,由于上述装置解决问题的原理与流量清洗设备实施的网络防护方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图5所示,为本发明实施例提供的流量清洗设备实施的网络防护装置的结构示意图,包括:防护单元51和上传单元52,其中:
防护单元51,用于流量清洗设备针对每一目的IP统计该目的IP对应的访问流量;
上传单元52,用于将统计的每一目的IP的访问流量发送给流量管理设备。
具体实施时,所述防护单元51,具体用于针对每一目的IP统计该目的IP对应的访问流量并写入共享内存单元;
所述上传单元52,具体用于从所述共享内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
所述共享内存单元包括第一内存单元和第二内存单元,其中:
如果所述防护单元向第一内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传单元从第二内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备;
如果所述防护单元向第二内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传单元从第一内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
本发明实施例提供了另外一种网络防护装置,例如,可以包括存储器和处理器,其中,处理器可以用于读取存储器中的程序,执行下列过程:流量清洗设备针对每一目的IP统计该目的IP对应的访问流量;并将统计的每一目的IP的访问流量发送给流量管理设备。
本发明实施例提供了另外一种程序产品,其包括程序代码,当所述程序产品运行时,所述程序代码用于执行以下过程:流量清洗设备针对每一目的IP统计该目的IP对应的访问流量;并将统计的每一目的IP的访问流量发送给流量管理设备。
在介绍了本发明提供的网络防护方法、装置和系统之后,接下来,介绍根据本发明的另一示例性实施方式的网络防护装置。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本发明的网络防护装置可以包括至少一个处理单元、以及至少一个存储单元。其中,所述存储单元存储有程序代码,当所述程序代码被所述处理单元执行时,使得所述处理单元执行本说明书上述“实施例方法”部分中描述的根据本发明各种示例性实施方式的网络防护方法中的各种步骤。例如,所述处理单元可以执行如图2中所示的步骤S21,接收至少一台流量清洗设备发送的其针对每一目的IP统计的访问流量,步骤S22,针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和,步骤23,如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序,步骤24,将前N位目的IP的下一跳路由配置为空路由。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本发明实施例提供的网络防护方法、装置和系统,流量清洗设备针对每一目的IP统计该目的IP对应的访问流量,并将统计的每一目的IP的访问流量发送给所述流量管理设备,流量管理设备在接收到每一目的IP的访问流量后,针对每一流量清洗设备,流量管理设备统计该流量清洗设备的访问流量总和,和相同目的IP访问流量总和,如果确定出该流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序,流量管理设备将前N位目的IP的下一跳路由配置为空路由,或者针对若干个流量清洗设备,流量管理设备统计接收到的所有流量清洗设备的访问流量总和,和相同目的IP访问流量总和,如果所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;将前N位目的IP的下一跳路由配置为空路由,使得其它目的IP的服务器能够响应其他业务的正常流量访问,有效地检测和防护了DDoS大流量攻击,且减小了DDoS攻击对其它业务的影响,提高了防护DDoS大流量攻击的实时性和可靠性。
本申请的实施例所提供的网络防护装置或设备可通过计算机程序实现。本领域技术人员应该能够理解,上述的模块划分方式仅是众多模块划分方式中的一种,如果划分为其他模块或不划分模块,只要网络防护装置或设备具有上述功能,都应该在本申请的保护范围之内。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (17)
1.一种网络防护系统,其特征在于,包括至少一台流量清洗设备和流量管理设备,其中:
所述流量清洗设备,用于针对每一目的互联网协议IP统计该目的IP对应的访问流量;并将统计的每一目的IP的访问流量发送给所述流量管理设备;
所述流量管理设备,用于针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;
将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
2.如权利要求1所述的系统,其特征在于,
所述流量清洗设备,具体用于同时启动防护进程和上传进程,其中:
所述防护进程,用于针对每一目的IP统计该目的IP对应的访问流量并写入共享内存单元;
所述上传进程,用于从所述共享内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
3.如权利要求2所述的系统,其特征在于,所述共享内存单元包括第一内存单元和第二内存单元,其中:
如果所述防护进程向第一内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程具体用于从第二内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备;
如果所述防护进程向第二内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程具体用于从第一内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
4.如权利要求1、2或3所述的系统,其特征在于,
所述流量管理设备,具体用于针对所述前N位目的IP中的每一目的IP,自动远程登录上游路由器,将该目的IP的下一跳路由配置为空路由。
5.如权利要求4所述的系统,其特征在于,
所述流量管理设备,还用于如果根据后续接收到的至少一台流量清洗设备发送的、其针对每一目的IP统计的访问流量确定每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则启动计时器;以及如果在所述计时器的计时时长内,每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值;则针对所述前N位目的IP中的每一目的IP,恢复该目的IP的下一跳路由配置为原始配置。
6.一种网络防护方法,其特征在于,包括:
接收至少一台流量清洗设备发送的其针对每一目的IP统计的访问流量;
针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;
如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;
将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
7.如权利要求6所述的方法,其特征在于,将前N位目的IP的下一跳路由配置为空路由,具体包括:
针对所述前N位目的IP中的每一目的IP,自动远程登录上游路由器,将该目的IP的下一跳路由配置为空路由。
8.如权利要求7所述的方法,其特征在于,还包括:
如果根据后续接收到的至少一台流量清洗设备发送的、其针对每一目的IP统计的访问流量确定每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则启动计时器;
如果在所述计时器的计时时长内,每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值;
则针对所述前N位目的IP中的每一目的IP,恢复该目的IP的下一跳路由为原始配置。
9.一种网络防护方法,其特征在于,包括:
流量清洗设备针对每一目的IP统计该目的IP对应的访问流量;并
将统计的每一目的IP的访问流量发送给流量管理设备,所述流量管理设备用于统计所述流量清洗设备发送的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
10.如权利要求9所述的方法,其特征在于,所述流量清洗设备同时启动防护进程和上传进程,其中:
流量清洗设备针对每一目的IP统计该目的IP对应的访问流量,具体包括:
所述防护进程针对每一目的IP统计该目的IP对应的访问流量并写入共享内存单元;以及
将统计的每一目的IP的访问流量发送给流量管理设备,具体包括:
所述上传进程从所述共享内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
11.如权利要求10所述的方法,其特征在于,所述共享内存单元包括第一内存单元和第二内存单元,其中:
如果所述防护进程向第一内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程从第二内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备;
如果所述防护进程向第二内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传进程从第一内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
12.一种网络防护装置,其特征在于,包括:
接收单元,用于接收至少一台流量清洗设备发送的其针对每一目的IP统计的访问流量;
统计单元,用于针对每一流量清洗设备,统计该流量清洗设备的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;
排序单元,用于如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;
配置单元,用于将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
13.如权利要求12所述的装置,其特征在于,
所述配置单元,具体用于针对所述前N位目的IP中的每一目的IP,自动远程登录上游路由器,将该目的IP的下一跳路由配置为空路由。
14.如权利要求13所述的装置,其特征在于,还包括计时单元,其中:
所述计时单元,用于如果根据后续接收到的至少一台流量清洗设备发送的、其针对每一目的IP统计的访问流量确定每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则启动计时器;
所述配置单元,还用于如果在所述计时器的计时时长内,每一流量清洗设备的访问流量总和以及所有流量清洗设备的访问流量总和不超过所述预设阈值,则针对所述前N位目的IP中的每一目的IP,恢复该目的IP的下一跳路由为原始配置。
15.一种网络防护装置,其特征在于,包括:
防护单元,用于针对每一目的IP统计该目的IP对应的访问流量;
上传单元,用于将统计的每一目的IP的访问流量发送给流量管理设备,所述流量管理设备用于统计所述流量清洗设备发送的访问流量总和,和/或统计所有流量清洗设备的访问流量总和,和/或相同目的IP访问流量总和;如果任一流量清洗设备的访问流量总和或者所有流量清洗设备的访问流量总和超过预设阈值,则按照访问流量总和由大到小的顺序对所有目的IP进行排序;将前N位目的IP的下一跳路由配置为空路由,其中N为大于等于1的自然数。
16.如权利要求15所述的装置,其特征在于,
所述防护单元,具体用于针对每一目的IP统计该目的IP对应的访问流量并写入共享内存单元;
所述上传单元,具体用于从所述共享内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
17.如权利要求16所述的装置,其特征在于,所述共享内存单元包括第一内存单元和第二内存单元,其中:
如果所述防护单元向第一内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传单元从第二内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备;
如果所述防护单元向第二内存单元写入其针对每一目的IP统计的该目的IP对应的访问流量,则所述上传单元从第一内存单元读取统计的每一目的IP的访问流量并发送给流量管理设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610827108.7A CN106330951B (zh) | 2016-09-14 | 2016-09-14 | 一种网络防护方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610827108.7A CN106330951B (zh) | 2016-09-14 | 2016-09-14 | 一种网络防护方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106330951A CN106330951A (zh) | 2017-01-11 |
| CN106330951B true CN106330951B (zh) | 2019-11-19 |
Family
ID=57788018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610827108.7A Active CN106330951B (zh) | 2016-09-14 | 2016-09-14 | 一种网络防护方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106330951B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107231344B (zh) * | 2017-05-04 | 2020-04-03 | 杭州迪普科技股份有限公司 | 流量清洗方法和装置 |
| CN107426055B (zh) * | 2017-07-31 | 2021-09-07 | 努比亚技术有限公司 | 异常流量监测方法、装置及计算机可读存储介质 |
| CN110753022A (zh) * | 2018-07-24 | 2020-02-04 | 上海来三网络科技有限公司 | Ddos大流量防御架构 |
| CN109167767A (zh) * | 2018-08-17 | 2019-01-08 | 苏州亮磊知识产权运营有限公司 | 一种对于DHCP架构的DDoS攻击防御系统的工作方法 |
| CN111224924B (zh) * | 2018-11-27 | 2022-08-05 | 北京金山云网络技术有限公司 | 流量处理方法、装置、电子设备及存储介质 |
| CN109347876B (zh) * | 2018-11-29 | 2022-04-01 | 深圳市网心科技有限公司 | 一种安全防御方法及相关装置 |
| CN110620787A (zh) * | 2019-09-30 | 2019-12-27 | 怀来斯达铭数据有限公司 | DDoS攻击的防护方法和系统 |
| CN111586018B (zh) * | 2020-04-29 | 2022-05-31 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7219228B2 (en) * | 2003-08-25 | 2007-05-15 | Lucent Technologies Inc. | Method and apparatus for defending against SYN packet bandwidth attacks on TCP servers |
| US8225399B1 (en) * | 2005-12-14 | 2012-07-17 | At&T Intellectual Property Ii, Lp | System and method for avoiding and mitigating a DDoS attack |
| CN102271068B (zh) * | 2011-09-06 | 2015-07-15 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
| CN103491095B (zh) * | 2013-09-25 | 2016-07-13 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
| CN105227548B (zh) * | 2015-09-14 | 2018-06-26 | 中国人民解放军国防科学技术大学 | 基于办公局域网稳态模型的异常流量筛选方法 |
| CN105306436B (zh) * | 2015-09-16 | 2016-08-24 | 广东睿江云计算股份有限公司 | 一种异常流量检测方法 |
| CN105282152B (zh) * | 2015-09-28 | 2018-08-28 | 广东睿江云计算股份有限公司 | 一种异常流量检测的方法 |
-
2016
- 2016-09-14 CN CN201610827108.7A patent/CN106330951B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN106330951A (zh) | 2017-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106330951B (zh) | 一种网络防护方法、装置和系统 | |
| Wang et al. | SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| WO2019237813A1 (zh) | 一种服务资源的调度方法及装置 | |
| Xu et al. | An SDNFV-based DDoS defense technology for smart cities | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| KR101692155B1 (ko) | 소프트웨어 정의 네트워크에서 취약점을 분석하는 방법, 장치 및 컴퓨터 프로그램 | |
| CN108028828A (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| Guo et al. | CATH: an effective method for detecting denial-of-service attacks in software defined networks | |
| Burke et al. | Misreporting attacks against load balancers in software-defined networking | |
| Alcorn et al. | A framework for large-scale modeling and simulation of attacks on an OpenFlow network | |
| Ono et al. | A design of port scan detection method based on the characteristics of packet-in messages in openflow networks | |
| Shi et al. | On capturing DDoS traffic footprints on the Internet | |
| CN110808967B (zh) | 挑战黑洞攻击的检测方法及相关装置 | |
| Brahmi et al. | A Snort-based mobile agent for a distributed intrusion detection system | |
| Galadima et al. | Cyber deception against DDoS attack using moving target defence framework in SDN IOT-EDGE networks | |
| Mugitama et al. | An evidence-based technical process for openflow-based SDN forensics | |
| Elhaloui et al. | Dynamic security of IoT network traffic using SDN | |
| CN111083173B (zh) | 基于openflow协议的网络通信中的动态防御方法 | |
| Khirwadkar | Defense against network attacks using game theory | |
| Ghasabi et al. | Using optimized statistical distances to confront distributed denial of service attacks in software defined networks | |
| Almutairi et al. | Security analysis of multiple SDN controllers based on Stochastic Petri Nets | |
| CN106375330B (zh) | 数据检测的方法及装置 | |
| Peretz et al. | Moving target defense for virtual network functions | |
| Gulomov et al. | Design Method and Monitoring Special Traffic Filtering under Developing «Electronic Government» |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |