CN107018116B - 监控网络流量的方法、装置及服务器 - Google Patents
监控网络流量的方法、装置及服务器 Download PDFInfo
- Publication number
- CN107018116B CN107018116B CN201610056638.6A CN201610056638A CN107018116B CN 107018116 B CN107018116 B CN 107018116B CN 201610056638 A CN201610056638 A CN 201610056638A CN 107018116 B CN107018116 B CN 107018116B
- Authority
- CN
- China
- Prior art keywords
- address
- source
- network
- traffic
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种监控网络流量的方法、装置及服务器,该方法包括:确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址;如果所述源IP地址为非伪造的IP地址,向所述源IP地址对应的设备发送探测报文;如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文,向所述源IP地址侧对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。在本申请的技术方案可以使源IP地址对应的流量清洗设备对源IP地址发送的网络流量进行近源清洗,实现了按照攻击源的地区下发清洗策略,将攻击在源头进行堵截,减少了攻击目的地的网络拥塞情况,降低了目的地的防御难度和防御带宽成本。
Description
技术领域
本申请涉及网络技术领域,尤其涉及一种监控网络流量的方法、装置及服务器。
背景技术
当互联网数据中心(Internet Data Center,简称为IDC)内部的任意一台服务器遭受大流量分布式拒绝服务(Distributed Denial of Service,简称为DDoS)攻击时,均可能引起互联网服务提供商(Internet Service Provider,简称为ISP)到IDC的网络拥塞,现有技术通常会在ISP网络设备上将流量进行黑洞处理,例如,当IDC内部的服务器A遭受大流量DDoS攻击时,ISP网络设备如果发现网络目的地址为IDC内的服务器A,则将网络流量丢弃,从而使网络流量不会转发到IDC网络设备上,保护了ISP到IDC的带宽。现有技术只是为了保障ISP到IDC的带宽不被拥塞,对于被丢弃的流量完全不可知。
发明内容
有鉴于此,本申请提供一种新的技术方案,可以通过对IDC网络设备丢弃的网络流量进行检测和分析,从而清晰地了解到网络流量的攻击状态,进而在网络流量的源IP地址侧堵住流量攻击,降低防御难度和防御带宽成本。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种监控网络流量的方法,包括:
确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址;
如果所述源IP地址为非伪造的IP地址,向所述源IP地址对应的设备发送探测报文;
如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文,向所述源IP地址对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。
根据本申请的第二方面,提出了一种监控网络流量的装置,包括:
第一确定模块,用于确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址;
第一发送模块,用于如果所述第一确定模块确定所述源IP地址为非伪造的IP地址,向所述源IP地址对应的设备发送探测报文;
第二发送模块,用于如果接收到所述源IP地址对应的设备根据所述第一发送模块发送的所述探测报文返回的应答报文,向所述源IP地址对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。
根据本申请的第三方面,提出了一种服务器,所述服务器包括:
处理器;用于存储所述处理器可执行指令的存储器;网络接口;
其中,所述网络接口,用于接收来自ISP侧的网络设备的网络流量;
处理器,用于确定所述网络接口接收到的网络流量的源IP地址是否为伪造的IP地址;
所述网络接口,还用于如果所述处理器确定所述源IP地址为非伪造的IP地址,向所述源IP地址对应的设备发送探测报文;
如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文,向所述源IP地址对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。
由以上技术方案可见,本申请在源IP地址为非伪造的IP地址时,向源IP地址发送探测报文,如果接收到源IP地址对应的设备根据探测报文返回的应答报文,向源IP地址对应的第一流量清洗设备发送用于对源IP地址的网络流量进行流量清洗的第一通知消息,从而可以使源IP地址对应的流量清洗设备对源IP地址发送的网络流量进行近源清洗,实现了按照攻击源的地区下发清洗策略,将攻击在源头进行堵截,减少了攻击目的地的网络拥塞情况,降低了目的地的防御难度和防御带宽成本。
附图说明
图1示出了根据本发明实施例提供的监控网络流量的方法所适用的网络拓扑图;
图2示出了根据本发明的一示例性实施例的监控网络流量的方法的流程示意图;
图3示出了根据本发明的又一示例性实施例的监控网络流量的方法的流程示意图;
图4示出了根据本发明的再一示例性实施例的监控网络流量的方法的流程示意图;
图5示出了根据本发明的一示例性实施例的网络设备的结构示意图;
图6示出了根据本发明的一示例性实施例的监控网络流量的装置的结构示意图;
图7示出了根据本发明的又一示例性实施例的监控网络流量的装置的结构示意图;
图8示出了根据本发明的再一示例性实施例的监控网络流量的装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1示出了根据本发明实施例提供的监控网络流量的方法所适用的网络拓扑图;如图1所示,IDC侧包括网络设备11、业务服务器121、业务服务器122、…业务服务器12N、流量清洗设备14(也可称为本申请下述实施例中的第二流量清洗设备)、清洗设备配置服务器15,其中,N为IDC侧的提供业务的服务器的数量,ISP侧包括网络设备16以及流量清洗设备(图1中未示出,也可称为本申请下述实施例中的第一流量清洗设备)。其中,可以在IDC侧配置有网络设备13和至少一台业务服务器120(图1以一台业务服务器120作为示例性说明),网络设备13用于将网络设备11需要黑洞的网络流量按照网络设备11指定的目的地转发至至少一个业务服务器120中的对应服务器。其中,业务服务器120也可以称为蜜罐处理设备,网络设备13可以称为蜜罐网络设备。
流量清洗(Flow cleaning)是指提供给租用IDC服务的用户、针对对其发起的攻击的监控、告警和防护的一种网络安全服务。该服务对进入用户IDC的数据流量进行实时监控,及时发现包括DOS/DDOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。有效满足用户对IDC运作连续性的要求。流量清洗设备通常具有攻击检测、攻击缓解、监控管理等功能。攻击检测用于检测网络流量中隐藏的非法攻击流量,发现攻击后能够及时通知并激活防护设备进行流量的清洗;攻击缓解系统通过专业的流量净化产品,将可疑流量从原始网络路径中重定向到净化产品上进行恶意流量的识别和剥离,再将还原出的合法流量回注到原网络中转发给目标系统,并且能够保证其它合法流量的转发路径不受影响;监控管理系统对流量清洗系统的设备进行集中管理配置,记录实时流量、告警事件,监控状态信息,及时输出流量分析报告和攻击防护报告等信息。
在通常情况下,流量清洗设备14根据流量清洗设备14和网络设备11之间的流量对出入IDC机房的流量进行监测,监测时可以采用对流量进行镜像处理的方式。监测的方式是,通过计算设定时间段内到达IDC机房内的服务器的流量,并将计算结果与该服务器对应的流量阈值进行比较。其中流量阈值可以包括两种:清洗阈值(也称牵引阈值)以及黑洞阈值,从数值上看,清洗阈值<黑洞阈值。
如果网络流量的大小超过清洗阈值,则流量清洗设备14启动流量清洗;如果网络流量的大小超过黑洞阈值,可以将网络流量视为攻击流量,流量清洗设备14向网络设备11发布蜜罐牵引请求,网络设备11在接收到蜜罐牵引请求后,向网络设备16发布蜜罐牵引请求,网络设备16接收到蜜罐牵引请求后,按照牵引目的地将流量牵引至网络设备13,网络设备13按照指定目的地(与牵引目的地不同)将网络流量转发至业务服务器120,从而使业务服务器120对网络流量进行监控。清洗设备配置服务器15用于记录业务服务器121、业务服务器122、…业务服务器12N各自对应的清洗阈值和黑洞阈值,例如,业务服务器121的清洗阈值为20Mbit/s,黑洞阈值为100Mbit/s,业务服务器121的IP地址为10.1.1.1,正常流量信息为10Mbit/s。流量清洗设备14以秒为单位统计目的IP地址为10.1.1.1的网络流量,一旦网络流量达到清洗阈值20Mbit/s,流量清洗设备14执行清洗,如果从网络设备11到达业务服务器121的网络流量到达100Mbit/s,流量清洗设备14会通过网络设备11向网络设备16下发将流量牵引至网络设备13的通知消息,网络设备16将网络流量通过网络设备13转发至业务服务器120。业务服务器120通过本申请对目的IP地址为10.1.1.1的网络流量进行监控。
为对本申请进行进一步说明,提供下列实施例:
图2示出了根据本发明的一示例性实施例的监控网络流量的方法的流程示意图;本实施例结合图1进行示例性说明,本实施例可以通过上述图1中的业务服务器120实现,如图2所示,包括如下步骤:
步骤201,确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址,如果源IP地址为非伪造的IP地址,执行步骤202,如果源IP地址为伪造的IP地址,继续接收来自ISP侧的网络设备的网络流量。
在一实施例中,来自ISP侧的网络设备16的网络流量可以为ISP侧的网络设备16需要执行黑洞的网络流量。在一实施例中,业务服务器120可以通过分析网络流量的数据报文中的源IP地址,结合该源IP地址对应的地理信息以及数据报文中的生存时间(time-to-live,简称为TTL)等信息,确定网络流量对应的源IP地址的地理位置与TTL是否匹配,如果相匹配,则视为非伪造的IP地址,如果不匹配,则视为伪造的IP地址。
步骤202,如果源IP地址为非伪造的IP地址,向源IP地址对应的设备发送探测报文。
在一实施例中,探测报文可以为控制报文协议(Internet Control MessageProtocol,简称为ICMP)包。
步骤203,如果接收到源IP地址对应的设备根据探测报文返回的应答报文,向源IP地址对应的第一流量清洗设备发送用于对源IP地址的网络流量进行流量清洗的第一通知消息。
在一实施例中,如果接收到源IP地址对应的设备根据探测报文返回的应答报文,即可确定该源IP地址对应一个真实的发送数据报文的源设备,从而可以根据该源IP地址确定源IP地址对应的第一流量清洗设备(图1中未示出),进而使第一流量清洗设备对该源IP地址发送的网络流量进行近源清洗。
由上述描述可知,本发明实施例在源IP地址为非伪造的IP地址时,向源IP地址发送探测报文,如果接收到源IP地址对应的设备根据探测报文返回的应答报文,向源IP地址对应的第一流量清洗设备发送用于对源IP地址的网络流量进行流量清洗的第一通知消息,从而可以使源IP地址对应的流量清洗设备对源IP地址发送的网络流量进行近源清洗,实现了按照攻击源的地区下发清洗策略,将攻击在源头进行堵截,减少了攻击目的地的网络拥塞情况,降低了目的地的防御难度和防御带宽成本。
图3示出了根据本发明的又一示例性实施例的监控网络流量的方法的流程示意图;本实施例结合图1进行示例性说明,如图3所示,包括如下步骤:
步骤301,从来自ISP侧的网络设备的网络流量的数据报文中获取源IP地址所在的地理位置信息以及数据报文的生存时间。
步骤302,确定地理位置信息以及数据报文的生存时间是否匹配,如果地理位置信息与生存时间相匹配,执行步骤303,如果地理位置信息与生存时间不匹配,执行步骤307。
以IDC侧的相关设备(如图1中所述的网络设备11、业务服务器121、业务服务器122、…业务服务器12N、流量清洗设备14)位于北京以及源IP地址位于杭州为例进行示例性说明,从杭州到北京的网络流量需要经过4-6个网络节点,数据报文在杭州发出时默认的TTL为255,则网络流量从杭州发往北京的TTL的正常值的范围为【255-4,255-6】,如果业务服务器120监控的网络流量的数据报文的TTL不在上述范围内,认为源IP地址对应的地理信息与TTL不匹配,可以认为网络流量的源IP地址是伪造的IP地址,如果业务服务器120监控的网络流量的数据报文的TTL在上述范围内,认为源IP地址对应的地理信息与TTL相匹配,可以认为网络流量的源IP地址为非伪造的IP地址,也可视为真实的IP地址。
步骤303,如果地理位置信息与生存时间相匹配,确定网络流量的源IP地址为非伪造的IP地址。
步骤304,确定网络流量所包含的数据报文的类型。
步骤305,根据数据报文的类型确定需要向源IP地址发送的探测报文。
在步骤304和步骤305中,网络流量所包含的数据报文的类型可以包括ICMP包、TCP报文、UDP报文、HTTP报文等,通过从网络流量中提取例如ICMP包、TCP报文、UDP报文以及HTTP报文等“正常”的报文,并试探性地向源IP地址回复探测报文,以探测攻击者的意图并根据报文交互情况进行防御。例如,当网络流量的数据报文为UDP报文时,检查是否为已知常见的UDP请求,如果检查到UDP请求,确定该UDP请求是否为DNS请求,如果为DNS请求,则向源IP地址发送DNS响应,如果不是DNS请求,则启动IP层ICMP探测查看是否有来自源IP地址的应答;当数据报文为TCP报文时,根据SYNC报文的特征,可以构造相应的应答报文并观察SYNC报文发送者的后续动作,用以判断攻击者的意图;当数据报文为HTTP报文时,分析HTTP请求中的内容,利用Http Redirect进行交互探测,观察攻击者的意图。
步骤306,如果接收到源IP地址对应的设备根据探测报文返回的应答报文,向源IP地址对应的第一流量清洗设备发送用于对源IP地址的网络流量进行流量清洗的第一通知消息。
步骤306的描述可以参见上述图2所示实施例的相关描述,在此不再详述。
步骤307,如果地理位置信息与生存时间不匹配,确定网络流量的源IP地址为伪造的IP地址。
本实施例中,通过从海量的攻击数据中提取出“正常”的报文,例如常见的ICMP、正常的TCP报文和UDP报文,并试探性地向源IP地址回复探测报文,从而可以探测攻击者的意图,进而根据报文交互情况进行防御;此外,还可以通过分析特殊的探测报文(例如,ICMP、TCP三次握手等)追溯到攻击发动者,解决DDoS攻击的问题。
图4示出了根据本发明的再一示例性实施例的监控网络流量的方法的流程示意图;如图4所示,包括如下步骤:
步骤401,根据来自ISP侧的网络设备的网络流量的目的IP地址对网络流量进行统计,得到统计结果。
在一实施例中,流量统计的内容可以包括:到达目的IP地址的数据报文的数量、设定时间段内的数据报文的大小、网络流量所包含的数据报文的组成成分,例如,TCP报文的占比、UDP报文的占比、ICMP报文的占比等等。
步骤402,将统计结果发送给清洗设备配置服务器,以供清洗设备配置服务器将所述统计结果转发给IDC侧的第二流量清洗设备,第二流量清洗设备根据统计结果确定与网络流量相对应的清洗策略。
第二流量清洗设备可以为图1所示的流量清洗设备14,在一实施例中,流量清洗设备14可以根据统计结果确定与网络流量相对应的清洗策略,流量清洗设备14可以根据流量的大小确定是否需要启动流量清洗、停止流量清洗、启动蜜罐牵引、停止蜜罐牵引等等策略,例如,如果根据统计结果确定流量小于黑洞阈值,向网络设备11发布停止蜜罐牵引的请求,网络设备11在接收到停止蜜罐牵引的请求后,向网络设备16发布停止蜜罐牵引的请求,网络设备16接收到停止蜜罐牵引的请求后,停止向网络设备13转发网络流量,并将该网络流量发送至网络设备11,网络设备11按照指定目的地将网络流量转发至例如业务服务器121。
步骤403,根据统计结果确定当前被攻击目的IP地址的流量。
步骤404,当当前被攻击目的IP地址的流量小于预设阈值时,向ISP侧的网络设备发送用于停止流量牵引的第二通知消息。
例如,当前被攻击的目的IP地址为业务服务器121的IP地址,业务服务器120统计到的流向业务服务器121的网络流量低于蜜罐牵引对应的黑洞阈值100Mbit/s(本实施例中的预设阈值)时,业务服务器120会通过网络设备13发送用于停止流量牵引的第二通知消息,网络设备13将该用于停止流量牵引的第二通知转发给网络设备16,从而使网络设备根据该第二通知消息取消蜜罐牵引,继续将向业务服务器121的网络流量通过网络设备11转发给业务服务器121,从而缩短业务服务器121不可用的时间。
本实施例中,当当前被攻击目的IP地址的流量小于预设阈值时,可以实时监测目的IP地址的攻击动态,当攻击结束即可通知ISP侧的网络设备将流量牵引还原,从而尽可能地减少了目的IP地址的不可用时间。
通过上述实施例,当ISP侧的网络设备需要将网络流量进行黑洞时,通过将需要黑洞的网络流量转发至业务服务器120,业务服务器120对网络流量进行分析,从而解决黑洞状态下的流量无法分析问题,在确保ISP侧的网络设备与IDC侧的网络设备之间的带宽不被拥塞的同时,还可以获取到网络流量的攻击来源以及当前的攻击状态,从而可以通过“近源清洗”等手段将攻击流量扼杀在源头,大幅降低被攻击设备的流量。
对应于上述的监控网络流量的方法,本申请还提出了图5所示的根据本申请的一示例性实施例的服务器的示意结构图。请参考图5,在硬件层面,该服务器的包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。
其中,网络接口,用于接收来自ISP侧的网络设备的网络流量;
处理器,用于确定网络接口接收到的网络流量的源IP地址是否为伪造的IP地址;
网络接口,还用于如果处理器确定源IP地址为非伪造的IP地址,向源IP地址发送探测报文;如果接收到源IP地址对应的设备根据探测报文返回的应答报文,向源IP地址对应的第一流量清洗设备发送用于对源IP地址的网络流量进行流量清洗的第一通知消息。
图6为根据本发明的一示例性实施例的监控网络流量的装置的结构示意图;如图6所示,该监控网络流量的装置可以包括:第一确定模块61、第一发送模块62、第二发送模块63。其中:
流量接收模块60,用于接收来自ISP侧的网络设备的网络流量;
第一确定模块61,用于确定流量接收模块60接收到的网络流量的源IP地址是否为伪造的IP地址;
第一发送模块62,用于如果第一确定模块61确定源IP地址为非伪造的IP地址,向源IP地址对应的设备发送探测报文;
第二发送模块63,用于如果接收到源IP地址对应的设备根据第一发送模块62发送的探测报文返回的应答报文,向源IP地址对应的第一流量清洗设备发送用于对源IP地址的网络流量进行流量清洗的第一通知消息。
图7示出了根据本发明的又一示例性实施例的监控网络流量的装置的结构示意图,如图7所示,在上述图6所示实施例的基础上,第一确定模块61可包括:
获取单元611,用于从来自ISP侧的网络设备的网络流量的数据报文中获取源IP地址所在的地理位置信息以及数据报文的生存时间;
第一确定单元612,用于如果获取单元611获取到的地理位置信息与生存时间相匹配,确定网络流量的源IP地址为非伪造的IP地址;
第二确定单元613,用于如果获取单元611获取到的地理位置信息与生存时间不匹配,确定网络流量的源IP地址为伪造的IP地址。
在一实施例中,装置还可包括:
第二确定模块64,用于确定流量接收模块60接收到的网络流量所包含的数据报文的类型;
第三确定模块65,用于根据第二确定模块64确定的数据报文的类型确定需要向源IP地址发送的探测报文。
图8示出了根据本发明的再一示例性实施例的监控网络流量的装置的结构示意图,如图8所示,在上述图6或者图7所示实施例的基础上,装置还可包括:
统计模块66,用于根据流量接收模块60接收到的网络流量的目的IP地址对网络流量进行统计,得到统计结果;
第三发送模块67,用于将统计模块66得到的统计结果发送给清洗设备配置服务器,以供清洗设备配置服务器将统计结果转发给IDC侧的第二流量清洗设备后,第二流量清洗设备根据统计结果确定与网络流量相对应的清洗策略。
在一实施例中,装置还可包括:
第四确定模块68,用于根据统计模块66得到的统计结果确定当前被攻击目的IP地址的流量;
第四发送模块69,用于当第四确定模块68确定的当前被攻击目的IP地址的流量小于预设阈值时,向ISP侧的网络设备发送用于停止流量牵引的第二通知消息。
在一实施例中,来自ISP侧的网络设备的网络流量为ISP侧的网络设备需要执行黑洞的网络流量。
上述实施例可见,当ISP侧的网络设备需要将网络流量进行黑洞时,通过将需要黑洞的网络流量转发至业务服务器120,业务服务器120对网络流量进行分析,从而解决黑洞状态下的流量无法分析问题,在确保ISP侧的网络设备与IDC侧的网络设备之间的带宽不被拥塞得同时,还可以获取到网络流量的攻击来源以及当前的攻击状态,从而可以通过“近源清洗”等手段将攻击流量扼杀在源头,大幅降低被攻击设备的流量。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (11)
1.一种监控网络流量的方法,其特征在于,所述方法包括:
确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址;其中,所述来自ISP侧的网络设备的网络流量为所述ISP侧的网络设备需要执行黑洞的网络流量;
如果所述源IP地址为非伪造的IP地址,向所述源IP地址对应的设备发送探测报文;
如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文,向所述源IP地址对应的第一流量清洗设备发送用于通知所述第一流量清洗设备对所述源IP地址的网络流量进行流量清洗的第一通知消息;其中,所述源IP地址对应的第一流量清洗设备是所述源IP地址所在地区的第一流量清洗设备。
2.根据权利要求1所述的方法,其特征在于,所述确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址,包括:
从来自ISP侧的网络设备的网络流量的数据报文中,获取源IP地址所在的地理位置信息以及所述数据报文的生存时间;
如果所述地理位置信息与所述生存时间相匹配,确定所述网络流量的源IP地址为非伪造的IP地址;
如果所述地理位置信息与所述生存时间不匹配,确定所述网络流量的源IP地址为伪造的IP地址。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述网络流量所包含的数据报文的类型;
所述向所述源IP地址发送探测报文,包括:根据所述数据报文的类型确定需要向所述源IP地址发送的探测报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据来自ISP侧的网络设备的网络流量的目的IP地址对所述网络流量进行统计,得到统计结果;
将所述统计结果发送给清洗设备配置服务器,以供所述清洗设备配置服务器将所述统计结果转发给IDC侧的第二流量清洗设备后,所述第二流量清洗设备根据所述统计结果确定与所述网络流量相对应的清洗策略。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据所述统计结果确定当前被攻击目的IP地址的流量;
当所述当前被攻击目的IP地址的流量小于预设阈值时,向所述ISP侧的网络设备发送用于停止流量牵引的第二通知消息。
6.一种监控网络流量的装置,其特征在于,所述装置包括:
第一确定模块,用于确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址;其中,所述来自ISP侧的网络设备的网络流量为所述ISP侧的网络设备需要执行黑洞的网络流量;
第一发送模块,用于如果所述第一确定模块确定所述源IP地址为非伪造的IP地址,向所述源IP地址对应的设备发送探测报文;
第二发送模块,用于如果接收到所述源IP地址对应的设备根据所述第一发送模块发送的所述探测报文返回的应答报文,向所述源IP地址对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息;其中,所述源IP地址对应的第一流量清洗设备是所述源IP地址所在地区的第一流量清洗设备。
7.根据权利要求6所述的装置,其特征在于,所述第一确定模块包括:
获取单元,用于从来自ISP侧的网络设备的网络流量的数据报文中获取源IP地址所在的地理位置信息以及所述数据报文的生存时间;
第一确定单元,用于如果所述获取单元获取到的所述地理位置信息与所述生存时间相匹配,确定所述网络流量的源IP地址为非伪造的IP地址;
第二确定单元,用于如果所述获取单元获取到的所述地理位置信息与所述生存时间不匹配,确定所述网络流量的源IP地址为伪造的IP地址。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二确定模块,用于确定所述网络流量所包含的数据报文的类型;
第三确定模块,用于根据所述第二确定模块确定的所述数据报文的类型确定需要向所述源IP地址发送的探测报文。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
统计模块,用于根据来自ISP侧的网络设备的网络流量的目的IP地址对所述网络流量进行统计,得到统计结果;
第三发送模块,用于将所述统计模块得到的所述统计结果发送给清洗设备配置服务器,以供所述清洗设备配置服务器将所述统计结果转发给IDC侧的第二流量清洗设备后,所述第二流量清洗设备根据所述统计结果确定与所述网络流量相对应的清洗策略。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第四确定模块,用于根据所述统计模块得到的所述统计结果确定当前被攻击目的IP地址的流量;
第四发送模块,用于当所述第四确定模块确定的所述当前被攻击目的IP地址的流量小于预设阈值时,向所述ISP侧的网络设备发送用于停止流量牵引的第二通知消息。
11.一种服务器,其特征在于,所述服务器包括:
处理器;用于存储所述处理器可执行指令的存储器;网络接口;
其中,所述网络接口,用于接收来自ISP侧的网络设备的网络流量;其中,所述来自ISP侧的网络设备的网络流量为所述ISP侧的网络设备需要执行黑洞的网络流量;
所述处理器,用于确定所述网络接口接收到的所述网络流量的源IP地址是否为伪造的IP地址;
所述网络接口,还用于如果所述处理器确定所述源IP地址为非伪造的IP地址,向所述源IP地址对应的设备发送探测报文;如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文,向所述源IP地址对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息;其中,所述源IP地址对应的第一流量清洗设备是所述源IP地址所在地区的第一流量清洗设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610056638.6A CN107018116B (zh) | 2016-01-27 | 2016-01-27 | 监控网络流量的方法、装置及服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610056638.6A CN107018116B (zh) | 2016-01-27 | 2016-01-27 | 监控网络流量的方法、装置及服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107018116A CN107018116A (zh) | 2017-08-04 |
CN107018116B true CN107018116B (zh) | 2020-09-18 |
Family
ID=59439510
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610056638.6A Active CN107018116B (zh) | 2016-01-27 | 2016-01-27 | 监控网络流量的方法、装置及服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107018116B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109040064A (zh) * | 2018-08-01 | 2018-12-18 | 郑州市景安网络科技股份有限公司 | 一种服务器封停方法、装置、设备及可读存储介质 |
CN112073409A (zh) * | 2020-09-04 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 攻击流量清洗方法、装置、设备及计算机可读存储介质 |
CN112702743B (zh) * | 2021-03-25 | 2021-06-25 | 浙江宏远智能科技有限公司 | 基于人工智能的网络数据监测保护方法 |
CN114785876A (zh) * | 2022-04-07 | 2022-07-22 | 湖北天融信网络安全技术有限公司 | 报文检测方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101321055A (zh) * | 2008-06-28 | 2008-12-10 | 华为技术有限公司 | 一种攻击防范方法和装置 |
CN101299724B (zh) * | 2008-07-04 | 2010-12-08 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
CN104967588B (zh) * | 2014-05-26 | 2017-02-15 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务DDoS攻击的防护方法及其装置和系统 |
-
2016
- 2016-01-27 CN CN201610056638.6A patent/CN107018116B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN107018116A (zh) | 2017-08-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8156557B2 (en) | Protection against reflection distributed denial of service attacks | |
Mirkovic et al. | D-WARD: a source-end defense against flooding denial-of-service attacks | |
US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
US7624447B1 (en) | Using threshold lists for worm detection | |
JP5524737B2 (ja) | 偽装されたネットワーク情報を検出する方法および装置 | |
CN107018116B (zh) | 监控网络流量的方法、装置及服务器 | |
RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
US8510826B1 (en) | Carrier-independent on-demand distributed denial of service (DDoS) mitigation | |
WO2018108052A1 (zh) | 一种DDoS攻击的防御方法、系统及相关设备 | |
US20110035801A1 (en) | Method, network device, and network system for defending distributed denial of service attack | |
KR102088299B1 (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
JP2006352669A (ja) | 攻撃検知・防御システム | |
Chen et al. | Collaborative change detection of DDoS attacks on community and ISP networks | |
CN105991637A (zh) | 网络攻击的防护方法和装置 | |
Ahmed et al. | Filtration model for the detection of malicious traffic in large-scale networks | |
JP6168977B2 (ja) | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 | |
JP4259183B2 (ja) | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 | |
WO2020176174A1 (en) | Methods, systems, and computer readable media for dynamically remediating a security system entity | |
JP2005210601A (ja) | 不正侵入検知装置 | |
KR100733830B1 (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
CN109889470B (zh) | 一种基于路由器防御DDoS攻击的方法和系统 | |
JP4322179B2 (ja) | サービス拒絶攻撃防御方法およびシステム | |
KR101466895B1 (ko) | VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체 | |
CN109309679B (zh) | 一种基于tcp流状态的网络扫描检测方法及检测系统 | |
JP4149366B2 (ja) | ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |