CN107347056A - 一种数据处理方法、装置及系统 - Google Patents
一种数据处理方法、装置及系统 Download PDFInfo
- Publication number
- CN107347056A CN107347056A CN201610298594.8A CN201610298594A CN107347056A CN 107347056 A CN107347056 A CN 107347056A CN 201610298594 A CN201610298594 A CN 201610298594A CN 107347056 A CN107347056 A CN 107347056A
- Authority
- CN
- China
- Prior art keywords
- target
- address
- sent
- message
- cleaning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1033—Signalling gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1033—Signalling gateways
- H04L65/104—Signalling gateways in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/565—Conversion or adaptation of application format or content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Multimedia (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种数据处理方法、装置及系统,其中系统包括一种数据处理系统,包括:终端、网络设备、清洗系统和至少一个设有安全网关的网站服务器;所述清洗系统,用于接收所述网络设备发送的目标数据报文,对所述目标数据报文进行清洗,并将清洗后的正常报文发送至目标网站服务器。本申请使得访问目标网站服务器的大量数据报文不再经过网络设备与安全网关之间的网络链路,而是流经网络设备与清洗系统之间的网络链路,再由清洗设备将清洗后的正常报文转发至目标网站服务器。因此,本申请可以在不更改网络设备与安全网关之间互联网带宽的前提下,解决攻击设备向目标网站服务器发起的DDoS攻击的问题。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种数据处理方法、装置及系统。
背景技术
伴随着科学技术的不断进步,互联网领域迅速发展。用户经常使用互联网访问各大网站。如图1所示,为用户访问网站的网络系统。参见图1,网络系统包括:用于服务用户的终端100、网络设备200、多个设置有安全网关300的网站服务器400。终端100发送数据报文会达到网络设备200,并由网络设备200转发至设置有安全网关300的网站服务器400。
随着网络攻击逐渐增多,访问网站服务器400的既有正常终端又有攻击终端。所以,目标网站服务器400接收的数据报文中,既可能有正常终端发送的正常报文,也可能有攻击终端发送的攻击报文。为了保护目标网站服务器400免于攻击,所以利用安全网关300对数据报文进行处理,以便仅允许正常报文发送至网站服务器400。
目前主流网络攻击为分布式拒绝服务攻击(Distributed Denial of Service,DDoS)。DDoS攻击原理为借助大量傀儡机向网站服务器400发送大量数据报文,目的在于使网站服务器400无资源来处理大量数据报文而崩溃。所以,在网络系统中,当攻击设备欲向网站服务器400发起DDoS攻击时,势必会在网络设备200上聚集有向安全网关300发送的大量数据报文。
但是,由于网站服务器400对应的企业、购买的网络设备200与安全网关300之间的互联网带宽较窄,仅可以承受正常数量的数据报文;攻击终端发起DDoS攻击产生的大量数据报文已经远远超出企业购买的互联网带宽的传输能力。所以,大量数据报文无法传输至安全网关300,也无法被安全网关300进行处理。
因此,当攻击设备发起DDoS攻击时,目前的网络系统无法处理DDoS攻击。所以,现在需要一种新型网络系统,以便在不更改网络设备与安全网关之间互联网带宽的前提下,解决攻击设备向网站服务器发起的DDoS攻击的问题。
发明内容
本申请提供了一种数据处理方法、装置及系统,本申请可以在不更改网络设备与安全网关之间互联网带宽的前提下,解决攻击设备向网站服务器发起的DDoS攻击的问题。
为了实现上述目的,本申请提供以下技术手段:
一种数据处理系统,包括:
终端、网络设备、清洗系统和至少一个设有安全网关的网站服务器;其中,所述终端与所述网络设备相连,所述清洗系统一端连接所述网络设备,另一端连接设有网关的网站服务器;
所述清洗系统,用于接收所述网络设备发送的目标数据报文,对所述目标数据报文进行清洗,并将清洗后的正常报文发送至目标网站服务器。
优选的,所述清洗系统包括多个清洗设备。
一种数据处理方法,包括:
接收网络设备发送的目标数据报文;其中,由网络设备接收终端发送的目标数据报文;并将所述目标数据报文转发至清洗系统;
对所述目标数据报文进行清洗;
将清洗后的正常报文发送至设置有安全网关的目标网站服务器。
优选的,所述目标数据报文包括目标域名;则所述将清洗后的正常报文发送至设置有安全网关的目标网站服务器,包括:
依据域名与IP地址的第一对应关系,查找与所述目标域名对应的目标IP地址;
将所述正常报文发送至与所述目标IP地址对应的目标网站服务器。
优选的,目标域名与目标IP地址的对应关系的构建过程,包括:
在接收所述网络设备发送的数据报文之前,获取所述安全网关发送的配置信息;其中,所述配置信息包括所述目标网站服务器的所述目标域名和所述目标IP地址;
构建所述目标域名与所述目标IP地址的对应关系。
优选的,在对所述目标数据报文进行清洗之后,还包括:
生成攻击防护日志;其中,所述防护日志包括攻击报文的攻击时间和攻击报文数据量。
将所述攻击防护日志发送至所述安全网关。
优选的,还包括:
接收所述目标网站服务器发送的包含终端IP地址的反馈报文;其中,所述反馈报文为所述目标网站服务器对所述数据报文进行处理后获得的;
将所述反馈报文发送至所述网络设备。
一种数据处理方法,包括:
接收终端发送的目标数据报文;
将所述目标数据报文转发至清洗系统;其中,接收网络设备发送的目标数据报文;其中,所述目标数据报文包括目标域名;对所述目标数据报文进行清洗;将清洗后的正常报文发送至设置有安全网关的目标网站服务器。
优选的,所述将所述目标数据报文转发至清洗系统包括:
依据域名与IP地址的第二对应关系,确定与所述目标域名对应的清洗IP地址,其中,所述网络设备存储有所述目标域名与清洗IP地址的对应关系,所述清洗IP地址为清洗系统中目标清洗设备的IP地址;
将所述数据报文转发至与所述清洗IP地址对应的目标清洗设备。
优选的,还包括:
接收所述清洗系统发送的包含终端IP地址的反馈报文;
依据所述终端IP地址,将所述反馈报文发送至所述终端。
一种数据处理装置,包括:
第一接收单元,用于接收网络设备发送的目标数据报文;其中,由网络设备接收终端发送的目标数据报文;并将所述目标数据报文转发至清洗系统;
清洗单元,用于对所述目标数据报文进行清洗;
第一发送单元,用于将清洗后的正常报文发送至设置有安全网关的目标网站服务器。
优选的,所述目标数据报文包括目标域名;则所述第一发送单元,包括:
查找单元,用于依据域名与IP地址的第一对应关系,查找与所述目标域名对应的目标IP地址;
第二发送单元,用于将所述正常报文发送至与所述目标IP地址对应的目标网站服务器。
其中,目标域名与目标IP地址的对应关系的构建过程,具体包括:在接收所述网络设备发送的数据报文之前,获取所述安全网关发送的配置信息;其中,所述配置信息包括所述目标网站服务器的所述目标域名和所述目标IP地址;构建所述目标域名与所述目标IP地址的对应关系。
优选的,在对所述目标数据报文进行清洗之后,还包括:
生成单元,用于生成攻击防护日志;其中,所述防护日志包括攻击报文的攻击时间和攻击报文数据量。
第三发送单元,用于将所述攻击防护日志发送至所述安全网关。
优选的,还包括:
第二接收单元,用于接收所述目标网站服务器发送的包含终端IP地址的反馈报文;其中,所述反馈报文为所述目标网站服务器对所述数据报文进行处理后获得的;
第四发送单元,用于将所述反馈报文发送至所述网络设备,并由所述网络设备依据所述终端IP地址发送至所述终端。
一种数据处理装置,包括:
第三接收单元,用于接收终端发送的目标数据报文;
转发单元,用于将所述目标数据报文转发至清洗系统;其中,接收网络设备发送的目标数据报文;其中,所述目标数据报文包括目标域名;对所述目标数据报文进行清洗;将清洗后的正常报文发送至设置有安全网关的目标网站服务器。
优选的,所述转发单元包括:
确定单元,用于依据域名与IP地址的第二对应关系,确定与所述目标域名对应的清洗IP地址,其中,所述网络设备存储有所述目标域名与清洗IP地址的对应关系,所述清洗IP地址为清洗系统中目标清洗设备的IP地址;
转发数据报文单元,用于将所述数据报文转发至与所述清洗IP地址对应的目标清洗设备。
优选的,还包括:
第四接收单元,用于接收所述清洗系统发送的包含终端IP地址的反馈报文;其中,所述反馈报文为所述网站服务器对所述数据报文进行处理后获得的,并通过所述安全网关发送至所述清洗系统的;
反馈单元,用于依据所述终端IP地址,将所述反馈报文发送至所述终端。
由以上内容,可以看出本申请具有以下有益效果:
本申请提供的一种数据处理系统中增加清洗系统,因此,本申请使得访问目标网站服务器的大量数据报文不再经过网络设备与安全网关之间的第一网络链路,而是流经网络设备与清洗系统之间的第二网络链路,由于第二网络链路的互联网带宽远远大于第一网络链路的互联网带宽,所以,清洗系统可以接收大量数据报文。然后,再由清洗设备将清洗后的正常报文转发至目标网站服务器。
因此,本申请可以在不更改网络设备与安全网关之间互联网带宽的前提下,解决攻击设备向目标网站服务器发起的DDoS攻击的问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中数据处理系统的结构示意图;
图2为本申请实施例公开的数据处理系统的结构示意图;
图3为本申请实施例公开的数据处理方法的流程图;
图4为本申请实施例公开的又一数据处理方法的流程图;
图5为本申请实施例公开的又一数据处理方法的流程图;
图6为本申请实施例公开的又一数据处理方法的流程图;
图7为本申请实施例公开的又一数据处理方法的流程图;
图8为本申请实施例公开的又一数据处理方法的流程图;
图9为本申请实施例公开的又一数据处理方法的流程图;
图10为本申请实施例公开的又一数据处理方法的流程图;
图11为本申请实施例公开的数据处理装置的结构示意图;
图12为本申请实施例公开的又一数据处理装置的结构示意图;
图13为本申请实施例公开的又一数据处理装置的结构示意图;
图14为本申请实施例公开的又一数据处理装置的结构示意图;
图15为本申请实施例公开的又一数据处理装置的结构示意图;
图16为本申请实施例公开的又一数据处理装置的结构示意图;
图17为本申请实施例公开的又一数据处理装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了方便本领域技术人员理解本申请的详细内容,首先对本申请中使用的技术术语进行解释:
网络设备:可以连接互联网的设备;例如,网关、路由等。
数据报文:网络中交换与传输的数据单元,即站点一次性要发送的数据块。数据报文包含将要发送的完整的数据信息,其长短很不一致,长度不限且可变。
正常报文:由正常终端发送的、不会对接收方造成网络攻击的数据报文。
攻击报文:由攻击终端发送的、对接收方造成网络攻击的数据报文。
清洗设备:设置有清洗攻击报文的软件程序的网络设备。
为了清楚说明本申请的应用场景,首先说明一下数据处理系统。如图2所示,所述数据处理系统包括:终端100、与所述终端100相连的网络设备200、与所述网络设备200相连的清洗系统500、与所述清洗系统500相连的多个设置有安全网关300的网站服务器400。其中,清洗系统500中包括一个或多个清洗设备。为了清楚表明清洗系统500采用清洗设备1、清洗设备2……清洗设备N表示;其中N为非零自然数。
其中,所述清洗系统500,用于接收所述网络设备发送的目标数据报文,对所述目标数据报文进行清洗,并将清洗后的正常报文发送至目标网站服务器。
为了便于说明,将图1中网络设备200与安全网关300之间网络链路称为第一网络链路,将图2中网络设备200与清洗系统500之间的网络链路称为第二网络链路。
由于企业所购买第一网络链路的互联网带宽较窄(例如,1G),仅可以满足正常数量的数据报文通行,无法满足DDoS攻击时的大量数据报文通行。为此,本申请申请人设计增加清洗系统500,由于清洗系统500专门用于进行DDoS清洗,所以清洗系统500对应的企业购买的互联网带宽较宽(例如,100G),所以可以满足DDoS攻击时的大量数据报文通行。
其中所述清洗系统,用于接收所述网络设备发送的目标数据报文,对所述目标数据报文进行清洗,并将清洗后的正常报文发送至目标网站服务器。
在增加清洗系统500之后,网络设备200上的数据报文可以不必直接经过第一网络链路传输至安全网关300,而是可以经过第二网络链路传输至清洗系统500,经清洗系统500清洗后获取正常报文。再将正常报文转发至安全网关300,并由安全网关300传输至网站服务器400。
因此,攻击终端产生的大量数据报文不再经过第一网络链路,而是经过第二网络链路达到清洗系统500,相对于传统的大量数据报文无法进行清洗而言,本申请使得大量数据报文可以到达清洗系统500进行清洗,从而将清洗后的正常报文发送至设置有安全网关300的网站服务器400。
数据处理系统中包含多个包含安全网关的网站服务器,针对每个包含安全网关的网站服务器而言,本申请的处理过程是一致的,因此,本申请仅以包含安全网关的目标网站服务器为例,进行详细介绍,其它包含安全网关的网站服务器的处理过程可以参见包含安全网关的目标网站服务器的处理过程。
在详细介绍本申请的具体实施方式之前,首先介绍一下本申请的预先执行过程。
(1)在网络设备中存储目标域名新对应关系。
为了满足对多个网站服务器的提供数据报文清洗服务,清洗系统中包含有一个或多个清洗设备。清洗系统可以在一个或多个清洗设备中随机选择一个清洗设备,作为代替安全网关进行DDoS清洗的目标清洗设备。网络设备内存储有各个网站服务器的域名与IP地址的对应关系,该对应关系决定互联网在进行域名解析后数据报文的去向。
以目标网站服务器为例,在本申请之前,网络设备存储的目标网站服务器的目标域名和目标网站服务器的目标IP地址的对应关系。这样,网络设备在接收包含目标域名的数据报文后,可以直接将数据报文发送至目标IP地址对应的设置有安全网关的目标网站服务器。
但是,本申请为了控制数据报文在具有DDoS攻击时不再经过网络设备与安全网关之间的第一网络链路,而是经过网络设备与清洗系统之间的第二网络链路,所以需要在网络设备中存储目标网站服务器的目标域名的新对应关系。即存储目标域名与清洗系统中目标清洗设备的清洗IP地址的对应关系。这样,在具有DDoS攻击时,网络设备可以在接收包含目标域名的数据报文后,不再将数据报文发送至安全网关,而是将数据报文发送至目标清洗设备。
(2)在目标清洗设备中添加目标域名与目标IP地址的对应关系。
目标清洗设备在接收包含目标域名的数据报文后,对数据报文进行处理后可以获得正常报文。为了便于目标清洗设备得知正常报文的最终去向,在目标清洗设备中存储目标域名和目标IP地址的对应关系。这样,目标清洗设备在获得正常报文之后,可以将正常报文转发至与目标IP地址对应的目标网站服务器。
如图3所示,在目标清洗设备中添加目标域名与目标IP地址的对应关系具体可以包括以下步骤:
步骤S301:在接收所述网络设备发送的数据报文之前,获取所述安全网关发送的配置信息;其中,所述配置信息包括所述目标网站服务器的所述目标域名和所述目标IP地址。
为了便于清洗系统与安全网关之间通信,在清洗系统与安全网关之间设置有第一API接口。安全网关可以向通过第一API接口向清洗系统的目标清洗设备发送配置信息。配置信息中可以包括目标网站服务器的目标域名和目标IP地址。
步骤S302:构建所述目标域名与所述目标IP地址的对应关系。
目标清洗设备在接收目标网站服务器的目标域名和目标IP地址之后,可以构建目标域名与所述目标IP地址的对应关系。
步骤S303:存储所述目标域名与所述目标IP地址的对应关系。
在构建目标域名与所述目标IP地址的对应关系之后,便存储目标域名与所述目标IP地址的对应关系,以便后续转发正常报文时使用。
(3)在安全网关中存储目标清洗设备的清洗IP地址。
清洗系统在确定代替安全网关的目标清洗设备之后,目标清洗设备可以向安全网关发送清洗IP地址。安全网关在接收并存储目标清洗设备的清洗IP地址,以便后续安全网关向目标清洗设备发送反馈报文时使用。
在介绍完成预先准备过程之后,介绍本申请的详细工作过程。如图4所示,本申请一种数据处理方法,应用于图2所示的数据处理系统的网络设备;具体包括以下步骤:
步骤S401:接收终端发送的目标数据报文。其中,所述目标数据报文包括目标域名。
终端的目的为向目标网站服务器发送数据报文,所以,数据报文中包含有目标网站服务器的目标域名。所有终端向目标网站服务器发送的数据报文均会经过网络设备,所以网络设备可以接收包含目标域名的数据报文。
步骤S402:将所述目标数据报文转发至清洗系统。
如图5所示,本步骤具体包括以下步骤:
步骤S501:依据域名与IP地址的第二对应关系,确定与所述目标域名对应的清洗IP地址。其中,所述网络设备存储有所述目标域名与清洗IP地址的对应关系所述清洗IP地址为清洗系统中目标清洗设备的IP地址。
通过前述预先准备工作可知,网络设备存储有目标域名与目标清洗设备的清洗IP地址的对应关系。所以在本步骤中,网络设备可以根据目标域名在域名与IP地址的第二对应关系进行查找,并确定与目标域名对应的清洗IP地址。
步骤S502:将所述数据报文转发至与所述清洗IP地址对应的目标清洗设备。其中,所述数据报文由所述目标清洗设备进行清洗并获取清洗后的正常报文之后,按预先存储的所述目标域名与目标IP地址的对应关系,将所述正常报文发送至与所述目标IP地址对应的目标网站服务器。
网络设备根据与目标域名对应的清洗IP地址,将包含目标域名的数据报文转发至与所述清洗系统中与清洗IP地址对应的目标清洗设备。后续由目标清洗设备进行处理。
由于网络设备存储有目标域名与清洗IP地址的对应关系,所以,网络设备在发现DDoS攻击时,可以更改包含目标域名的数据报文的网络链路,使得数据报文不再经过第一网络链路,而是经过第二网络链路。
在介绍完网络设备的处理过程之后,下面介绍清洗系统的执行过程。如图6所示,本申请提供一种数据处理方法,应用于图2所示的数据处理系统的清洗系统。具体包括以下步骤:
步骤S601:接收网络设备发送的目标数据报文。
不同的清洗设备具有不同的IP地址,所以,清洗系统中与所述清洗IP地址对应的目标清洗设备,接收网络设备发送的数据报文。
步骤S602:对所述目标数据报文进行清洗。
目标清洗设备中预先存储有清洗策略,目标清洗设备便按照清洗策略进行清洗。清洗的目的在于过滤数据报文中的攻击报文,剩余正常报文。至于具体的清洗策略不是本申请的保护重点,在此不再赘述。
步骤S603:将清洗后的正常报文发送至设置有安全网关的目标网站服务器。
如图7所示,本步骤具体包括以下步骤:
步骤S701:依据域名与IP地址的第一对应关系,查找与目标域名对应的目标IP地址。其中,所述目标数据报文包括目标域名。
由前述准备工作可知,目标清洗设备中预先存储有目标网站服务器的目标域名与目标IP地址的对应关系。
步骤S702:将所述正常报文发送至与所述目标IP地址对应的目标网站服务器。
由于终端发送的数据报文旨在发送至目标网站服务器,所以,在目标清洗设备在获得正常数据报文之后,需要根据目标域名与目标IP地址的对应关系,将正常报文发送至与目标IP地址对应的目标网站服务器。
通过上述技术内容可以发现:本申请具有以下有益效果:
本申请提供的一种数据处理系统中增加清洗系统,因此,本申请使得访问目标网站服务器的大量数据报文不再经过网络设备与安全网关之间的第一网络链路,而是流经网络设备与清洗系统之间的第二网络链路,由于第二网络链路的互联网带宽远远大于第一网络链路的互联网带宽,所以,清洗系统可以接收大量数据报文。然后,再由清洗设备将清洗后的正常报文转发至目标网站服务器。
因此,本申请可以在不更改网络设备与安全网关之间互联网带宽的前提下,解决攻击设备向目标网站服务器发起的DDoS攻击的问题。
为了便于目标网站服务器的安全网关了解攻击信息,目标清洗设备还可以执行下述过程。如图8所示,具体包括以下步骤:
步骤S801:生成攻击防护日志;其中,所述防护日志包括攻击报文的攻击时间和攻击报文数据量。
目标清洗设备在对所述数据报文进行清洗后,从而过滤掉一部分攻击报文。并将攻击报文的攻击时间、攻击报文的攻击数量以及攻击报文的类型等信息生成攻击防护日志。
步骤S802:将所述攻击防护日志发送至所述安全网关。
为了便于目标清洗设备与安全网关之间传输攻击防护日志,在目标清洗设备与安全网关之间设置第二API接口。目标清洗设备可以通过第二API接口向安全网关发送攻击防护日志。
安全网关在接收攻击防护日志后,可以显示攻击防护日志,以便管控安全网关的技术人员可以了解攻击目标网站服务器的攻击报文的相关信息,继而可以做出相应的漏洞修补或者程序改进。
可以理解的是,目标清洗设备还可以执行发送反馈报文的过程。如图9所示,具体包括以下步骤:
步骤S901:接收所述目标网站服务器发送的包含终端IP地址的反馈报文;其中,所述反馈报文为所述目标网站服务器对所述数据报文进行处理后获得的。
在图6所示的实施例中,目标网站服务器在接收正常报文之后,可以对正常报文进行处理并生成反馈报文。可以理解的是,正常报文中五元组信息中源地址为终端IP地址,目的地址为目标网站服务器的目标IP地址。在生成反馈报文时由于发送方向变更,所以反馈报文中五元组信息中源地址为目标网站服务器的目标IP地址,目的地址为终端IP地址。
通过前述的准备过程可知,安全网关中存储有目标清洗设备的清洗IP地址,所以,可以将反馈报文发送至与清洗IP地址对应的目标清洗设备。
步骤S902:将所述反馈报文发送至所述网络设备。
目标清洗设备依据反馈报文中携带的终端IP地址,将反馈报文发送至网络设备。
下面介绍网络设备在接收反馈报文之后的处理过程,如图10所示,具体包括以下步骤:
步骤S1001:接收所述清洗系统发送的包含终端IP地址的反馈报文;其中,所述反馈报文为所述目标网站服务器对所述数据报文进行处理后获得的。
步骤S1002:依据所述终端IP地址,将所述反馈报文发送至所述终端。
网络设备在接收反馈报文之后,可以根据终端IP地址将反馈报文发送至终端,从而完成一次终端与目标网站服务器之间的数据交互过程。
如图11所示,本申请提供一种数据处理装置,应用于数据处理系统的清洗系统。包括:
第一接收单元111,用于第一接收单元,用于接收网络设备发送的目标数据报文;其中,由网络设备接收终端发送的目标数据报文;并将所述目标数据报文转发至清洗系统。
清洗单元112,用于对所述目标数据报文进行清洗。
第一发送单元113,用于将清洗后的正常报文发送至设置有安全网关的目标网站服务器。
其中,目标数据报文包括目标域名。如图12所示,所述第一发送单元113具体包括:
查找单元121,用于依据域名与IP地址的第一对应关系,查找与所述目标域名对应的目标IP地址;
第二发送单元122,用于将所述正常报文发送至与所述目标IP地址对应的目标网站服务器。
其中,目标域名与目标IP地址的对应关系的构建过程,具体包括:在接收所述网络设备发送的数据报文之前,获取所述安全网关发送的配置信息;其中,所述配置信息包括所述目标网站服务器的所述目标域名和所述目标IP地址;构建所述目标域名与所述目标IP地址的对应关系。
如图13所示,所述数据处理装置还包括:
生成单元131,用于生成攻击防护日志;其中,所述防护日志包括攻击报文的攻击时间和攻击报文数据量。
第三发送单元132,用于将所述攻击防护日志发送至所述安全网关。攻击防护日志可由安全网关进行显示。
如图14所示,所述数据处理装置还包括:
第二接收单元141,用于接收所述目标网站服务器发送的包含终端IP地址的反馈报文;其中,所述反馈报文为所述目标网站服务器对所述数据报文进行处理后获得的。
第四发送单元142,用于将所述反馈报文发送至所述网络设备,并由所述网络设备依据所述终端IP地址发送至所述终端。
如图15所示,本申请又提供一种数据处理装置,应用于数据处理系统的网络设备,具体包括:
第三接收单元151,用于接收终端发送的目标数据报文。
转发单元152,用于将所述目标数据报文转发至清洗系统;其中,接收网络设备发送的目标数据报文;其中,所述目标数据报文包括目标域名;对所述目标数据报文进行清洗;将清洗后的正常报文发送至设置有安全网关的目标网站服务器。
如图16所示,转发单元152,具体包括:
确定单元161,用于依据域名与IP地址的第二对应关系,确定与所述目标域名对应的清洗IP地址,其中,所述网络设备存储有所述目标域名与清洗IP地址的对应关系,所述清洗IP地址为清洗系统中目标清洗设备的IP地址;
转发数据报文单元162,用于将所述数据报文转发至与所述清洗IP地址对应的目标清洗设备。
如图17所示,所述数据处理装置,还包括:
第四接收单元171,用于接收所述清洗系统发送的包含终端IP地址的反馈报文;其中,所述反馈报文为所述网站服务器对所述数据报文进行处理后获得的,并通过所述安全网关发送至所述清洗系统的;
反馈单元172,用于依据所述终端IP地址,将所述反馈报文发送至所述终端。
本实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (17)
1.一种数据处理系统,其特征在于,包括:
终端、网络设备、清洗系统和至少一个设有安全网关的网站服务器;其中,所述终端与所述网络设备相连,所述清洗系统一端连接所述网络设备,另一端连接设有网关的网站服务器;
所述清洗系统,用于接收所述网络设备发送的目标数据报文,对所述目标数据报文进行清洗,并将清洗后的正常报文发送至目标网站服务器。
2.如权利要求1所述的系统,其特征在于,所述清洗系统包括多个清洗设备。
3.一种数据处理方法,其特征在于,包括:
接收网络设备发送的目标数据报文;
对所述目标数据报文进行清洗;
将清洗后的正常报文发送至设置有安全网关的目标网站服务器。
4.如权利要求3所述的方法,其特征在于,所述目标数据报文包括目标域名;则所述将清洗后的正常报文发送至设置有安全网关的目标网站服务器,包括:
依据域名与IP地址的第一对应关系,查找与所述目标域名对应的目标IP地址;
将所述正常报文发送至与所述目标IP地址对应的目标网站服务器。
5.如权利要求4所述的方法,其特征在于,目标域名与目标IP地址的对应关系的构建过程,包括:
在接收所述网络设备发送的数据报文之前,获取所述安全网关发送的配置信息;其中,所述配置信息包括所述目标网站服务器的所述目标域名和所述目标IP地址;
构建所述目标域名与所述目标IP地址的对应关系。
6.如权利要求5所述的方法,其特征在于,在对所述目标数据报文进行清洗之后,还包括:
生成攻击防护日志;
将所述攻击防护日志发送至所述安全网关。
7.如权利要求3所述的方法,其特征在于,还包括:
接收所述目标网站服务器发送的包含终端IP地址的反馈报文;其中,所述反馈报文为所述目标网站服务器对所述数据报文进行处理后获得的;
将所述反馈报文发送至所述网络设备。
8.一种数据处理方法,其特征在于,包括:
接收终端发送的目标数据报文;
将所述目标数据报文转发至清洗系统。
9.如权利要求8所述的方法,其特征在于,所述将所述目标数据报文转发至清洗系统包括:
依据域名与IP地址的第二对应关系,确定与所述目标域名对应的清洗IP地址,其中,所述网络设备存储有所述目标域名与清洗IP地址的对应关系所述清洗IP地址为清洗系统中目标清洗设备的IP地址;
将所述数据报文转发至与所述清洗IP地址对应的目标清洗设备。
10.如权利要求8所述的方法,其特征在于,还包括:
接收所述清洗系统发送的包含终端IP地址的反馈报文;
依据所述终端IP地址,将所述反馈报文发送至所述终端。
11.一种数据处理装置,其特征在于,包括:
第一接收单元,用于接收网络设备发送的目标数据报文;
清洗单元,用于对所述目标数据报文进行清洗;
第一发送单元,用于将清洗后的正常报文发送至设置有安全网关的目标网站服务器。
12.如权利要求11所述的装置,其特征在于,所述目标数据报文包括目标域名;则所述第一发送单元,包括:
查找单元,用于依据域名与IP地址的第一对应关系,查找与所述目标域名对应的目标IP地址;
第二发送单元,用于将所述正常报文发送至与所述目标IP地址对应的目标网站服务器;
其中,目标域名与目标IP地址的对应关系的构建过程,具体包括:在接收所述网络设备发送的数据报文之前,获取所述安全网关发送的配置信息;其中,所述配置信息包括所述目标网站服务器的所述目标域名和所述目标IP地址;构建所述目标域名与所述目标IP地址的对应关系。
13.如权利要求11所述的装置,其特征在于,在对所述目标数据报文进行清洗之后,还包括:
生成单元,用于生成攻击防护日志;
第三发送单元,用于将所述攻击防护日志发送至所述安全网关。
14.如权利要求11所述的装置,其特征在于,还包括:
第二接收单元,用于接收所述目标网站服务器发送的包含终端IP地址的反馈报文;其中,所述反馈报文为所述目标网站服务器对所述数据报文进行处理后获得的;
第四发送单元,用于将所述反馈报文发送至所述网络设备。
15.一种数据处理装置,其特征在于,包括:
第三接收单元,用于接收终端发送的目标数据报文;
转发单元,用于将所述目标数据报文转发至清洗系统。
16.如权利要求15所述的装置,其特征在于,所述转发单元包括:
确定单元,用于依据域名与IP地址的第二对应关系,确定与所述目标域名对应的清洗IP地址,其中,所述网络设备存储有所述目标域名与清洗IP地址的对应关系,所述清洗IP地址为清洗系统中目标清洗设备的IP地址;
转发数据报文单元,用于将所述数据报文转发至与所述清洗IP地址对应的目标清洗设备。
17.如权利要求15所述的装置,其特征在于,还包括:
第四接收单元,用于接收所述清洗系统发送的包含终端IP地址的反馈报文;
反馈单元,用于依据所述终端IP地址,将所述反馈报文发送至所述终端。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610298594.8A CN107347056A (zh) | 2016-05-06 | 2016-05-06 | 一种数据处理方法、装置及系统 |
| PCT/CN2017/082174 WO2017190623A1 (zh) | 2016-05-06 | 2017-04-27 | 一种数据处理方法、装置及系统 |
| TW106114532A TWI730090B (zh) | 2016-05-06 | 2017-05-02 | 資料處理方法、裝置及系統 |
| US16/172,663 US20190068635A1 (en) | 2016-05-06 | 2018-10-26 | Data processing method, apparatus, and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610298594.8A CN107347056A (zh) | 2016-05-06 | 2016-05-06 | 一种数据处理方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107347056A true CN107347056A (zh) | 2017-11-14 |
Family
ID=60202737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610298594.8A Pending CN107347056A (zh) | 2016-05-06 | 2016-05-06 | 一种数据处理方法、装置及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20190068635A1 (zh) |
| CN (1) | CN107347056A (zh) |
| TW (1) | TWI730090B (zh) |
| WO (1) | WO2017190623A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109995714A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
| CN111355649A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 流量回注方法、装置和系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257566A (zh) * | 2020-09-11 | 2022-03-29 | 北京金山云网络技术有限公司 | 域名访问方法、装置和电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599146A (zh) * | 2009-07-13 | 2009-12-09 | 东莞市龙光电子科技有限公司 | 一种模具制造信息的管理方法及系统 |
| CN102195843A (zh) * | 2010-03-02 | 2011-09-21 | 中国移动通信集团公司 | 一种流量控制系统和方法 |
| CN102413105A (zh) * | 2010-09-25 | 2012-04-11 | 杭州华三通信技术有限公司 | 防范cc攻击的方法和装置 |
| CN103795798A (zh) * | 2014-02-11 | 2014-05-14 | 南京泰格金卡科技有限公司 | 一种手机考勤方法 |
| CN103812965A (zh) * | 2014-02-25 | 2014-05-21 | 北京极科极客科技有限公司 | 基于路由器的域名分类处理方法和装置 |
| US9160711B1 (en) * | 2013-06-11 | 2015-10-13 | Bank Of America Corporation | Internet cleaning and edge delivery |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7478429B2 (en) * | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
| WO2011047382A2 (en) * | 2009-10-16 | 2011-04-21 | Tekelec | Methods, systems, and computer readable media for providing diameter signaling router with integrated monitoring and/or firewall functionality |
| WO2011067782A1 (en) * | 2009-12-02 | 2011-06-09 | Novatium Solutions (P) Ltd | Mechanism for adaptively choosing utility computing applications based on network characteristics and extending support for additional local applications |
| CN112615818B (zh) * | 2015-03-24 | 2021-12-03 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
-
2016
- 2016-05-06 CN CN201610298594.8A patent/CN107347056A/zh active Pending
-
2017
- 2017-04-27 WO PCT/CN2017/082174 patent/WO2017190623A1/zh active Application Filing
- 2017-05-02 TW TW106114532A patent/TWI730090B/zh active
-
2018
- 2018-10-26 US US16/172,663 patent/US20190068635A1/en not_active Abandoned
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599146A (zh) * | 2009-07-13 | 2009-12-09 | 东莞市龙光电子科技有限公司 | 一种模具制造信息的管理方法及系统 |
| CN102195843A (zh) * | 2010-03-02 | 2011-09-21 | 中国移动通信集团公司 | 一种流量控制系统和方法 |
| CN102413105A (zh) * | 2010-09-25 | 2012-04-11 | 杭州华三通信技术有限公司 | 防范cc攻击的方法和装置 |
| US9160711B1 (en) * | 2013-06-11 | 2015-10-13 | Bank Of America Corporation | Internet cleaning and edge delivery |
| CN103795798A (zh) * | 2014-02-11 | 2014-05-14 | 南京泰格金卡科技有限公司 | 一种手机考勤方法 |
| CN103812965A (zh) * | 2014-02-25 | 2014-05-21 | 北京极科极客科技有限公司 | 基于路由器的域名分类处理方法和装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109995714A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
| CN111355649A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 流量回注方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190068635A1 (en) | 2019-02-28 |
| TWI730090B (zh) | 2021-06-11 |
| WO2017190623A1 (zh) | 2017-11-09 |
| TW201810108A (zh) | 2018-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107493162A (zh) | 区块链节点的实现方法及装置 | |
| CN101707617B (zh) | 报文过滤方法、装置及网络设备 | |
| CN107294729A (zh) | 区块链中不同节点之间的通信方法及装置 | |
| CN107124402A (zh) | 一种报文过滤的方法和装置 | |
| CN107347056A (zh) | 一种数据处理方法、装置及系统 | |
| CN102255909B (zh) | 监控会话流的方法及装置 | |
| Ellard et al. | Rebound: Decoy routing on asymmetric routes via error messages | |
| CN105939284B (zh) | 报文控制策略的匹配方法及装置 | |
| Recabarren et al. | Tithonus: A bitcoin based censorship resilient system | |
| CN106656849A (zh) | 报文限速方法及装置 | |
| CN104994022B (zh) | 一种报文传输的方法和业务板 | |
| CN107104929A (zh) | 防御网络攻击的方法、装置和系统 | |
| CN104518968B (zh) | 一种报文处理的方法和透明代理服务器 | |
| CN107682470A (zh) | 一种检测nat地址池中公网ip可用性的方法及装置 | |
| CN110944012A (zh) | 抗协议分析数据安全传输方法、系统、信息数据处理终端 | |
| CN107508836A (zh) | 一种acl规则下发的方法及装置 | |
| CN108737407A (zh) | 一种劫持网络流量的方法及装置 | |
| CN109981820A (zh) | 一种报文转发方法及装置 | |
| CN110417632A (zh) | 一种网络通信方法、系统及服务器 | |
| CN105978859A (zh) | 一种报文处理的方法和装置 | |
| CN103746768B (zh) | 一种数据包的识别方法及设备 | |
| CN104954415B (zh) | 处理http请求的方法及装置 | |
| CN110166375A (zh) | 一种报文转发方法及装置 | |
| CN104579939A (zh) | 网关的保护方法和装置 | |
| CN105207977A (zh) | Tcp数据包处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1246993 Country of ref document: HK |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171114 |