CN107743109A - 流量攻击的防护方法、控制装置、处理装置及系统 - Google Patents
流量攻击的防护方法、控制装置、处理装置及系统 Download PDFInfo
- Publication number
- CN107743109A CN107743109A CN201610934282.1A CN201610934282A CN107743109A CN 107743109 A CN107743109 A CN 107743109A CN 201610934282 A CN201610934282 A CN 201610934282A CN 107743109 A CN107743109 A CN 107743109A
- Authority
- CN
- China
- Prior art keywords
- flow
- routing iinformation
- network addresses
- destination network
- routing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/106—Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/036—Updating the topology between route computation elements, e.g. between OpenFlow controllers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种流量攻击的防护方法、控制装置、处理装置及系统;本发明实施例采用与流量入口处的边界路由器建立邻居关系,然后,接收该流量入口处的入侵检测系统发送的流量攻击防护请求,该流量攻击防护请求携带流量受攻击的目标网络地址,根据该流量攻击防护请求生成相应的路由信息,该路由信息包括目标网络地址和路由地址信息,基于该邻居关系向该边界路由器发送该路由信息,以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理;该方案可以提升流量攻击防护系统的可靠性、稳定性、可维护性以及防护时效性。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种流量攻击的防护方法、控制装置、处理装置及系统。
背景技术
随着互联网技术的发展与应用普及,网络上的多业务系统面临着更多、更复杂的网络攻击行为,其中,DDoS(Distributed Denial of Service,分布式拒绝服务)便是一种较为严重的网络攻击行为,它利用大量的傀儡机对某个系统同时发起攻击,使得受攻击的该系统因带宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问。
目前,为了防护DDoS攻击,服务提供商通常以分布式部署的方式,通过在其每个网络流量入口处分别部署一套DDoS防护系统,通过DDoS监测,清洗以及封堵来进行DDoS防护。
参考图1,对于每套DDoS防护系统,首先在网络流量入口处利用分光器将来自互联网的流量进行全部复制,并导入到入IDS(Intrusion Detection System,入侵检测系统)进行攻击流量分析检测。对于受攻击IP,根据IDS检测到受攻击程度的大小进行相应的防护操作。
具体地,如果攻击流量小于特定阈值,则DDoS清洗系统通过通告牵引路由给边界路由器,将受攻击IP的流量引入本地进行攻击流量清洗;如果攻击流量大于特定阈值,超出清洗能力,IDS则直接通过网管系统登陆到边界路由器上配置静态黑洞路由,直接将受攻击IP的所有流量丢弃在边界路由器。
然而,目前DDoS防护系统,与边界路由器建立eBGP邻居并通告牵引路由。这需要DDoS清洗系统将安全功能模块和网络功能模块进行融合,以实现支持路由协议栈。这样就会大大提升DDoS清洗系统的复杂度,降低了流量攻击防护系统的稳定性和可维护性。
另外,在进行DDoS封堵时,DDoS防护系统必须引入网管系统进行黑洞路由的配置下发。由于额外增加的中间模块进行封堵,降低了目前DDoS防护系统封堵流量的时效性;并且在短时间遭受频繁DDoS攻击的场景下,由于需要在设备上频繁配置大量黑洞路由进行封堵,因此会对某些设备的CPU造成极大冲击,降低了DDoS防护系统的可靠性和稳定性。
发明内容
本发明实施例提供一种流量攻击的防护方法、控制装置、处理装置及系统,可以提升流量攻击防护系统的可靠性、稳定性、可维护性以及防护时效性。
本发明实施例提供一种流量攻击的防护方法,包括:
与流量入口处的边界路由器建立邻居关系;
接收所述流量入口处的入侵检测系统发送的流量攻击防护请求,所述流量攻击防护请求携带流量受攻击的目标网络地址;
根据所述流量攻击防护请求生成相应的路由信息,所述路由通道信息包括所述目标网络地址和路由地址信息;
基于所述邻居关系向所述边界路由器发送所述路由信息,以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
相应的,本发明实施例还提供了一种流量攻击的防护控制装置,包括:
建立单元,用于与流量入口处的边界路由器建立邻居关系;
接收单元,用于接收所述流量入口处的入侵检测系统发送的流量攻击防护请求,所述流量攻击防护请求携带流量受攻击的目标网络地址;
生成单元,用于根据所述流量攻击防护请求生成相应的路由信息,所述路由通道信息包括所述目标网络地址和路由地址信息;
发送单元,用于基于所述邻居关系向所述边界路由器发送所述路由信息,以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
本发明实施例还提另一种流量攻击的防护方法,包括:
与控制器建立邻居关系;
基于所述邻居关系接收所述控制器发送的路由信息,所述路由信息包括:路由地址信息和流量受攻击的目标网络地址;
根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
相应的,本发明实施例还提供了一种流量攻击的防护处理装置,包括:
建立单元,用于与控制器建立邻居关系;
接收单元,用于基于所述邻居关系接收所述控制器发送的路由信息,所述路由信息包括:路由地址信息和流量受攻击的目标网络地址;
防护处理单元,用于根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
相应的,本发明实施例还提供了一种流量攻击的防护系统,包括本发明实施例提供的任一防护控制装置和本发明实施例提供的任一防护处理装置。
本发明实施例采用与流量入口处的边界路由器建立邻居关系,然后,接收该流量入口处的入侵检测系统发送的流量攻击防护请求,该流量攻击防护请求携带流量受攻击的目标网络地址,根据该流量攻击防护请求生成相应的路由信息,该路由信息包括该目标网络地址和路由地址信息,基于该邻居关系向该边界路由器发送该路由信息,以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理;由于该方案可以直接与边界路由器建立邻居关系,并向边界路由器发送路由信息,实现流量攻击的防护控制,一方面该方案可以将流量清洗系统中的网络功能模块进行剥离,简化流量清洗系统,提升了流量攻击防护系统的稳定性和可维护性;另一方面该方案无需依赖网管系统对边界路由器进行控制,即可实现流量防护,减少了中间模块的需求以及对设备CPU的冲击,提升了流量攻击防护系统的时效性和可靠性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有流量攻击防护系统的结构示意图;
图2a是本发明实施例提供的流量攻击的防护系统的场景示意图;
图2b是本发明实施例提供的流量攻击的防护方法的流程示意图;
图3是本发明实施例提供的流量攻击的防护方法的另一流程示意图;
图4a是本发明实施例提供的流量攻击的防护系统的另一场景示意图;
图4b是本发明实施例提供的流量攻击的防护方法的又一流程示意图;
图4c是本发明实施例提供的流量清洗的示意图;
图4d是本发明实施例提供的流量封堵的示意图;
图4e是本发明实施例提供的地址关系示意图;
图5是本发明实施例提供的控制器集群的结构示意图;
图6是本发明实施例提供的流量攻击的防护控制装置的结构示意图;
图7a是本发明实施例提供的流量攻击的防护处理装置的结构示意图;
图7b是本发明实施例提供的流量攻击的防护处理装置的另一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种流量攻击的防护方法、控制装置、处理装置及系统。
该流量攻击防护系统可以包括本发明实施例所提供的任一种流量攻击的防护控制装置和任一种流量攻击的防护处理装置。其中,该防护控制装置可以集成在控制器等设备,比如,可以集成在SDN(Software Defined Network,软件定义网络)控制器中,该防护控制装置还可以集成在控制器集群内成员控制器或者总控设备内。该防护处理装置可以集成在路由器中,如流量入口处的边界路由器。
以防护处理装置集成在控制器、以及防护处理装置集成在边界路由器为例,在如图2a所示,该流量攻击防护系统包括:控制器和流量入口处的边界路由器,其中,边界路由器可以位于同一个网络中,如同一个骨干网络中。
此外,参考图2a,该流量攻击防护系统还可以包括每个流量入口处的流量攻击处理系统,该流量攻击处理系统可以为DDoS清洗系统等,该流量攻击防护系统中每一个流量入口处可以部署一个边界路由器和一个流量攻击处理系统,以实现流量攻击防护。
在需要进行流量攻击防护时,该控制器用于与流量入口处的边界路由器建立邻居关系,然后,接收该流量入口处的入侵检测系统发送的流量攻击防护请求,该流量攻击防护请求携带流量受攻击的目标网络地址,根据该流量攻击防护请求生成相应的路由信息,该路由信息包括该目标网络地址和路由地址信息,基于该邻居关系向该边界路由器发送该路由信息,以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理。其中,该流量攻击防护请求可以包括流量过滤请求、或者流量封堵请求、或者其他类型的防护请求。
该流量攻击防护系统中边界路由器可以用于与控制器建立邻居关系,然后,基于该邻居关系接收该控制器发送的路由信息,该路由信息包括:路由地址信息和流量受攻击的目标网络地址,根据该路由信息对该目标网络地址对应的流量进行防护处理。其中,该边界路由器可以根据路由信息对目标网络地址的流量进行过滤或者丢弃。
比如,边界路由器可根据路由信息将该目标网络地址对应的流量引入流量攻击处理系统,此时,流量攻击处理系统可以用于对目标网络地址对应的流量进行过滤,然后,将过滤后的流量返回给边界路由器。边界路由器在接收到过滤后的流量之后可以将该流量发回数据中心。
以下分别进行详细说明。
实施例一、
本实施例将流量攻击的防护装置的角度进行描述,该防护装置可以对流量攻击进行防护控制,因此,也可以称为流量攻击的防护控制装置。该防护控制装置可以集成在控制器中,如集成在SDN控制器中。
一种流量攻击的防护方法,包括:与流量入口处的边界路由器建立邻居关系,然后,接收该流量入口处的入侵检测系统发送的流量攻击防护请求,该流量攻击防护请求携带流量受攻击的目标网络地址,根据该流量攻击防护请求生成相应的路由信息,该路由信息包括该目标网络地址和路由地址信息,基于该邻居关系向该边界路由器发送该路由信息,以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理。
如图2b所示,一种流量攻击的防护方法,具体流程可以如下:
101、与流量入口处的边界路由器建立邻居关系。
具体地,可以基于路由协议与流量入口处的边界路由器建立邻居关系。
其中,路由协议可以为BGP(Border Gateway Protocol,边界网关协议)该BGP是用于自治系统之间动态交换路由信息的路由协议;也可以为IBGP((Internal BorderGateway Protocol,内部BGP协议),该IBGP属于BGP关系的一种,在同一个自治系统内部各路由器之间存在。该IBGP用于在各路由器之间通过BGP协议传播路由信息。
此时,可以基于IBGP协议与边界路由器建立IBGP邻居关系。
具体地,步骤“与流量入口处的边界路由器建立邻居关系”可以包括:
向流量入口处的边界路由器发送邻居关系建立请求;
接收边界路由器根据该邻居关系建立请求返回的响应信息;
根据该响应信息建立邻居关系。
102、接收该流量入口处的入侵检测系统发送的流量攻击防护请求,该流量攻击防护请求携带流量受攻击的目标网络地址。
具体地,可以通过北向Restful(Representational State Transfer)接口接收该流量入口处的入侵检测系统发送的流量攻击防护请求。
其中,目标网络地址可以为流量受到DDoS攻击的网络地址。该目标网络地址可以为IP(互联网协议)地址,如1.2.3.4/32等。
本实施例中流量攻击防护请求由IDS发送,具体地,IDS对网络地址的网络流量进行攻击流量分析检测,然后,根据该检测结果发送相应的流量攻击防护请求给该流量控制装置。
其中,流量攻击防护请求可以有多种,比如,该流量攻击防护请求可以包括:流量过滤(或清洗)请求、或者流量封堵(或丢弃)请求。如当IDS检测到某个IP的攻击流量小于预设阈值时,则向流量控制装置发送流量清洗请求,当IDS检测到某个IP的攻击流量大于预设阈值时,则向流量控制装置发送流量封堵请求。
103、根据该流量攻击防护请求生成相应的路由信息,该路由信息包括该目标网络地址和路由地址信息。
比如,可以根据流量攻击防护请求生成相应的IBGP路由信息。该目标网络地址为路由信息的前缀,表示该路由信息可以目标网络地址对应的路由。
其中,路由地址信息可以为目标网络地址对应的路由地址信息,比如,可以包括路由下一跳地址。该路由下一跳地址可以为与边界路由器直连的设备或者系统的地址,如与边界路由器直连的设备或系统的接口地址;也即该路由下一跳地址为目标网络地址的流量经过边界路由器所要到达的下一个设备或者系统的接口地址。
比如,当路由下一跳地址为设备H的地址,那么边界路由器会将目标IP的流量发送至设备H。
具体地,步骤“根据该流量攻击防护请求生成相应的路由信息”可以包括:
对该流量攻击防护请求进行解析,得到该目标网络地址;
设定该目标网络地址对应的路由下一跳地址;
根据该目标网络地址和该路由下一跳地址生成相应的路由信息,该路由信息包括该目标网络地址和该路由下一跳地址。
本实施例中,对于不同类型的流量攻击防护请求,设定的路由下一跳地址不同,具体地:
当流量攻击防护请求为流量过滤请求时,由于需要对流量进行过滤或者清洗,因此,可以设定路由下一跳地址指向流量攻击处理系统(如DDoS清洗系统),此时,该路由下一跳地址可以为流量攻击处理系统(如DDoS清洗系统)的地址或者接口地址。这样可以使得边界路由器在接收到路由信息之后可以将目标网络地址的流量引入流量攻击处理系统进行过滤或清洗。
例如,DDoS清洗系统的地址为2.2.2.2时,可以设定路由下一跳地址为2.2.2.2。
当流量攻击防护请求为流量封堵请求时,由于需要对流量进行封堵或者丢弃,因此可以设定路由下一跳地址指向空,即Null0,比如,可以设定路由下一跳地址指向空接口。这样可以使得边界路由器在接收到路由信息之后对目标网络地址的流量进行丢弃,实现流量封堵。
实际应用中,可以预先配置某个地址指向空接口,此时,可以将该地址设置为路由下一跳地址。例如,边界路由器预先配置地址10.10.10.10指向Null0时,可以设定路由下一跳地址为地址10.10.10.10。
104、基于该邻居关系向该边界路由器发送该路由信息,以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理。
比如,基于该邻居关系向边界路由器通告IBGP路由信息,该IBGP路由信息可以包括目标IP和路由下一跳地址。
具体地,当流量攻击防护请求包括:流量过滤请求,该路由下一跳地址指向流量攻击处理系统时,可以基于该邻居关系向该边界路由器通告该路由信息,以使得该边界路由器根据该路由信息该目标网络地址对应的流量引入该流量处理系统进行流量过滤处理。
当该流量攻击防护请求包括:流量封堵请求,该路由下一跳地址指向空接口时,基于该邻居关系向该边界路由器发送该路由信息,以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行丢弃。
可选地,考虑到边界路由器本地可能存在目标网络地址对应的路由,为了能够提高流量攻击防护的成功率和适用性,需要对目标网络地址对应的本地已有路由进行覆盖。具体地,可以通过设置优先级的方式来实现对本地已有路由进行覆盖。如可以设置该路由信息的优先级高于边界路由器中目标网络地址对应的本地路由信息。也即,本实施例的路由信息还可以包括:路由信息对应的优先级,该路由信息对应的优先级高于边界路由器中本地路由信息的优先级,该本地路由信息可以为边界路由器中目标网络地址对应的本地路由信息。
此时,步骤“根据该目标网络地址和该路由下一跳地址生成相应的路由信息”可以包括:
获取待生成路由信息的优先级,该优先级高于边界路由器中本地路由信息的优先级;
根据该优先级、该目标网络地址和该路由下一跳地址生成相应的路由信息,该路由信息包括该目标网络地址、路由信息的优先级和该路由下一跳地址。
由上可知,本发明实施例采用与流量入口处的边界路由器建立邻居关系,然后,接收该流量入口处的入侵检测系统发送的流量攻击防护请求,该流量攻击防护请求携带流量受攻击的目标网络地址,根据该流量攻击防护请求生成相应的路由信息,该路由信息包括该目标网络地址和路由地址信息,基于该邻居关系向该边界路由器发送该路由信息,以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理;由于该方案可以直接与边界路由器建立邻居关系,并向边界路由器发送路由信息,实现流量攻击的防护控制,一方面该方案可以将流量清洗系统中的网络功能模块进行剥离,简化流量清洗系统,提升了流量攻击防护系统的稳定性和可维护性;另一方面该方案无需依赖网管系统对边界路由器进行控制,即可实现流量防护,减少了中间模块的需求以及在短时间遭受频繁攻击场景下对设备CPU的冲击,提升了流量攻击防护系统的时效性和可靠性。
参考图1,目前流量攻击防护系统在短时间遭受频繁DDoS攻击的场景下,需要在设备上频繁配置大量黑洞路由进行封堵。由于设备的处理能力的局限性,该场景会对某些设备的CPU造成极大冲击,影响设备的正常运行,降低流量攻击防护的效率和成功率,同时也提升系统运维的成本和难度;然而,本发明实施例提供的方案避免了采用配置黑洞路由的方式进行封堵流量,因此,可以提高流量攻击防护的效率和成功率,同时降低了系统运维的成本和难度。
此外,该方案还可以实现集中化地对边界路由器管理,可以带来快速的故障诊断和便捷的运维等效果,并且该方案可以采用路由协议控制流量防护,由于BGP协议的快速路由通告能力和稳定性,以及因此,该方案可以提高流量攻击防护的效率,如可以将传统的近十秒的封堵流程提高至毫秒级,性能提升近百倍;另外,由于BGP协议是在控制协议面完成封堵路由通告,无需大量CPU资源消耗,从根本上解决了流量攻击防护系统对路由设备本身CPU的冲击,大大的提高了运营设备的稳定性。
实施例二、
本实施例将从另一种流量攻击的防护装置的角度描述另一种流量攻击的防护方法,该防护装置可以对流量攻击进行防护处理,因此,也可以称为流量攻击的防护处理装置。该防护处理装置可以集成在边界路由器中,或者其他位于流量入口处的边界路由设备。
一种流量攻击的防护方法,包括:与控制器建立邻居关系,然后,基于该邻居关系接收该控制器发送的路由信息,该路由信息包括路由地址信息和流量受攻击的目标网络地址,根据该路由信息对该目标网络地址对应的流量进行防护处理。
如图3所示,一种流量攻击的防护方法,具体流程如下:
201、与控制器建立邻居关系。
具体地,可以基于路由协议与控制器建立邻居关系。比如,可以基于IBGP协议与控制器建立IBGP邻居关系。
202、基于该邻居关系接收该控制器发送的路由信息,该路由信息包括路由地址信息和流量受攻击的目标网络地址。
其中,目标网络地址可以为流量受到DDoS攻击的网络地址。该目标网络地址可以为IP(互联网协议)地址,如1.5.3.4/32等。
该路由信息可以控制器通告的路由信息,该路由信息中的路由地址信息可以为目标网络地址对应的路由地址信息,比如,可以包括路由下一跳地址。该路由下一跳地址可以为与边界路由器直连的设备或者系统的地址,如与边界路由器直连的设备或系统的接口地址;也即该路由下一跳地址为目标网络地址的流量经过边界路由器所要到达的下一个设备或者系统的接口地址。
比如,当路由下一跳地址为设备F的接口地址,那么边界路由器会将目标IP的流量发送至设备F。
203、根据该路由信息对该目标网络地址对应的流量进行防护处理。
其中,流量的防护处理可以有多种,比如,可以对流量进行过滤或清洗,也可以对流量进行丢弃或封堵。
(1)、流量清洗;
本实施例中,可以由边界路由器自己对流量进行过滤,也可以通过流量攻击处理系统如DDoS清洗系统对流量进行过滤。
也即,步骤“根据该路由信息对该目标网络地址对应的流量进行防护处理”可以包括:
根据该路由信息将该目标网络地址对应的流量引入流量攻击处理系统,以便该流量攻击处理系统对目标网络地址对应的流量进行过滤或清洗;
接收该流量攻击处理系统返回的过滤后或清洗的流量。
比如,路由地址信息包括路由下一跳地址,且该路由下一跳地址指向流量攻击处理系统时,步骤“根据该路由信息将该目标网络地址对应的流量引入流量攻击处理系统”可以包括:
提取目标网络地址对应的流量;
将该流量引入路由下一跳地址指向的流量攻击处理系统。
例如,DDoS清洗系统的地址为2.2.2.2,该路由下一跳地址为2.2.2.2时,边界路由器在接收到路由信息之后,即可将目标网络地址对应的流量引入DDoS清洗系统,以进行流量清洗,接收DDoS清洗系统返回的经过清洗后的流量,即正常流量。
(2)流量封堵;
具体地,步骤“根据该路由信息对该目标网络地址对应的流量进行防护处理”可以包括:根据该路由信息对该目标网络地址对应的流量进行丢弃。
其中,当路由地址信息可以包括该目标网络地址对应的路由下一跳地址,且路由下一跳地址指向空接口时,步骤“根据该路由信息对该目标网络地址对应的流量进行丢弃”可以包括:
根据该路由下一跳地址获取相应的接口;
当该接口为空接口时,对该目标网络地址对应的流量进行丢弃。
例如,预先配置地址10.10.10.10指向Null0,路由下一跳地址为10.10.10.10时,边界路由器根据路由下一跳地址获取一空接口,此时,边界路由器将会对目标IP的流量进行丢弃。
可选地,考虑到边界路由器本地可能存在目标网络地址对应的路由,为了能够提高流量攻击防护的成功率和适用性,需要对目标网络地址对应的本地已有路由进行覆盖。本实施例可以采用优先级的方式来实现对本地已有路由的覆盖。也即路由信息还可以包括:路由信息对应的优先级,该路由信息对应的优先级高于本地路由信息的优先级,该本地路由信息为本地该目标网络地址对应的路由信息;此时,本实施例方法在步骤202和203之间还可以包括:
获取本地路由信息的优先级;
判断该路由信息对应的优先级是否高于本地路由信息的优先级;
若是,则执行根据该路由信息对该目标网络地址对应的流量进行防护处理的步骤。
由上可知,本发明实施例采用与控制器建立邻居关系,然后,基于该邻居关系接收该控制器发送的路由信息,该路由信息包括路由地址信息和流量受攻击的目标网络地址,根据该路由信息对该目标网络地址对应的流量进行防护处理;该方案可以基于邻居控制器发送的路由信息对流量进行防护处理,即在控制器的直接控制下进行防护处理;一方面该方案可以实现将流量清洗系统中的网络功能模块进行剥离,使用控制器替代,大大简化了流量清洗系统,提升了流量攻击防护系统的稳定性和可维护性;另一方面该方案无需依赖网管系统的黑洞路由配置,即可实现流量防护,减少了中间模块的需求以及在短时间遭受频繁攻击场景下对设备CPU的冲击,提升了流量攻击防护系统的时效性和可靠性。
此外,该方案避免了采用配置黑洞路由的方式进行封堵流量,因此,可以提高流量攻击防护的效率和成功率,同时降低了系统运维的成本和难度;并且该方案可以采用路由协议控制流量防护,由于BGP协议的快速路由通告能力和稳定性,以及因此,该方案可以提高流量攻击防护的效率,如可以将传统的近十秒的封堵流程提高至毫秒级,性能提升近百倍;另外,由于BGP协议是在控制协议面完成封堵路由通告,无需大量CPU资源消耗,从根本上解决了流量攻击防护系统对路由设备本身CPU的冲击,大大的提高了运营设备的稳定性。
实施例三、
根据实施例一和二所描述的方法,以下将举例作进一步详细说明。
在本实施例中,将以流量攻击的防护控制装置集成在控制器、流量攻击防护处理装置集成在边界路由器中为例进行说明。
如图4a所示,一种流量攻击的防护系统包括:分光器、入侵检测系统IDS、控制器、网络流量入口处的DDoS清洗系统和边界路由器;其中,分光器与ISP(Internet ServiceProvider,互联网服务提供商)连接,边界路由器与IDC(Internet Data Center,互联网数据中心)连接。
下面将基于图4a所示的系统来介绍本发明实施例提供的防护方法,如图4b所示,一种流量攻击的防护方法,具体流程如下:
300、控制器分别与每个流量入口处的边界路由器建立BGP邻居关系。
其中,该BGP协议可以为IBGP协议,或者其他边界路由协议。
301、分光器将网络流量入口处将来自ISP的流量复制到IDS。
302、IDS获取受攻击IP的攻击流量,并判断该攻击流量是否小于预设阈值,若是,则执行步骤303,若否,则执行步骤308。
303、IDS向控制器发送流量清洗请求,该流量清洗请求携带该IP。
其中,控制器可以提高北向Restful接口供IDS输入流量清洗请求,也即IDS通过北向Restful接口向控制器发送流量清洗请求。
参考图4c,假设受攻击IP:1.2.3.4/32,边界路由器ID:1.1.1.1,DDoS清洗系统ID:2.2.2.2,IDS可以向控制器发送携带1.2.3.4/32的清洗请求。
304、控制器根据该流量清洗请求向边界路由器通告BGP路由信息,该BGP路由信息携带该IP及其对应的下一跳路由地址,该下一跳路由地址为DDoS清洗系统的地址。
具体地,控制器可以根据流量清洗请求生成相应的BGP路由信息,然后,基于邻居关系向边界路由器通告该BGP信息。
参考图4c,控制器向边界路由通告BGP路由信息,该BGP路由信息包括IP1.2.3.4/32和下一跳路由地址2.2.2.2,此时,下一跳路由地址与DDoS清洗系统ID:2.2.2.2相同,即下一跳路由地址指向DDoS清洗系统。其中,IP可以为BGP路由信息的前缀信息。
为了提高流量攻击防护的成功率和适用性,该BGP路由信息还可以包括BGP路由信息的优先级,该优先级高于边界路由器本地IP的路由信息;这样可以达到对边界路由器本地BGP路由的覆盖。
例如,将iBGP路由的LP(Local Preference,本地优先级)设置高于边界路由器本地iBGP路由的LP,以达到对本地已有BGP路由的覆盖。
305、边界路由器根据该BGP路由信息向该IP的流量引入DDoS清洗系统。
具体地,边界路由器可以从网络流量中提取该IP的流量,然后,将该流量引入下一跳路由地址指向的DDoS清洗系统。
参考图4c,地址为1.1.1.1的边界路由器可以根据BGP路由信息将1.2.3.4/32的流量牵引至地址为2.2.2.2的DDoS清洗系统。
在存在路由信息的优先级时,边界路由器可以获取该IP的本地BGP路由信息,然后,将接收到BGP路由与本地BGP路由信息进行比较,若高于,则根据该BGP路由信息向该IP的流量引入DDoS清洗系统。
306、DDoS清洗系统对该IP的流量进行清洗,得到该IP的正常流量,并将该正常流量返回至边界路由器。
具体地,DDoS清洗系统可以根据静态默认路由信息将该正常流量返回至边界路由器。该静态默认路由信息包括边界路由器的地址。
参考图4c,该DDoS清洗系统在对1.2.3.4/32的流量清洗后,通过静态默认路由的方式将清洗后的1.2.3.4/32的正常流量发回边界路由器。
307、边界路由器将该正常流量发送至IDC,结束流程。
308、IDS向控制器发送流量封堵请求,该流量封堵请求携带该IP。
参考图4c,假设受攻击IP:1.2.3.4/32,边界路由器ID:1.1.1.1,DDoS清洗系统ID:2.2.2.2,IDS可以向控制器发送携带1.2.3.4/32的流量封堵请求。
309、控制器根据该流量封堵请求向边界路由器通告BGP路由信息,该BGP路由信息携带该IP及其对应的下一跳路由地址,该下一跳路由地址指向空接口。
具体地,控制器可以根据流量清洗请求生成相应的BGP路由信息,然后,基于邻居关系向边界路由器通告该BGP信息。
参考图4d,控制器向边界路由通告BGP路由信息,该BGP路由信息包括IP1.2.3.4/32和下一跳路由地址10.10.10.10,其中,该下一跳路由地址10.10.10.10指向Null0。其中,IP可以为BGP路由信息的前缀信息。
实际应用中,可以预先在边界路由器上固化静态配置一条特殊的静态黑洞路由,将一指定IP(i.e.10.10.10.10)的出接口指向Null0。
为了提高流量攻击防护的成功率和适用性,该BGP路由信息还可以包括BGP路由信息的优先级,该优先级高于边界路由器本地IP的路由信息;这样可以达到对边界路由器本地BGP路由的覆盖。
例如,将iBGP路由的LP(Local Preference,本地优先级)设置高于边界路由器本地iBGP路由的LP,以达到对本地已有BGP路由的覆盖。
310、边界路由器根据该BGP路由信息对该IP的流量进行丢弃。
边界路由器可以根据IP的下一跳路由地址计算相应的接口,当该接口为空接口时,对该IP的流量进行丢弃。本实施例中由于该IP的下一跳路由地址指向空接口,因此,边界路由可以对该IP的流量进行丢弃。
参考图4d和图4e,通过BGP的路由迭代,该BGP路由的下一跳(nexthop)会指向Null0,实现边界路由器对1.2.3.4/32的流量丢弃。
在存在路由信息的优先级时,边界路由器可以获取该IP的本地BGP路由信息,然后,将接收到BGP路由与本地BGP路由信息进行比较,若高于,则根据该BGP路由信息对该IP的流量进行丢弃。
可选地,为了保证系统的高可用性和ISSU(In-Service Software Upgrade,无中断业务升级),本发明实施例采用双主集群架构的控制器集群。双主控制器同时北向对接IDS系统,南向对接边界路由器。在其中一台控制器发生故障时,另外一台仍然能够保证业务的不中断。双主间保持周期性同步,进行可靠性校验。在其中一台故障恢复时,或者软件升级后,通过集群间的同步机制,自动从另外一台控制器获取所有BGP路由下发记录,然后本地生成并重新下发,恢复系统的集群高可用性。参考图5,在控制器A故障或者软件升级时,可以采用控制器来实现流量防护。
其中,IDS在向集群内控制器下引流或者封堵请求时,将当前时间戳作为参数之一放入请求中。该时间戳后续在进行集群间数据一致性校验时,作为参考基准
在单台控制器故障时(如控制器A),IDS集群仍然可以通过控制器B进行DDoS清洗引流路由和封堵路由发放。在控制器故障恢复时,其通过集群内控制器间的Restful数据同步通道,从另外一台控制器中获取全部的BGP路由下发记录,本地生成后重新下发至设备,使整套集群系统重新恢复高可用性。
在进行系统软件升级时,先对其中一台控制器升级,完成后采用进行数据同步。待集群系统恢复高可用性后,再进行另外一台控制器升级。在升级过程中,由于始终有一台控制器处于工作状态,并且系统最终都能够恢复至高可用性状态,业务不会遭受任何影响,整套系统可以实现无中断业务升级(ISSU)。
在稳定状态下,集群内的控制器会进行周期性的数据校验,并以时间戳为基准,将集群内的控制器数据全部同步至最新,保证一致性。具体的校验流程如下:
a、集群内控制器互相发送当前最新记录的时间戳。
b、控制器将对方发送的时间戳与本地最新的时间戳进行对比:
b1、如果对方时间戳早于本地最新间戳,则表明本地记录已经为最新,无需任何操作。
B2、如果对方时间戳晚于本地最新时间戳,则调用对端控制器提供的Restful接口,获取从本地最新时间戳到对方提供时间戳之间的所有路由下发记录,本地生成后下发到设备,达到集群间数据一致性。
本实施例中,IDS可以采用集群,即本实施例中IDS为IDS集群中的一个成员系统。比如,如IDS集群可以为包括至少两个IDS的IDS集群。
本实施例中,IDS可以采用集群,即本实施例中IDS为IDS集群中的一个成员系统。比如,如IDS集群可以为包括至少两个IDS的IDS集群。
由上可知,本发明实施例提供的防护系统与传统攻击防护系统相比至少有以下优点:
(1)采用了集中式一体化的DDoS引流和封堵网络系统。将攻击流量牵引和封堵一体化,一方面将DDoS清洗系统中的网络功能模块成功进行剥离,简化了清洗系统;另一方面整套系统不再依赖于网管系统,减少了中间模块的需求。从多个维度提升了整套系统的稳定性和时效性。
(2)集中式的引流以及封堵路由管理,提升了系统的故障诊断能力,降低了运维的复杂度。集中式一体化的系统也更加便于系统的部署,以及新的DDoS防御节点的上线。
(3)集中式BGP路由通告的方式进行DDoS封堵,摆脱了传统方法对设备进行配置的需求,支持并发能力的同时,也大大提升了封堵的时效性和可靠性,降低了对网络设备的冲击。
(4)基于SDN控制器以及BGP路由通告的DDoS封堵,软件化的多线程架构使系统具有支持并发封堵的能力(注:测试表明本发明系统可最大支持超过1000个IP的并行封堵)。在封堵时效上,由于BGP协议的快速路由通告能力和稳定性,可将传统的近十秒的封堵流程提高至毫秒级,性能提升近百倍。封堵/解封成功率提升至100%。
(5)由于BGP协议在控制协议面完成封堵路由通告,无需大量CPU资源消耗,本发明系统也从根本上解决了封堵系统对路由设备本身CPU的冲击,大大的提高了运营设备的稳定性。
(6)双主集群架构及集群间的周期性校验和上线同步机制,保证了系统的高可用性和无中断业务升级。
实施例四、
为了更好地实施上述方法,本发明实施例还提供一种流量攻击的防护装置,该防护装置可以对流量攻击进行防护控制,因此,也可以称为流量攻击的防护控制装置;如图6所示,该流量攻击的防护控制装置可以包括建立单元401、接收单元402、生成单元403和发送单元404,如下:
(1)建立单元401;
建立单元401,用于与流量入口处的边界路由器建立邻居关系。
比如,建立单元401用于基于BGP协议与边界路由器建立邻居关系。
建立单元401具体可以用于:向流量入口处的边界路由器发送邻居关系建立请求,接收边界路由器根据该邻居关系建立请求返回的响应信息;根据该响应信息建立邻居关系。
(2)接收单元402;
接收单元402,用于接收该流量入口处的入侵检测系统发送的流量攻击防护请求,该流量攻击防护请求携带流量受攻击的目标网络地址。
其中,目标网络地址可以为流量受到DDoS攻击的网络地址。该目标网络地址可以为IP(互联网协议)地址。
比如,接收单元402可以用于通过北向接口接收该流量入口处的入侵检测系统发送的流量攻击防护请求。
其中,流量攻击防护请求可以有多种,比如,该流量攻击防护请求可以包括:流量过滤(或清洗)请求、或者流量封堵(或丢弃)请求。
(3)生成单元403;
生成单元403,用于根据该流量攻击防护请求生成相应的路由信息,该路由通道信息包括该目标网络地址和路由地址信息。
比如,生成单元403可以用于根据流量攻击防护请求生成相应的IBGP路由信息。该目标网络地址为路由信息的前缀,表示该路由信息可以目标网络地址对应的路由。
具体地,该生成单元403可以包括:
解析子单元,用于对该流量攻击防护请求进行解析,得到该目标网络地址;
设定子单元,用于设定该目标网络地址对应的路由下一跳地址;
生成子单元,用于根据该目标网络地址和该路由下一跳地址生成相应的路由信息,该路由信息包括该目标网络地址和该路由下一跳地址。
其中,路由地址信息可以为目标网络地址对应的路由地址信息,比如,可以包括路由下一跳地址。该路由下一跳地址可以为与边界路由器直连的设备或者系统的地址。
对于不同类型的流量攻击防护请求,设定的路由下一跳地址不同,当流量攻击防护请求为流量过滤请求时,可以设定路由下一跳地址指向流量攻击处理系统(如DDoS清洗系统);当流量攻击防护请求为流量封堵请求时,可以设定路由下一跳地址指向空接口。
(4)发送单元404;
发送单元404,用于基于该邻居关系向该边界路由器发送该路由信息,以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理。
比如,该流量攻击防护请求包括:流量过滤请求,该路由下一跳地址指向流量攻击处理系统;该发送单元404用于基于该邻居关系向该边界路由器通告该路由信息,以使得该边界路由器根据该路由信息该目标网络地址对应的流量引入该流量处理系统进行流量过滤处理。
又比如,该流量攻击防护请求包括:流量封堵请求,该路由下一跳地址指向空接口;发送单元404用于基于该邻居关系向该边界路由器通告该路由信息,以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行丢弃。
具体实施时,以上各个单元可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元的具体实施可参见前面的方法实施例,在此不再赘述。
由上可知,本发明实施例采用建立单元401与流量入口处的边界路由器建立邻居关系,然后,接收单元402接收该流量入口处的入侵检测系统发送的流量攻击防护请求,该流量攻击防护请求携带流量受攻击的目标网络地址,生成单元403根据该流量攻击防护请求生成相应的路由信息,该路由信息包括该目标网络地址和路由地址信息,发送单元404基于该邻居关系向该边界路由器发送该路由信息,以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理;由于该方案可以直接与边界路由器建立邻居关系,并向边界路由器发送路由信息,实现流量攻击的防护控制,一方面该方案可以将流量清洗系统中的网络功能模块进行剥离,简化流量清洗系统,提升了流量攻击防护系统的稳定性和可维护性;另一方面该方案无需依赖网管系统对边界路由器进行控制,即可实现流量防护,减少了中间模块的需求以及在短时间遭受频繁攻击场景下对设备CPU的冲击,提升了流量攻击防护系统的时效性和可靠性。
实施例五、
为了更好地实施上述方法,本发明实施例还提供一种流量攻击的防护装置,该防护装置可以对流量攻击进行防护处理,因此,也可以称为流量攻击的防护处理装置;如图7a所示,该流量攻击的防护处理装置可以包括建立单元501、接收单元502和防护处理单元503,如下:
(1)建立单元501;
建立单元501,用于与控制器建立邻居关系。
比如,建立单元501可以用于基于路由协议与控制器建立邻居关系。比如,可以基于IBGP协议与控制器建立IBGP邻居关系。
(2)接收单元502;
接收单元502,用于基于该邻居关系接收该控制器发送的路由信息,该路由信息包括:路由地址信息和流量受攻击的目标网络地址。
其中,目标网络地址可以为流量受到DDoS攻击的网络地址。该目标网络地址可以为IP(互联网协议)地址,如1.5.3.4/32等。
该路由信息可以控制器通告的路由信息,该路由信息中的路由地址信息可以为目标网络地址对应的路由地址信息,比如,可以包括路由下一跳地址。该路由下一跳地址可以为与边界路由器直连的设备或者系统的地址,如与边界路由器直连的设备或系统的接口地址;也即该路由下一跳地址为目标网络地址的流量经过边界路由器所要到达的下一个设备或者系统的接口地址。
(3)防护处理单元503;
防护处理单元503,用于根据该路由信息对该目标网络地址对应的流量进行防护处理。
比如,该防护处理单元503可以包括:
引入子单元,用于根据该路由信息将该目标网络地址对应的流量引入流量攻击处理系统,以便该流量攻击处理系统对目标网络地址对应的流量进行过滤;
接收子单元,用于接收该流量攻击处理系统返回的过滤后的流量。
又比如,该防护处理单元503,具体用于根据该路由信息对该目标网络地址对应的流量进行丢弃。
具体地,该路由地址信息包括:该目标网络地址对应的路由下一跳地址,该路由下一跳地址指向空接口;此时,防护处理单元503可以包括:
获取子单元,用于根据该路由下一跳地址获取相应的接口;
丢弃子单元,用于当该接口为空接口时,对该目标网络地址对应的流量进行丢弃。
可选地,该路由信息还包括路由信息对应的优先级,该路由信息对应的优先级高于本地路由信息的优先级,该本地路由信息为本地该目标网络地址对应的路由信息;参考图7b,本发明实施例的防护处理装置还包括:判断单元504;
该判断单元504,用于在接收单元502接收到路由信息之后,该防护处理单元503进行防护处理之前,获取本地路由信息的优先级;
判断该路由信息对应的优先级是否高于本地路由信息的优先级;
该防护处理单元503,用于在判断单元504判断为是时,根据该路由信息对该目标网络地址对应的流量进行防护处理。
具体实施时,以上各个单元可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元的具体实施可参见前面的方法实施例,在此不再赘述。
由上可知,本发明实施例采用建立单元501与控制器建立邻居关系,然后,由接收单元502基于该邻居关系接收该控制器发送的路由信息,该路由信息包括路由地址信息和流量受攻击的目标网络地址,由防护处理单元503根据该路由信息对该目标网络地址对应的流量进行防护处理;该方案可以基于邻居控制器发送的路由信息对流量进行防护处理,即在控制器的直接控制下进行防护处理;一方面该方案可以实现将流量清洗系统中的网络功能模块进行剥离,使用控制器替代,大大简化了流量清洗系统,提升了流量攻击防护系统的稳定性和可维护性;另一方面该方案无需依赖网管系统的黑洞路由配置,即可实现流量防护,减少了中间模块的需求,提升了流量攻击防护系统的时效性和可靠性。
此外,该方案避免了采用配置黑洞路由的方式进行封堵流量,因此,可以提高流量攻击防护的效率和成功率,同时降低了系统运维的成本和难度;并且该方案可以采用路由协议控制流量防护,由于BGP协议的快速路由通告能力和稳定性,以及因此,该方案可以提高流量攻击防护的效率,如可以将传统的近十秒的封堵流程提高至毫秒级,性能提升近百倍;另外,由于BGP协议是在控制协议面完成封堵路由通告,无需大量CPU资源消耗,从根本上解决了流量攻击防护系统对路由设备本身CPU的冲击,大大的提高了运营设备的稳定性。
实施例六、
此外,本发明实施例还提供一种流量攻击的防护系统包括本发明实施例所提供的任一种防护控制装置和任一种防护处理装置,具体可参见实施例四和五,例如,可以如下:
防护控制装置,用于采用与流量入口处的边界路由器建立邻居关系,然后,接收该流量入口处的入侵检测系统发送的流量攻击防护请求,该流量攻击防护请求携带流量受攻击的目标网络地址,根据该流量攻击防护请求生成相应的路由信息,该路由信息包括该目标网络地址和路由地址信息,基于该邻居关系向该边界路由器发送该路由信息,以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理。
防护处理装置,用于与控制器建立邻居关系,然后,基于该邻居关系接收该控制器发送的路由信息,该路由信息包括路由地址信息和流量受攻击的目标网络地址,根据该路由信息对该目标网络地址对应的流量进行防护处理;该方案可以基于邻居控制器发送的路由信息对流量进行防护处理。
其中,防护控制装置可以以客户端或其他软体的形式集成在控制器中,该防护处理装置则可以集成在边界路由器中。
以上各个设备的具体实施可参见前面的实施例,在此不再赘述。
此外,流量攻击的防护系统还可以包括其他设备或者系统,如还可以包括流量处理系统(DDoS清洗系统)、分光器、IDS等等。
由于该流量攻击的防护系统可以包括本发明实施例所提供的任一种防护控制装置和防护处理装置,因此,可以实现本发明实施例所提供的任一种防护控制装置和防护处理装置所能实现的有益效果,详见前面的实施例,在此不再赘述。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,RandomAccess Memory)、磁盘或光盘等。
以上对本发明实施例所提供的一种流量攻击的防护方法、控制装置、处理装置及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (17)
1.一种流量攻击的防护方法,其特征在于,包括:
与流量入口处的边界路由器建立邻居关系;
接收所述流量入口处的入侵检测系统发送的流量攻击防护请求,所述流量攻击防护请求携带流量受攻击的目标网络地址;
根据所述流量攻击防护请求生成相应的路由信息,所述路由通道信息包括所述目标网络地址和路由地址信息;
基于所述邻居关系向所述边界路由器发送所述路由信息,以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
2.如权利要求1所述的防护方法,其特征在于,所述根据所述流量攻击防护请求生成相应的路由信息,包括:
对所述流量攻击防护请求进行解析,得到所述目标网络地址;
设定所述目标网络地址对应的路由下一跳地址;
根据所述目标网络地址和所述路由下一跳地址生成相应的路由信息,所述路由信息包括所述目标网络地址和所述路由下一跳地址。
3.如权利要求2所述的防护方法,其特征在于,所述流量攻击防护请求包括:流量过滤请求,所述路由下一跳地址指向流量攻击处理系统;
基于所述邻居关系向所述边界路由器通告所述路由信息,以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理,包括:
基于所述邻居关系向所述边界路由器通告所述路由信息,以使得所述边界路由器根据所述路由信息所述目标网络地址对应的流量引入所述流量处理系统进行流量过滤处理。
4.如权利要求2所述的防护方法,其特征在于,所述流量攻击防护请求包括:流量封堵请求,所述路由下一跳地址指向空接口;
基于所述邻居关系向所述边界路由器发送所述路由信息,以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理,包括:
基于所述邻居关系向所述边界路由器发送所述路由信息,以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行丢弃。
5.一种流量攻击的防护方法,其特征在于,包括:
与控制器建立邻居关系;
基于所述邻居关系接收所述控制器发送的路由信息,所述路由信息包括:路由地址信息和流量受攻击的目标网络地址;
根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
6.如权利要求5所述的防护方法,其特征在于,根据所述路由信息对所述目标网络地址对应的流量进行防护处理,包括:
根据所述路由信息将所述目标网络地址对应的流量引入流量攻击处理系统,以便所述流量攻击处理系统对目标网络地址对应的流量进行过滤;
接收所述流量攻击处理系统返回的过滤后的流量。
7.如权利要求5所述的防护方法,其特征在于,根据所述路由信息对所述目标网络地址对应的流量进行防护处理,包括:
根据所述路由信息对所述目标网络地址对应的流量进行丢弃。
8.如权利要求7所述的防护方法,其特征在于,所述路由地址信息包括:所述目标网络地址对应的路由下一跳地址,所述路由下一跳地址指向空接口;
所述根据所述路由信息对所述目标网络地址对应的流量进行丢弃,包括:
根据所述路由下一跳地址获取相应的接口;
当所述接口为空接口时,对所述目标网络地址对应的流量进行丢弃。
9.如权利要求5所述的防护方法,其特征在于,所述路由信息还包括路由信息对应的优先级,所述路由信息对应的优先级高于本地路由信息的优先级,所述本地路由信息为本地所述目标网络地址对应的路由信息;
在接收到路由信息之后,进行防护处理之前,所述防护方法还包括:
获取本地路由信息的优先级;
判断所述路由信息对应的优先级是否高于本地路由信息的优先级;
若是,则执行根据所述路由信息对所述目标网络地址对应的流量进行防护处理的步骤。
10.一种流量攻击的防护控制装置,其特征在于,包括:
建立单元,用于与流量入口处的边界路由器建立邻居关系;
接收单元,用于接收所述流量入口处的入侵检测系统发送的流量攻击防护请求,所述流量攻击防护请求携带流量受攻击的目标网络地址;
生成单元,用于根据所述流量攻击防护请求生成相应的路由信息,所述路由通道信息包括所述目标网络地址和路由地址信息;
发送单元,用于基于所述邻居关系向所述边界路由器发送所述路由信息,以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
11.如权利要求10所述的防护控制装置,其特征在于,所述生成单元,具体包括:
解析子单元,用于对所述流量攻击防护请求进行解析,得到所述目标网络地址;
设定子单元,用于设定所述目标网络地址对应的路由下一跳地址;
生成子单元,用于根据所述目标网络地址和所述路由下一跳地址生成相应的路由信息,所述路由信息包括所述目标网络地址和所述路由下一跳地址。
12.一种流量攻击的防护处理装置,其特征在于,包括:
建立单元,用于与控制器建立邻居关系;
接收单元,用于基于所述邻居关系接收所述控制器发送的路由信息,所述路由信息包括:路由地址信息和流量受攻击的目标网络地址;
防护处理单元,用于根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
13.如权利要求12所述的防护处理装置,其特征在于,所述防护处理单元包括:
引入子单元,用于根据所述路由信息将所述目标网络地址对应的流量引入流量攻击处理系统,以便所述流量攻击处理系统对目标网络地址对应的流量进行过滤;
接收子单元,用于接收所述流量攻击处理系统返回的过滤后的流量。
14.如权利要求12所述的防护处理装置,其特征在于,所述防护处理单元,具体用于根据所述路由信息对所述目标网络地址对应的流量进行丢弃。
15.如权利要求14所述的防护处理装置,其特征在于,所述路由地址信息包括:所述目标网络地址对应的路由下一跳地址,所述路由下一跳地址指向空接口;
所述防护处理单元包括:
获取子单元,用于根据所述路由下一跳地址获取相应的接口;
丢弃子单元,用于当所述接口为空接口时,对所述目标网络地址对应的流量进行丢弃。
16.如权利要求12所述的防护处理装置,其特征在于,所述路由信息还包括路由信息对应的优先级,所述路由信息对应的优先级高于本地路由信息的优先级,所述本地路由信息为本地所述目标网络地址对应的路由信息;
所述防护处理装置还包括:判断单元;
所述判断单元,用于在接收单元接收到路由信息之后,所述防护处理单元进行防护处理之前,获取本地路由信息的优先级;
判断所述路由信息对应的优先级是否高于本地路由信息的优先级;
所述防护处理单元,用于在判断单元判断为是时,根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
17.一种流量攻击的防护系统,其特征在于,包括:如权利要求10-11任一项所述的防护控制装置和如权利要求12-16任一项所述的防护处理装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610934282.1A CN107743109B (zh) | 2016-10-31 | 2016-10-31 | 流量攻击的防护方法、控制装置、处理装置及系统 |
| PCT/CN2017/101512 WO2018076949A1 (zh) | 2016-10-31 | 2017-09-13 | 流量攻击的防护方法及系统、控制器、路由器、存储介质 |
| US16/250,438 US10951640B2 (en) | 2016-10-31 | 2019-01-17 | Traffic attack protection method and system, controller, router, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610934282.1A CN107743109B (zh) | 2016-10-31 | 2016-10-31 | 流量攻击的防护方法、控制装置、处理装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107743109A true CN107743109A (zh) | 2018-02-27 |
| CN107743109B CN107743109B (zh) | 2020-09-04 |
Family
ID=61235075
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610934282.1A Active CN107743109B (zh) | 2016-10-31 | 2016-10-31 | 流量攻击的防护方法、控制装置、处理装置及系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10951640B2 (zh) |
| CN (1) | CN107743109B (zh) |
| WO (1) | WO2018076949A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109547437A (zh) * | 2018-11-23 | 2019-03-29 | 北京奇安信科技有限公司 | 一种安全资源池的引流处理方法及装置 |
| CN109688129A (zh) * | 2018-12-24 | 2019-04-26 | 中电福富信息科技有限公司 | 一种web站点应急处置方法 |
| CN110855566A (zh) * | 2019-11-26 | 2020-02-28 | 杭州迪普科技股份有限公司 | 上行流量的牵引方法和装置 |
| CN112968891A (zh) * | 2021-02-19 | 2021-06-15 | 山东英信计算机技术有限公司 | 网络攻击防御方法、装置及计算机可读存储介质 |
| CN112968861A (zh) * | 2020-12-25 | 2021-06-15 | 杨世标 | 一种DDoS攻击封堵判定方法和系统 |
| CN113660199A (zh) * | 2021-07-06 | 2021-11-16 | 网宿科技股份有限公司 | 流量攻击的防护方法、装置、设备及可读存储介质 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3422659A1 (en) * | 2017-06-30 | 2019-01-02 | Thomson Licensing | Method of blocking distributed denial of service attacks and corresponding apparatus |
| US20200310784A1 (en) * | 2019-03-28 | 2020-10-01 | Juniper Networks, Inc. | Software upgrade deployment in mixed network of in-service software upgrade (issu)-capable and issu-incapable devices |
| CN110247893B (zh) * | 2019-05-10 | 2021-07-13 | 中国联合网络通信集团有限公司 | 一种数据传输方法和sdn控制器 |
| US10880329B1 (en) * | 2019-08-26 | 2020-12-29 | Nanning Fugui Precision Industrial Co., Ltd. | Method for preventing distributed denial of service attack and related equipment |
| JP2021040190A (ja) * | 2019-08-30 | 2021-03-11 | 富士通株式会社 | ネットワーク管理装置及びネットワーク管理方法 |
| CN114363735B (zh) * | 2020-10-13 | 2023-05-12 | 华为技术有限公司 | 一种路由的配置方法、网络设备、通信系统以及存储介质 |
| CN112350939B (zh) * | 2020-10-29 | 2023-11-10 | 腾讯科技(深圳)有限公司 | 旁路阻断方法、系统、装置、计算机设备及存储介质 |
| CN114124744B (zh) * | 2021-11-24 | 2023-06-02 | 绿盟科技集团股份有限公司 | 一种流量数据展示方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383812A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于活动IP记录的IP欺骗DDoS攻击防御方法 |
| US20100218250A1 (en) * | 2007-09-28 | 2010-08-26 | Nippon Telegraph And Telephone Corp. | Network monitoring apparatus, network monitoring method, and network monitoring program |
| CN104104669A (zh) * | 2014-06-17 | 2014-10-15 | 上海地面通信息网络有限公司 | 适用于因特网数据中心领域的抗DDoS攻击防护系统 |
| CN204013604U (zh) * | 2014-06-17 | 2014-12-10 | 上海地面通信息网络有限公司 | 适用于因特网数据中心领域的抗DDoS攻击防护装置 |
| US20160261486A1 (en) * | 2015-03-02 | 2016-09-08 | Cisco Technology, Inc. | Symmetric routing enforcement |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7028183B2 (en) * | 2001-11-13 | 2006-04-11 | Symantec Corporation | Enabling secure communication in a clustered or distributed architecture |
| US7519986B2 (en) * | 2003-10-01 | 2009-04-14 | Tara Chand Singhal | Method and apparatus for network security using a router based authentication system |
| US7680876B1 (en) * | 2006-12-14 | 2010-03-16 | Cisco Technology, Inc. | Highly available domain name system |
| US9832118B1 (en) * | 2014-11-14 | 2017-11-28 | Amazon Technologies, Inc. | Linking resource instances to virtual networks in provider network environments |
| US10129293B2 (en) * | 2015-02-23 | 2018-11-13 | Level 3 Communications, Llc | Managing traffic control in a network mitigating DDOS |
| US10536357B2 (en) * | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US10200375B2 (en) * | 2016-03-15 | 2019-02-05 | Sony Interactive Entertainment America Llc | Dynamic denial of service detection and automated safe mitigation |
-
2016
- 2016-10-31 CN CN201610934282.1A patent/CN107743109B/zh active Active
-
2017
- 2017-09-13 WO PCT/CN2017/101512 patent/WO2018076949A1/zh active Application Filing
-
2019
- 2019-01-17 US US16/250,438 patent/US10951640B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383812A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于活动IP记录的IP欺骗DDoS攻击防御方法 |
| US20100218250A1 (en) * | 2007-09-28 | 2010-08-26 | Nippon Telegraph And Telephone Corp. | Network monitoring apparatus, network monitoring method, and network monitoring program |
| CN104104669A (zh) * | 2014-06-17 | 2014-10-15 | 上海地面通信息网络有限公司 | 适用于因特网数据中心领域的抗DDoS攻击防护系统 |
| CN204013604U (zh) * | 2014-06-17 | 2014-12-10 | 上海地面通信息网络有限公司 | 适用于因特网数据中心领域的抗DDoS攻击防护装置 |
| US20160261486A1 (en) * | 2015-03-02 | 2016-09-08 | Cisco Technology, Inc. | Symmetric routing enforcement |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109547437A (zh) * | 2018-11-23 | 2019-03-29 | 北京奇安信科技有限公司 | 一种安全资源池的引流处理方法及装置 |
| CN109547437B (zh) * | 2018-11-23 | 2021-05-25 | 奇安信科技集团股份有限公司 | 一种安全资源池的引流处理方法及装置 |
| CN109688129A (zh) * | 2018-12-24 | 2019-04-26 | 中电福富信息科技有限公司 | 一种web站点应急处置方法 |
| CN110855566A (zh) * | 2019-11-26 | 2020-02-28 | 杭州迪普科技股份有限公司 | 上行流量的牵引方法和装置 |
| CN112968861A (zh) * | 2020-12-25 | 2021-06-15 | 杨世标 | 一种DDoS攻击封堵判定方法和系统 |
| CN112968891A (zh) * | 2021-02-19 | 2021-06-15 | 山东英信计算机技术有限公司 | 网络攻击防御方法、装置及计算机可读存储介质 |
| CN113660199A (zh) * | 2021-07-06 | 2021-11-16 | 网宿科技股份有限公司 | 流量攻击的防护方法、装置、设备及可读存储介质 |
| CN113660199B (zh) * | 2021-07-06 | 2023-01-17 | 网宿科技股份有限公司 | 流量攻击的防护方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10951640B2 (en) | 2021-03-16 |
| WO2018076949A1 (zh) | 2018-05-03 |
| US20190173901A1 (en) | 2019-06-06 |
| CN107743109B (zh) | 2020-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107743109A (zh) | 流量攻击的防护方法、控制装置、处理装置及系统 | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| US8185946B2 (en) | Wireless firewall with tear down messaging | |
| CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
| CN108322417B (zh) | 网络攻击的处理方法、装置和系统及安全设备 | |
| CN101447996B (zh) | 分布式拒绝服务攻击防护方法、系统及设备 | |
| CN102291455B (zh) | 分布式集群处理系统及其报文处理方法 | |
| US20090010171A1 (en) | Scaling BFD sessions for neighbors using physical / sub-interface relationships | |
| CN104202314B (zh) | 一种阻止ddos攻击的方法及装置 | |
| JPWO2005101760A1 (ja) | クラスタシステム及びクラスタメンバ並びにプログラム | |
| CN110213214B (zh) | 一种攻击防护方法、系统、装置和存储介质 | |
| EP2712135A1 (en) | Network system, transmission device, and fault information delivery method | |
| WO2019196562A1 (zh) | 报文处理方法、装置、存储介质及处理器 | |
| CN113037731B (zh) | 基于sdn架构和蜜网的网络流量控制方法及系统 | |
| CN102594834B (zh) | 网络攻击的防御方法及装置、网络设备 | |
| CN109600292A (zh) | 一种lac路由器自拨号发起l2tp隧道连接的方法及系统 | |
| CN105530183B (zh) | 响应消息的获取、响应消息的路由方法、装置及系统 | |
| CN109743316A (zh) | 数据传输方法、出口路由器、防火墙及双台防火墙系统 | |
| WO2004068805A1 (ja) | Vpn通信制御装置、vpnにおける通信制御方法、仮想専用網管理装置 | |
| CN106656659A (zh) | 一种网络路径的选择方法以及网络硬盘录像机 | |
| CN110636059B (zh) | 网络攻击防御系统、方法、sdn控制器、路由器、设备及介质 | |
| CN104869118B (zh) | 一种基于动态隧道技术实现DDoS防御的方法及系统 | |
| CN115333994B (zh) | 实现vpn路由快速收敛的方法、装置以及电子设备 | |
| CN102333010B (zh) | 单向链路检测保护的方法及系统 | |
| CN106230798B (zh) | 一种流量牵引方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |