CN108449314A - 一种流量牵引方法和装置 - Google Patents
一种流量牵引方法和装置 Download PDFInfo
- Publication number
- CN108449314A CN108449314A CN201810106239.5A CN201810106239A CN108449314A CN 108449314 A CN108449314 A CN 108449314A CN 201810106239 A CN201810106239 A CN 201810106239A CN 108449314 A CN108449314 A CN 108449314A
- Authority
- CN
- China
- Prior art keywords
- detection device
- flow
- flow cleaning
- virtual unit
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/14—Routing performance; Theoretical aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种流量牵引方法和装置,所述方法应用于异常流量清洗系统中的管理平台,所述方法包括:当任一检测设备检测到攻击流量时,接收所述检测设备发送的告警信息;其中,所述告警信息中携带了所述攻击流量的目的IP地址以及标识所述检测设备的标记;所述检测设备的标记用于查找与所述检测设备对应的流量清洗虚拟设备;将所述目的IP地址对应的32位掩码Guard路由下发至所述流量清洗虚拟设备,以使所述流量清洗虚拟设备向与其建立BGP邻居关系的路由器发布BGP路由更新通告,以实现所述路由器将发送至所述目的IP地址的流量牵引至所述流量清洗虚拟设备的目的。采用本申请提供的技术方法,可以避免流量的误牵引以及流量牵引过多的情况。
Description
技术领域
本申请涉及网络通信技术领域,特别涉及一种流量牵引方法和装置。
背景技术
流量牵引技术是为了防御大规模DDoS(Distributed Denial of Service,分布式拒绝服务)攻击和避免单点故障问题而提出的。最初防御DDoS攻击是依靠防火墙上的抗DDoS模块来完成。然而,即使再优秀的防火墙产品,上面的抗DDoS模块的防御能力都比较弱。因此,为了提高DDoS攻击的防御能力,在网络中布置专门用于防御DDoS攻击的设备。假设网络中的某一服务器受到DDoS攻击,流量牵引技术就是将发送至该服务器的流量牵引至网络中专门用于防御DDoS攻击的设备,其余正常流量按照原来的转发路径进行传输。
其中,网络中专门用于防御DDoS攻击的设备又称流量清洗设备。流量清洗设备的主要功能为牵引、清洗和回注。牵引是指将发送至受到DDoS攻击的服务器的流量转发至流量清洗设备;清洗是指流量清洗设备将接收到的流量中含有DDoS攻击的流量拦截;回注是指流量清洗设备将含有DDoS攻击的流量拦截之后,将正常流量重新转发回路由器。
然而,在流量清洗设备同时与多个路由器建立BGP(Border Gateway Protocol,边界网关协议)邻居关系的应用场景中,流量清洗设备会出现误牵引或者牵引流量过多的情况。
发明内容
有鉴于此,本申请提供一种流量牵引方法和装置,所述方法应用于异常流量清洗系统中的管理平台,采用本申请提出的方法,可以避免流量清洗设备出现误牵引或者牵引流量过多的情况。
具体地,本申请是通过如下技术方案实现的:
一种流量牵引方法,所述方法用于异常流量清洗系统中的管理平台,所述异常流量清洗系统还包括检测设备、流量清洗设备,所述管理平台分别与检测设备和流量清洗设备连接,所述检测设备分别连接于对应的路由器,所述流量清洗设备虚拟化生成若干个流量清洗虚拟设备,各流量清洗虚拟设备分别与所述检测设备连接的路由器建立一对一的BGP邻居关系,所述方法包括:
当任一检测设备检测到攻击流量时,管理平台接收所述检测设备发送的告警信息;其中,所述告警信息中携带了所述攻击流量的目的IP地址以及标识所述检测设备的标记;所述检测设备的标记用于查找与所述检测设备对应的流量清洗虚拟设备;
将所述目的IP地址对应的32位掩码Guard路由下发至所述流量清洗虚拟设备,以使所述流量清洗虚拟设备向与其建立BGP邻居关系的路由器发布BGP路由更新通告,以实现所述路由器将发送至所述目的IP地址的流量牵引至所述流量清洗虚拟设备的目的。
一种流量牵引装置,所述装置用于异常流量清洗系统中的管理平台,所述异常流量清洗系统还包括检测设备、流量清洗设备,所述管理平台分别与检测设备和流量清洗设备连接,所述检测设备分别连接于对应的路由器,所述流量清洗设备虚拟化生成若干个流量清洗虚拟设备,各流量清洗虚拟设备分别与所述检测设备连接的路由器建立一对一的BGP邻居关系,所述装置包括:
接收单元,用于当任一检测设备检测到攻击流量时,接收所述检测设备发送的告警信息;其中,所述告警信息中携带了所述流量的目的IP地址以及标识所述检测设备的标记;所述检测设备的标记用于查找与所述检测设备对应的流量清洗虚拟设备;
Guard路由下发单元,用于将所述目的IP地址对应的32位掩码Guard路由下发至所述流量清洗虚拟设备,以使所述流量清洗虚拟设备向与其建立BGP邻居关系的路由器发布BGP路由更新通告,以实现所述路由器将发送至所述目的IP地址的流量牵引至所述流量清洗虚拟设备的目的。
本申请提出的技术方法带来的有益效果:
在本申请中,所述管理平台分别与检测设备和流量清洗设备连接,所述检测设备分别连接于对应的路由器,所述流量清洗设备虚拟化生成若干个流量清洗虚拟设备,各流量清洗虚拟设备分别与所述检测设备连接的路由器建立一对一的BGP邻居关系,其中,检测设备用于检测流经路由器的流量是否为攻击流量。
当任一检测设备检测到攻击流量时,该检测设备可以向管理平台发送告警信息,其中告警信息中携带了所述流量的目的IP地址,即受到攻击的服务器或者计算机的IP地址,此外,告警信息中还携带了标识该检测设备的标记,所述标记用于查找与该检测设备对应的流量清洗虚拟设备。管理平台接收到该检测设备发送的告警信息后,可以将该目的IP地址对应的32位掩码Guard路由下发与该检测设备对应的流量清洗虚拟设备。流量清洗虚拟设备接收到管理平台下发的Guard路由后,可以向与其建立BGP邻居关系的路由器(也就是同时与该检测设备连接的路由器)发布BGP路由更新通告。该路由器可以更新路由表项,并将发送至该目的IP地址的流量转发至该流量清洗虚拟设备实现流量牵引。由于检测设备所连接的路由器与流量清洗虚拟设备建立了一对一的BGP邻居关系,因此,可以避免流量清洗设备出现误牵引或者牵引流量过多的情况。
附图说明
图1为相关技术中流量牵引与异常流量清洗系统的示意图;
图2为本申请实施例示出的一种流量牵引的流程示意图;
图3为本申请一种流量牵引装置所在管理平台的一种硬件结构图;
图4为本申请实施例提出的一种流量牵引装置。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参见图1,图1为相关技术中流量牵引与异常流量清洗系统的示意图。
在相关技术中,流量牵引技术应用于异常流量清洗系统。所述异常流量清洗系统包括检测设备、流量清洗设备和管理平台。
其中,检测设备与路由器连接,用于检测经过路由器的流量是否为攻击流量,并在检测到攻击流量后向管理平台发送告警信息。其中,所述告警信息包括受到攻击的服务器或者计算机的IP地址,以及攻击类型。
管理平台分别与检测设备和流量清洗设备连接,用于接收检测设备发送的告警信息,并在接收到告警信息后向流量清洗设备下发受到攻击的服务器或者计算机的IP地址所对应的32位掩码Guard路由,以及攻击类型。
流量清洗设备分别与相邻的前后两级路由器连接,如图1所示,流量清洗设备分别与地级市路由器和省出口路由器连接,用于在接收到管理平台下发的告警信息后基于受到攻击的服务器或者计算机的IP地址进行流量牵引,并对牵引到的流量进行分析,将攻击流量拦截,将正常的流量转发回路由器。如图1所示,当流量清洗设备从地级市路由器牵引流量后,对攻击流量进行过滤,并将正常流量转发回省出口路由器。
以下结合图1,对相关技术中的流量牵引以及异常流量的清洗进行具体的描述。
在相关技术中,为了对流经各地级市路由器的流量均能进行流量牵引,流量清洗设备可以预先与各地级市路由器建立BGP邻居关系。假设某一攻击源与地级市1路由器连接,该攻击源的攻击对象为公网的服务器B。当该攻击源向服务器B发送攻击流量时,该流量会通过地级市1路由器进行转发。此时与地级市1路由器连接的检测设备1可以检测到该流量为攻击流量,检测设备1将向管理平台发送告警信息,其中该告警信息中携带了服务器B的IP地址以及攻击类型。
当管理平台接收到检测设备发送的告警信息后,可以从本端预先配置的检测设备与流量清洗设备的对应关系中查找与检测设备1对应的流量清洗设备。其中,根据检测设备与地级市路由器的连接关系,以及地级市路由器与流量清洗设备的连接关系可以知道检测设备与流量清洗设备的对应关系。根据图1所示,管理平台预先配置的检测设备与流量清洗设备的对应关系以及其余配置信息如表1所示:
表1
根据表1所示,当管理平台接收到检测设备1发送的告警信息后,可以确定与检测设备1对应的流量清洗设备为流量清洗设备A。其中,该告警信息中携带服务器B的IP地址和攻击类型。管理平台可以向流量清洗设备A下发服务器B的IP地址对应的32位掩码Guard路由以及攻击类型。
当流量清洗设备A接收到管理平台下发Guard路由以及攻击类型后,流量清洗设备A需要向与其建立BGP邻居关系的路由器发布BGP路由更新通告以实现流量牵引。由于流量清洗设备A与地级市1路由器、地级市2路由器、地级市3路由器、地级市4路由器分别建立了BGP邻居关系,因此,根据BGP协议的规定,流量清洗设备A可以向流量清洗设备A均需要向地级市1路由器、地级市2路由器、地级市3路由器、地级市4路由器发布BGP更新路由通告。
当地级市1路由器、地级市2路由器、地级市3路由器、地级市4路由器接收到BGP路由更新通告后,可以更新路由表项,该更新的路由表项用于将接收到发往服务器B的流量转发至流量清洗设备,由流量清洗设备对该流量进行清洗与回注。
然而,相关技术中存在以下问题:
一方面,根据上述内容可知,当攻击源A发送至服务器B的流量通过地级市1路由器进行转发时,流量清洗设备真正需要进行牵引的流量是地级市1路由器转发至服务器B的流量,而不是地级市2路由器、地级市3路由器和地级市4路由器转发至服务器B的流量。在相关技术中,流量清洗设备无法单独对地级市1路由器转发至服务器B的流量进行牵引,因此,会造成流量清洗设备对正常流量的误牵引。这里所说的正常流量是指地级市2路由器、地级市3路由器、地级市4路由器转发至服务器B的流量。
另一方面,当服务器B的业务流量比较大的时候,由于流量清洗设备对正常流量的误牵引可能会造成链路堵塞,或者流量清洗设备的过载。
鉴于此,本申请提出了一种流量牵引方法,所述方法用于异常流量清洗系统中的管理平台。所述异常流量清洗系统还包括检测设备、流量清洗设备,所述管理平台分别与检测设备和流量清洗设备连接,所述检测设备分别连接于对应的路由器,其特征在于,所述流量清洗设备虚拟化生成若干个流量清洗虚拟设备,各流量清洗虚拟设备分别与所述检测设备连接的路由器建立一对一的BGP邻居关系。
其中,所述各流量清洗虚拟设备均拥有独立的硬件、软件、转发表项、管理平台的日志等,各流量清洗虚拟设备的运行互不影响。为了实现管理平台与各流量清洗虚拟设备之间的通信,可以将各流量清洗虚拟设备的管理地址添加至管理平台,以使管理平台与各流量清洗虚拟设备之间建立通信通道。
请参见图2,图2为本申请实施例示出的一种流量牵引的流程示意图,具体执行以下步骤:
步骤201:检测设备向管理平台发送告警信息:
在本申请的实施例中,所述检测设备用于检测流量是否为攻击流量。检测设备可以对与其连接的路由器上的流量进行检测,判断该流量是否为攻击流量。
当确定该流量为攻击流量时,检测设备可以生成告警信息。其中,该告警信息中携带了该流量的目的IP地址,以及标识该检测设备的标记。所述目的IP地址为受到攻击的服务器或者计算机的IP地址,用于流量的牵引;所述检测设备的标记用于查找与该检测设备对应的流量清洗虚拟设备。
优选地,在本申请的实施例中,所述检测设备的标记为所述检测设备的IP地址和/或所述检测设备的MAC地址。当然,用户也可以自定义所述检测设备的标记。
在本申请的实施例中,当检测设备生成告警信息后,检测设备可以进一步分析该攻击流量对应的具体攻击类型,并将攻击类型携带于告警信息后将告警信息发送至管理平台。
其中,分析具体攻击类型可以由检测设备、管理平台或者流量清洗虚拟设备中的任一个设备来执行。在本申请的实施例中优先选择由检测设备执行,理由为:一方面,管理平台同时管理检测设备和流量清洗虚拟设备,流量清洗虚拟设备需要进行流量牵引、清洗、回注,工作负担均比较大,因此由检测设备来执行攻击类型的分析,可以在一定程度上缓解管理平台和流量清洗虚拟设备的工作负担。另一方面,检测设备进行流量分析时,不会改变原有流量的走向,只有当检测到攻击流量时才将攻击流量牵引至流量清洗虚拟设备。如果流量清洗虚拟设备进行流量检测和分析,那么必须将流量牵引至流量清洗虚拟设备,这样的话将造成不必要的流量牵引至流量清洗虚拟设备,从而增加网络故障率以及同等带宽下减少了攻击流量的牵引。
步骤202:管理平台基于告警信息查找发送该告警信息的检测设备对应的流量清洗虚拟设备;
在本申请的实施例中,管理平台配置了检测设备与流量清洗虚拟设备之间的对应关系以及其余相关配置信息。
结合图1所示的网络拓扑,流量清洗设备A可以虚拟化生成4个流量清洗虚拟设备,分别为流量清洗虚拟设备1、流量清洗虚拟设备2、流量清洗虚拟设备3、流量清洗虚拟设备4。现在设定流量清洗虚拟设备1与地级市1路由器建立BGP邻居关系,流量清洗虚拟设备2与地级市2路由器建立BGP邻居关系,流量清洗虚拟设备3与地级市3路由器建立BGP邻居关系,流量清洗虚拟设备4与地级市4路由器建立BGP邻居关系,那么管理平台配置的检测设备与流量清洗虚拟设备之间的对应关系以及其余相关配置信息如表2所示。
表2
其中,表2中检查设备所在的列为各检测设备的标记,该标记优选为各检测设备的IP地址和/或MAC地址。当然,该标记也可以是用户自定义的标记。
在本申请的实施例中,当管理平台接收到检测设备发送的告警信息后,管理平台可以解析该告警信息,并从该告警信息中读取目的IP地址、检测设备的标记以及攻击类型。
然后,管理平台可以从本地配置的检测设备与流量清洗虚拟设备之间的对应关系中,基于读取到的检测设备的标记,查找发送该告警信息的检测设备所对应的流量清洗虚拟设备。由于管理平台与各流量清洗虚拟设备之间建立了通信通道,因此,管理平台可以根据查找到的流量清洗虚拟设备确定通信通道,并将目的IP地址对应的32位掩码Guard路由和攻击类型通过该通信通道下发至该查找到的流量清洗虚拟设备。
步骤203:流量清洗虚拟设备进行流量牵引。
在本申请的实施例中,当流量清洗虚拟设备接收到管理平台下发的目的IP地址对应的32位掩码Guard路由和攻击类型后,流量清洗虚拟设备向与其建立BGP邻居关系的路由器发布BGP路由更新通告。
由于在本申请的实施例中,各流量清洗虚拟设备均只与唯一的路由器建立了BGP邻居关系,因此,在本步骤中,当流量清洗虚拟设备向与其建立BGP邻居关系的路由器发布BGP路由更新通告时,只有一台路由器能够接收到该BGP路由更新通告,该路由器即为检测到攻击流量的检测设备所连接的路由器。
当该路由器接收到流量清洗虚拟设备发布的BGP路由更新通告后,该路由器可以更新路由表项,其中该更新的路由表项用于将发送至该目的IP地址的流量转发至流量清洗虚拟设备,从而实现流量牵引。由于,该路由器连接了众多终端主机,攻击源只是该终端主机中的一个或多个,因此,发送至该目的IP的流量不全是攻击流量。
在本申请的实施例中,各流量清洗虚拟设备配置了攻击类型以及与其对应的防护策略。当该流量清洗虚拟设备接收到该路由器转发的发送至该目的IP的流量后,一方面,该流量清洗虚拟设备可以基于管理平台下发的攻击类型确定对应的防护策略,并基于该防护策略对从该路由器牵引到的流量进行清洗,将携带攻击的流量拦截;另一方面,该流量清洗虚拟设备可以对正常流量进行回注,基于默认路由(即该路由器的下一跳,比如图1中的省出口路由器)将正常流量转发回网络中的路由器。
从本步骤中可以看出,由于检测设备所连接的路由器分别与流量清洗虚拟设备建立了一对一的BGP邻居关系,因此,当任一检测设备发送告警信息后,只有与其连接的路由器才会接收到流量清洗虚拟设备发布的BGP路由更新通告,以实现流量牵引,因此不会导致流量清洗虚拟设备对其余检测设备所连接的路由器上的流量进行误牵引,同时,流量清洗虚拟设备也不会出现因为误牵引造成牵引流量过多使得网络堵塞的情况,以及在同等攻击流量带宽的情况下,本申请提出的流量牵引系统可以给更多的IP地址提供服务。
此外,在本申请的实施例中,当新增路由器接入流量清洗物理设备时,该流量清洗物理设备可以虚拟化新生成流量清洗虚拟设备,并将该新生成的流量清洗虚拟设备与新增路由器建立BGP邻居关系。因此可以看出,本申请提出的技术方法中的流量牵引系统拥有很好的扩展性。
综上所述,在本申请中,所述管理平台分别与检测设备和流量清洗设备连接,所述检测设备分别连接于对应的路由器,所述流量清洗设备虚拟化生成若干个流量清洗虚拟设备,各流量清洗虚拟设备分别与所述检测设备连接的路由器建立一对一的BGP邻居关系,其中,检测设备用于检测流经路由器的流量是否为攻击流量。
当任一检测设备检测到攻击流量时,该检测设备可以向管理平台发送告警信息,其中告警信息中携带了所述流量的目的IP地址,即受到攻击的服务器或者计算机的IP地址,此外,告警信息中还携带了标识该检测设备的标记,所述标记用于查找与该检测设备对应的流量清洗虚拟设备。管理平台接收到该检测设备发送的告警信息后,可以将该目的IP地址对应的32位掩码Guard路由下发与该检测设备对应的流量清洗虚拟设备。流量清洗虚拟设备接收到管理平台下发的Guard路由后,可以向与其建立BGP邻居关系的路由器(也就是同时与该检测设备连接的路由器)发布BGP路由更新通告。该路由器可以更新路由表项,并将发送至该目的IP地址的流量转发至该流量清洗虚拟设备实现流量牵引。由于检测设备所连接的路由器与流量清洗虚拟设备建立了一对一的BGP邻居关系,因此,可以避免流量清洗设备出现误牵引或者牵引流量过多的情况。
与前述一种流量牵引方法的实施例相对应,本申请还提供了一种流量牵引装置的实施例。
本申请一种流量牵引装置的实施例可以应用在异常流量清洗系统中的管理平台上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在管理平台的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请一种流量牵引装置所在管理平台的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的管理平台通常根据该流量牵引的实际功能,还可以包括其他硬件,对此不再赘述。
请参见图4,图4为本申请实施例提出的一种流量牵引装置,所述装置用于异常流量清洗系统中的管理平台,所述异常流量清洗系统还包括检测设备、流量清洗设备,所述管理平台分别与检测设备和流量清洗物理设备连接,所述检测设备分别连接于对应的路由器,所述流量清洗物理设备虚拟化生成若干个流量清洗虚拟设备,各流量清洗虚拟设备分别与所述检测设备连接的路由器建立一对一的BGP邻居关系,所述装置包括:接收单元410,Guard路由下发单元420。
其中,所述接收单元410,用于当任一检测设备检测到攻击流量时,接收所述检测设备发送的告警信息;其中,所述告警信息中携带了所述流量的目的IP地址以及标识所述检测设备的标记;所述检测设备的标记用于查找与所述检测设备对应的流量清洗虚拟设备;
所述Guard路由下发单元420,用于将所述目的IP地址对应的32位掩码Guard路由下发至所述流量清洗虚拟设备,以使所述流量清洗虚拟设备向与其建立BGP邻居关系的路由器发布BGP路由更新通告,以实现所述路由器将发送至所述目的IP地址的流量牵引至所述流量清洗虚拟设备的目的。
优选地,上述检测设备的标记为所述检测设备的IP地址和/或所述检测设备的MAC地址。
其中,所述Guard路由下发单元420具体包括:
读取子单元,用于在接收到所述检测设备发送的告警信息后,读取所述告警信息中携带的所述检测设备的标记;
查找子单元,用于基于所述检测设备的标记,查找与所述检测设备对应的流量清洗虚拟设备;
Guard路由下发子单元,用于将所述目的IP地址对应的32位掩码Guard路由下发至所述流量清洗虚拟设备。
在申请的实施例中,所述装置还包括:
攻击类型下发单元,用于将所述攻击类型下发至所述流量清洗虚拟设备。
更新单元,用于更新本端配置的检测设备与流量清洗虚拟设备之间的对应关系。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种流量牵引方法,所述方法用于异常流量清洗系统中的管理平台,所述异常流量清洗系统还包括检测设备、流量清洗设备,所述管理平台分别与检测设备和流量清洗设备连接,所述检测设备分别连接于对应的路由器,其特征在于,所述流量清洗设备虚拟化生成若干个流量清洗虚拟设备,各流量清洗虚拟设备分别与所述检测设备连接的路由器建立一对一的BGP邻居关系,所述方法包括:
当任一检测设备检测到攻击流量时,接收所述检测设备发送的告警信息;其中,所述告警信息中携带了所述攻击流量的目的IP地址以及标识所述检测设备的标记;所述检测设备的标记用于查找与所述检测设备对应的流量清洗虚拟设备;
将所述目的IP地址对应的32位掩码Guard路由下发至所述流量清洗虚拟设备,以使所述流量清洗虚拟设备向与其建立BGP邻居关系的路由器发布BGP路由更新通告,以实现所述路由器将发送至所述目的IP地址的流量牵引至所述流量清洗虚拟设备的目的。
2.根据权利要求1所述的方法,其特征在于,所述告警信息中还携带了攻击流量对应的攻击类型,所述方法还包括:
将所述攻击类型下发至所述流量清洗虚拟设备。
3.根据权利要求1所述的方法,其特征在于,所述检测设备的标记为所述检测设备的IP地址和/或所述检测设备的MAC地址。
4.根据权利要求1-3所述的方法,其特征在于,所述管理平台配置了检测设备与流量清洗虚拟设备之间的对应关系;
所述将所述目的IP地址对应的32位掩码Guard路由下发至所述流量清洗虚拟设备,包括:
在接收到所述检测设备发送的告警信息后,读取所述告警信息中携带的所述检测设备的标记;
基于所述检测设备的标记,查找与所述检测设备对应的流量清洗虚拟设备;
将所述目的IP地址对应的32位掩码Guard路由下发至所述流量清洗虚拟设备。
5.根据权利要求4所述的方法,其特征在于,当新增路由器接入流量清洗物理设备时,流量清洗物理设备虚拟化新生成流量清洗虚拟设备,并使所述新生成的流量清洗虚拟设备与所述新增路由器建立BGP邻居关系;
所述方法还包括:
更新本端配置的检测设备与流量清洗虚拟设备之间的对应关系。
6.一种流量牵引装置,其特征在于,所述装置用于异常流量清洗系统中的管理平台,所述异常流量清洗系统还包括检测设备、流量清洗设备,所述管理平台分别与检测设备和流量清洗设备连接,所述检测设备分别连接于对应的路由器,所述流量清洗设备虚拟化生成若干个流量清洗虚拟设备,各流量清洗虚拟设备分别与所述检测设备连接的路由器建立一对一的BGP邻居关系,所述装置包括:
接收单元,用于当任一检测设备检测到攻击流量时,管理平台接收所述检测设备发送的告警信息;其中,所述告警信息中携带了所述流量的目的IP地址以及标识所述检测设备的标记;所述检测设备的标记用于查找与所述检测设备对应的流量清洗虚拟设备;
Guard路由下发单元,用于将所述目的IP地址对应的32位掩码Guard路由下发至所述流量清洗虚拟设备,以使所述流量清洗虚拟设备向与其建立BGP邻居关系的路由器发布BGP路由更新通告,以实现所述路由器将发送至所述目的IP地址的流量牵引至所述流量清洗虚拟设备的目的。
7.根据权利要求6所述的装置,其特征在于,所述告警信息中还携带了所述攻击流量对应的攻击类型,所述装置还包括:
攻击类型下发单元,用于将所述攻击类型下发至所述流量清洗虚拟设备。
8.根据权利要求6所述的装置,其特征在于,所述检测设备的标记为所述检测设备的IP地址和/或所述检测设备的MAC地址。
9.根据权利要求6-8所述的装置,其特征在于,所述管理平台配置了检测设备与流量清洗虚拟设备之间的对应关系;
所述Guard路由下发单元,包括:
读取子单元,用于在接收到所述检测设备发送的告警信息后,读取所述告警信息中携带的所述检测设备的标记;
查找子单元,用于基于所述检测设备的标记,查找与所述检测设备对应的流量清洗虚拟设备;
Guard路由下发子单元,用于将所述目的IP地址对应的32位掩码Guard路由下发至所述流量清洗虚拟设备。
10.根据权利要求9所述的装置,其特征在于,当新增路由器接入流量清洗物理设备时,流量清洗物理设备虚拟化新生成流量清洗虚拟设备,并使所述新生成的流量清洗虚拟设备与所述新增路由器建立BGP邻居关系;
所述装置还包括:
更新单元,用于更新本端配置的检测设备与流量清洗虚拟设备之间的对应关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810106239.5A CN108449314B (zh) | 2018-02-02 | 2018-02-02 | 一种流量牵引方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810106239.5A CN108449314B (zh) | 2018-02-02 | 2018-02-02 | 一种流量牵引方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108449314A true CN108449314A (zh) | 2018-08-24 |
| CN108449314B CN108449314B (zh) | 2020-12-29 |
Family
ID=63191320
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810106239.5A Active CN108449314B (zh) | 2018-02-02 | 2018-02-02 | 一种流量牵引方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108449314B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109450955A (zh) * | 2018-12-30 | 2019-03-08 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
| CN110768975A (zh) * | 2019-10-21 | 2020-02-07 | 杭州迪普科技股份有限公司 | 流量清洗方法、装置、电子设备及机器可读存储介质 |
| CN110855566A (zh) * | 2019-11-26 | 2020-02-28 | 杭州迪普科技股份有限公司 | 上行流量的牵引方法和装置 |
| CN111314283A (zh) * | 2019-12-13 | 2020-06-19 | 网易(杭州)网络有限公司 | 防御攻击的方法和装置 |
| CN111404868A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种缓解DDoS攻击的方法、装置、电子设备及存储介质 |
| CN111586018A (zh) * | 2020-04-29 | 2020-08-25 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
| CN113271286A (zh) * | 2020-02-14 | 2021-08-17 | 华为技术有限公司 | 一种用于实现bgp异常检测的方法、设备及系统 |
| CN113542069A (zh) * | 2021-07-15 | 2021-10-22 | 恒安嘉新(北京)科技股份公司 | 一种流量牵引方法、装置、电子设备及存储介质 |
| CN113852611A (zh) * | 2021-09-09 | 2021-12-28 | 上海理想信息产业(集团)有限公司 | 网站拦截平台的ip引流方法、计算机设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN202231744U (zh) * | 2011-09-28 | 2012-05-23 | 中华通信系统有限责任公司 | 基于isp网络的拒绝攻击防御系统 |
| US20130298220A1 (en) * | 2012-05-07 | 2013-11-07 | Electronics And Telecommunications Research Institute | System and method for managing filtering information of attack traffic |
| CN103401796A (zh) * | 2013-07-09 | 2013-11-20 | 北京百度网讯科技有限公司 | 网络流量清洗系统及方法 |
| CN105991637A (zh) * | 2015-06-15 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的防护方法和装置 |
| CN106685823A (zh) * | 2016-12-16 | 2017-05-17 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
| CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
-
2018
- 2018-02-02 CN CN201810106239.5A patent/CN108449314B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN202231744U (zh) * | 2011-09-28 | 2012-05-23 | 中华通信系统有限责任公司 | 基于isp网络的拒绝攻击防御系统 |
| US20130298220A1 (en) * | 2012-05-07 | 2013-11-07 | Electronics And Telecommunications Research Institute | System and method for managing filtering information of attack traffic |
| CN103401796A (zh) * | 2013-07-09 | 2013-11-20 | 北京百度网讯科技有限公司 | 网络流量清洗系统及方法 |
| CN105991637A (zh) * | 2015-06-15 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的防护方法和装置 |
| CN106685823A (zh) * | 2016-12-16 | 2017-05-17 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
| CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张树帆等: "IP城域网异常流量清洗与阻断技术研究", 《电信技术》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109450955A (zh) * | 2018-12-30 | 2019-03-08 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
| CN109450955B (zh) * | 2018-12-30 | 2022-04-05 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
| CN111404868B (zh) * | 2019-01-02 | 2022-04-29 | 中国移动通信有限公司研究院 | 一种缓解DDoS攻击的方法、装置、电子设备及存储介质 |
| CN111404868A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种缓解DDoS攻击的方法、装置、电子设备及存储介质 |
| CN110768975A (zh) * | 2019-10-21 | 2020-02-07 | 杭州迪普科技股份有限公司 | 流量清洗方法、装置、电子设备及机器可读存储介质 |
| CN110768975B (zh) * | 2019-10-21 | 2022-05-31 | 杭州迪普科技股份有限公司 | 流量清洗方法、装置、电子设备及机器可读存储介质 |
| CN110855566B (zh) * | 2019-11-26 | 2021-10-29 | 杭州迪普科技股份有限公司 | 上行流量的牵引方法和装置 |
| CN110855566A (zh) * | 2019-11-26 | 2020-02-28 | 杭州迪普科技股份有限公司 | 上行流量的牵引方法和装置 |
| CN111314283A (zh) * | 2019-12-13 | 2020-06-19 | 网易(杭州)网络有限公司 | 防御攻击的方法和装置 |
| CN111314283B (zh) * | 2019-12-13 | 2023-01-24 | 网易(杭州)网络有限公司 | 防御攻击的方法和装置 |
| CN113271286A (zh) * | 2020-02-14 | 2021-08-17 | 华为技术有限公司 | 一种用于实现bgp异常检测的方法、设备及系统 |
| CN113271286B (zh) * | 2020-02-14 | 2022-07-29 | 华为技术有限公司 | 一种用于实现bgp异常检测的方法、设备及系统 |
| CN111586018A (zh) * | 2020-04-29 | 2020-08-25 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
| CN111586018B (zh) * | 2020-04-29 | 2022-05-31 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
| CN113542069A (zh) * | 2021-07-15 | 2021-10-22 | 恒安嘉新(北京)科技股份公司 | 一种流量牵引方法、装置、电子设备及存储介质 |
| CN113852611A (zh) * | 2021-09-09 | 2021-12-28 | 上海理想信息产业(集团)有限公司 | 网站拦截平台的ip引流方法、计算机设备及存储介质 |
| CN113852611B (zh) * | 2021-09-09 | 2023-05-09 | 上海理想信息产业(集团)有限公司 | 网站拦截平台的ip引流方法、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108449314B (zh) | 2020-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108449314A (zh) | 一种流量牵引方法和装置 | |
| CN108353006B (zh) | 用于测试和剖析网络服务功能的非侵入式方法 | |
| CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
| US7684382B2 (en) | Provider network for providing L-2 VPN services and edge router | |
| CN105745870B (zh) | 从用于检测大流的串行多级过滤器去除头部过滤器以便清除流以实现延长操作 | |
| US10356227B2 (en) | Method of packet marking for flow analytics | |
| CN103703722B (zh) | P2mp隧道上自举故障检测会话的方法和装置 | |
| US8806606B2 (en) | Service aggregation in a cloud services center | |
| US9225624B2 (en) | Systems and methods for topology discovery and application in a border gateway protocol based data center | |
| CN103329469B (zh) | 在信息包网络设备中缩小数据损失窗口的方法 | |
| US8289839B2 (en) | Scaling BFD sessions for neighbors using physical / sub-interface relationships | |
| CN102195843B (zh) | 一种流量控制系统和方法 | |
| EP2984798B1 (en) | Identification of paths taken through a network of interconnected devices | |
| EP1511220B1 (en) | Non-intrusive method for routing policy discovery | |
| US9143408B2 (en) | Interprovider virtual private network path identification | |
| EP1844579A2 (en) | System and methods for network path detection | |
| CN106685823B (zh) | 一种流量清洗方法及装置 | |
| CN101690101A (zh) | 将分组重定向至网络交换机中的入侵防卸服务的方法和系统 | |
| CN112868214B (zh) | 分组内的协调负载转移oam记录 | |
| CN110113260A (zh) | 一种转发表更新方法及装置 | |
| CN110162437B (zh) | 一种框式设备内部连通性检测方法及系统 | |
| US7382769B1 (en) | Automatic filtering to prevent network attacks | |
| CN105591932B (zh) | 邻居的识别方法及装置 | |
| WO2017080301A1 (zh) | 传递网络出口拥塞状态方法、网络出口选择方法及路由器 | |
| KR20170004052A (ko) | 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |