CN110636059B - 网络攻击防御系统、方法、sdn控制器、路由器、设备及介质 - Google Patents

网络攻击防御系统、方法、sdn控制器、路由器、设备及介质 Download PDF

Info

Publication number
CN110636059B
CN110636059B CN201910879833.2A CN201910879833A CN110636059B CN 110636059 B CN110636059 B CN 110636059B CN 201910879833 A CN201910879833 A CN 201910879833A CN 110636059 B CN110636059 B CN 110636059B
Authority
CN
China
Prior art keywords
route
bgp flowspec
attacked target
router
self
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910879833.2A
Other languages
English (en)
Other versions
CN110636059A (zh
Inventor
李奕良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongying Youchuang Information Technology Co Ltd
Original Assignee
Zhongying Youchuang Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongying Youchuang Information Technology Co Ltd filed Critical Zhongying Youchuang Information Technology Co Ltd
Priority to CN201910879833.2A priority Critical patent/CN110636059B/zh
Publication of CN110636059A publication Critical patent/CN110636059A/zh
Application granted granted Critical
Publication of CN110636059B publication Critical patent/CN110636059B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/30Routing of multiclass traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种网络攻击防御系统及方法、SDN控制器、路由器,该系统包括:SDN控制器,用于接收并根据被攻击目标的流量数据,生成BGP flowspec策略路由,将BGP flowspec策略路由发送至路由器;在被攻击目标的流量数据汇聚完后,生成BGP flowspec VPN路由并发送至路由器;路由器用于在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚;在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速;将限速后的被攻击目标的流量数据发送至被攻击目标。本发明可对网络攻击进行有效防御,防御效果好。

Description

网络攻击防御系统、方法、SDN控制器、路由器、设备及介质
技术领域
本发明涉及互联网领域,尤其涉及一种网络攻击防御系统及方法、SDN控制器、路由器。
背景技术
在互联网中,经常发生用户遭受DDOS攻击,导致其上连网络设备链路拥塞,影响该网络设备下接入的其他业务的情况。
传统网络中,针对该问题有以下两种防御手段:一是,将被攻击用户地址通过人工配置静态路由指向黑洞进行封堵,该手段将导致被攻击用户的网络彻底无法使用;二是,将被攻击用户地址通过BGP路由牵引至流量清洗设备,该方式需要在骨干设备上修改路由策略,当骨干策略与清洗策略冲突时,可能造成清洗失败,并且清洗期间大量攻击流量发往清洗设备,可能造成清洗设备上连网络拥塞。因此,目前缺少针对网络攻击的有效防御方法。
发明内容
本发明实施例提出一种网络攻击防御系统,用以对网络攻击进行有效防御,防御效果好,该系统包括:
SDN控制器,与路由器连接,用于:
接收并根据被攻击目标的流量数据,生成BGP flowspec策略路由,将BGPflowspec策略路由发送至路由器,所述BGP flowspec策略路由用于对被攻击目标的流量数据进行汇聚;
在被攻击目标的流量数据汇聚完后,生成BGP flowspec VPN路由,将BGPflowspec VPN路由发送至路由器,所述BGP flowspec VPN路由用于对汇聚后的被攻击目标的流量数据进行限速;
路由器用于:
在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚;
在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速;
将限速后的被攻击目标的流量数据发送至被攻击目标。
本发明实施例提出一种SDN控制器,用以对网络攻击进行有效防御,防御效果好,防御效果好,该SDN控制器包括:
BGP flowspec策略路由生成模块,用于接收并根据被攻击目标的流量数据,生成BGP flowspec策略路由,将BGP flowspec策略路由发送至路由器,所述路由器在接收到BGPflowspec策略路由后,对被攻击目标的流量数据进行汇聚;
BGP flowspec VPN路由生成模块,用于在被攻击目标的流量数据汇聚完后,生成BGP flowspec VPN路由,将BGP flowspec VPN路由发送至路由器,所述路由器在接收到BGPflowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速并将限速后的被攻击目标的流量数据发送至被攻击目标。
本发明实施例提出一种路由器,用以对网络攻击进行有效防御,防御效果好,该路由器包括:
汇聚模块,用于在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚,所述BGP flowspec策略路由是由SDN控制器根据被攻击目标的流量数据生成的;
限速模块,用于在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,所述BGP flowspec VPN路由是由 SDN控制器在被攻击目标的流量数据汇聚完后生成的;
转发模块,用于将限速后的被攻击目标的流量数据发送至被攻击目标。
本发明实施例提出一种网络攻击防御方法,用以对网络攻击进行有效防御,防御效果好,该方法包括:
接收并根据被攻击目标的流量数据,生成BGP flowspec策略路由,将BGPflowspec策略路由发送至路由器,所述路由器在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚;
在被攻击目标的流量数据汇聚完后,生成BGP flowspec VPN路由,将BGPflowspec VPN路由发送至路由器,所述路由器在接收到BGP flowspec VPN路由后,根据BGPflowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速并将限速后的被攻击目标的流量数据发送至被攻击目标。
本发明实施例提出一种网络攻击防御方法,用以对网络攻击进行有效防御,防御效果好,该方法包括:
在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚,所述BGPflowspec策略路由是由SDN控制器根据被攻击目标的流量数据生成的;
在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,所述BGP flowspec VPN路由是由SDN控制器在被攻击目标的流量数据汇聚完后生成的;
将限速后的被攻击目标的流量数据发送至被攻击目标。
本发明实施例还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述网络攻击防御方法。
本发明实施例还提出了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述网络攻击防御方法的计算机程序。
在本发明实施例中,SDN控制器可以根据被攻击目标的流量数据,生成BGPflowspec策略路由,而路由器可根据此BGP flowspec策略路由,对被攻击目标的流量数据进行汇聚;在被攻击目标的流量数据汇聚完后,SDN控制器生成BGP flowspec VPN路由,路由器在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,将限速后的被攻击目标的流量数据发送至被攻击目标,上述过程未改变网络路由,只是通过对被攻击目标的流量数据进行汇聚并限速来达到既不中断被攻击目标的业务,也能保障网络中其他目标的业务不受影响,且上述过程无需在骨干设备上修改路由策略,避免了清洗设备上连网络拥塞,缩短了网络攻击时长,防御效果好。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中网络攻击防御系统的示意图;
图2为本发明实施例中网络攻击防御系统的网络拓扑示意图;
图3为本发明实施例中城域网中网络攻击防御的拓扑图;
图4为本发明实施例中SDN控制器的示意图;
图5为本发明实施例中网络攻击防御方法的流程图;
图6为本发明实施例中路由器的示意图;
图7为本发明实施例中另一种网络攻击防御方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
在本说明书的描述中,所使用的“包含”、“包括”、“具有”、“含有”等,均为开放性的用语,即意指包含但不限于。参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”等的描述意指结合该实施例或示例描述的具体特征、结构或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本申请的实施,其中的步骤顺序不作限定,可根据需要作适当调整。
发明人发现,BGP BGP flowspec能够针对被攻击IP将攻击流量丢弃或重定向到指定端口,降低攻击流量对上连网络的影响。本发明实施例在这一技术的基础上,通过BGPflowspec将所有接口发往被攻击IP的流量重定向到自环线上进行汇聚并限速,之后从自环线重新发往被攻击设备。从而在不改变大网路由的前提下,仅增加一条自环线,对被攻击流量进行汇聚后限速,达到既不中断被攻击用户的业务,也能保障网络中其他用户业务不受影响的目的。该方法通过全流程自动化快速应对攻击,可大大缩短大流量攻击业务影响时长,充分保护用户和业务。
图1为本发明实施例中网络攻击防御系统的示意图,如图1所示,该系统包括:
SDN控制器,与路由器连接,用于:
接收并根据被攻击目标的流量数据,生成BGP flowspec策略路由,将BGPflowspec策略路由发送至路由器,所述BGP flowspec策略路由用于对被攻击目标的流量数据进行汇聚;
在被攻击目标的流量数据汇聚完后,生成BGP flowspec VPN路由,将BGPflowspec VPN路由发送至路由器,所述BGP flowspec VPN路由用于对汇聚后的被攻击目标的流量数据进行限速;
路由器用于:
在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚;
在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速;
将限速后的被攻击目标的流量数据发送至被攻击目标。
在本发明实施例中,SDN控制器可以根据被攻击目标的流量数据,生成BGPflowspec策略路由,而路由器可根据此BGP flowspec策略路由,对被攻击目标的流量数据进行汇聚;在被攻击目标的流量数据汇聚完后,SDN控制器生成BGP flowspec VPN路由,路由器在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,将限速后的被攻击目标的流量数据发送至被攻击目标,上述过程未改变网络路由,只是通过对被攻击目标的流量数据进行汇聚并限速来达到既不中断被攻击目标的业务,也能保障网络中其他目标的业务不受影响,且上述过程无需在骨干设备上修改路由策略,避免了清洗设备上连网络拥塞,缩短了网络攻击时长,防御效果好。
具体实施时,SDN(Software-Defined Networking,软件定义网络)控制器需要满足以下要求:第一,支持BGP flowspec;第二,可获取发送至被攻击目标的所有流量,例如与流量监测系统对接,通过流量监测系统获取被攻击目标的所有流量,第三,可以学到并实时更新城域网全部路由。对于城域网来说,路由器为核心路由器,需要满足以下要求:第二,升级CR,以支持BGP flowspec;第二,在核心路由器上,实现汇聚功能,例如,此汇聚功能可以由自环线完成,自环线包括两个端口,用光纤连接成自环口,自环线包括自环线入口和自环线出口,自环线入口为全局地址,自环线出口在VPN中。
在一实施例中,网络攻击防御系统,还包括流量监控设备,用于:
在监测到网络攻击时,采集被攻击目标的流量数据;
将被攻击目标的流量数据发送至SDN控制器。
在上述实施例中,流量监控设备与SDN控制器连接,可接收被攻击目标的流量数据,被攻击目标的流量数据包括被攻击目标的IP和端口号。
在一实施例中,被攻击目标的流量数据包括所有流入被攻击目标的DDOS流量和/或非DDOS流量。
在上述实施例中,非DDOS流量即正常流量,在城域网中,流入被攻击目标的 DDOS流量和/或非DDOS流量可以包括多组从运营商骨干网流入的流量。
在一实施例中,SDN控制器还用于:
在生成BGP flowspec策略路由之前,根据预设配置信息,建立与路由器之间的BGP邻居关系。
在一实施例中,SDN控制器具体用于:
根据预设配置信息,向路由器发送BGP flowspec路由,建立与路由器之间的BGP邻居关系。
在上述实施例中,预设配置信息可以是手工配置的,然后SDN控制器根据手工配置的预设配置信息,向路由器发送BGP flowspec路由,建立与路由器之间的BGP 邻居关系。或者SDN控制器也可以通过netconf/yang来监控带有特定community的 BGP用户路由,自动生成相应的BGP flowspec路由发送给路由器。这种实现方式不改变路由器的全局路由表,但同时改变了转发路径。
图2为本发明实施例中网络攻击防御系统的网络拓扑示意图,这里SDN控制器已经于路由器建立了BGP邻居关系。SDN控制器接收并根据被攻击目标的流量数据,生成BGPflowspec策略路由,将BGP flowspec策略路由发送至路由器,所述BGP flowspec策略路由用于对被攻击目标的流量数据进行汇聚;路由器在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚;然后,SDN控制器在被攻击目标的流量数据汇聚完后,生成BGP flowspec VPN路由,将BGP flowspec VPN路由发送至路由器,所述BGP flowspec VPN路由用于对汇聚后的被攻击目标的流量数据进行限速;路由器在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速;将限速后的被攻击目标的流量数据发送至被攻击目标。在图2中,路由器将限速后的被攻击目标的流量数据先发送至了汇聚路由器,然后在发送给了被攻击目标,即被攻击用户,路由器也可将限速后的被攻击目标的流量数据直接发送给被攻击目标。
SDN控制器生成BGP flowspec VPN路由的方法有多种,下面给出其中一个实施例。
在一实施例中,SDN控制器具体用于:
根据与SDN控制器对接的BSS,获得预先配置的流量速率;
根据预先配置的流量速率,生成BGP flowspec VPN路由。
在一实施例中,SDN控制器具体用于:
在VPN获取到路由器所在区域的域内路由后,根据路由器所在区域的域内路由和预先配置的流量速率,生成BGP flowspec VPN路由。
在上述实施例中,BSS(Business support system,业务支撑系统)可以获得预先配置的流量速率,一般是用户签约速率,另外,VPN需要获取到路由器所在区域的域内路由,例如,路由器所在区域的域内路由为城域网域内路由,从而保证BGP flowspec VPN路由的转发地址的正确性。VPN(Virtual Private Network,虚拟专用网络)获取到路由器所在区域的域内路由后,SDN控制器根据路由器所在区域的域内路由和预先配置的流量速率,生成BGP flowspec VPN路由。
在一实施例中,路由器具体用于:
在接收到BGP flowspec策略路由后,将被攻击目标的流量数据转发到自环线内,所述自环线包括自环线入口和自环线出口,自环线入口为全局地址,自环线出口在 VPN中。
在上述实施例中,给出了汇聚的具体方法,即形成一条自环线,自环线入口为全局地址,自环线出口在VPN中。具体实施时,BGP flowspec策略路由包括两种,在第一种种,路由器可根据BGP flowspec策略路由将发往被攻击目标IP、被攻击目标端口号的所有流量(包括DDOS流量和正常流量)都转发到自环线内,而被攻击目标IP但非攻击目标端口号的流量通过BGP flowspec路由表正常转发。在第二种种,路由器也可以根据BGP flowspec策略路由,将发往被攻击目标IP的所有流量都转发到自环线内,以上两种BGP flowspec策略路由可根据实际情况选择,提高了网络攻击防御的灵活性。
在一实施例中,路由器具体用于:
将限速后的被攻击目标的流量数据发送至所述路由器的下一级设备,所述路由器的下一级设备将限速后的被攻击目标的流量数据发送至被攻击目标。
在上述实施例中,所述路由器的下一级设备包括多种,例如业务控制层设备。最后,在攻击结束后,SDN控制器可自动撤销BGP flowspec策略路由和BGP flowspec VPN路由,流量转发路径恢复。
下面给出一具体实施例,来说明本发明实施例提出的网络攻击防御系统的具体应用。
以城域网中的用户被攻击为例,图3为本发明实施例中城域网中网络攻击防御的拓扑图。普通BGP flowspec路由只能基于端口限速,不能针对被攻击地址整体进行限速。
在本实施例中,根据预设配置信息,建立与路由器之间的BGP邻居关系。
被攻击目标的流量数据从核心路由器与骨干网的多条互连链路流入城域网,流量监控设备在监测到网络攻击时,采集被攻击目标的流量数据;将被攻击目标的流量数据发送至SDN控制器。
SDN控制器接收并根据被攻击目标的流量数据,生成BGP flowspec策略路由,将BGP flowspec策略路由发送至路由器,所述BGP flowspec策略路由用于对被攻击目标的流量数据进行汇聚。
路由器在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚,即将发送至被攻击目标的所有被攻击目标的流量数据均汇聚到自环线内。
SDN控制器在被攻击目标的流量数据汇聚完后,根据与SDN控制器对接的BSS,获得预先配置的流量速率;在VPN获取到路由器所在区域的域内路由后,根据路由器所在区域的域内路由和预先配置的流量速率,生成BGP flowspec VPN路由。将BGP flowspec VPN路由发送至路由器,所述BGP flowspec VPN路由用于对汇聚后的被攻击目标的流量数据进行限速。
路由器在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速。
路由器将限速后的被攻击目标的流量数据发送至所述路由器的下一级设备,即业务控制层设备中,业务控制层设备将限速后的被攻击目标的流量数据发送至被攻击目标。
攻击结束后,流量转发路径恢复。
综上所述,在本发明实施例提出的系统中,SDN控制器可以根据被攻击目标的流量数据,生成BGP flowspec策略路由,而路由器可根据此BGP flowspec策略路由,对被攻击目标的流量数据进行汇聚;在被攻击目标的流量数据汇聚完后,SDN控制器生成BGP flowspecVPN路由,路由器在接收到BGP flowspec VPN路由后,根据 BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,将限速后的被攻击目标的流量数据发送至被攻击目标,上述过程未改变网络路由,只是通过对被攻击目标的流量数据进行汇聚并限速来达到既不中断被攻击目标的业务,也能保障网络中其他目标的业务不受影响,且上述过程无需在骨干设备上修改路由策略,避免了清洗设备上连网络拥塞,缩短了网络攻击时长,防御效果好。
本发明实施例还提出一种SDN控制器,图4为本发明实施例中SDN控制器的示意图,如图4所示,该SDN控制器包括:
BGP flowspec策略路由生成模块401,用于接收并根据被攻击目标的流量数据,生成BGP flowspec策略路由,将BGP flowspec策略路由发送至路由器,所述路由器在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚;
BGP flowspec VPN路由生成模块402,用于在被攻击目标的流量数据汇聚完后,生成BGP flowspec VPN路由,将BGP flowspec VPN路由发送至路由器,所述路由器在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速并将限速后的被攻击目标的流量数据发送至被攻击目标。
在一实施例中,SDN控制器还包括邻居关系建立模块403,用于:
在生成BGP flowspec策略路由之前,根据预设配置信息,建立与路由器之间的BGP邻居关系。
在一实施例中,邻居关系建立模块403具体用于:
根据预设配置信息,向路由器发送BGP flowspec路由,建立与路由器之间的BGP邻居关系。
在一实施例中,BGP flowspec VPN路由生成模块402具体用于:
根据与SDN控制器对接的BSS,获得预先配置的流量速率;
根据预先配置的流量速率,生成BGP flowspec VPN路由。
在一实施例中,BGP flowspec VPN路由生成模块402具体用于:
在VPN获取到路由器所在区域的域内路由后,根据路由器所在区域的域内路由和预先配置的流量速率,生成BGP flowspec VPN路由。
综上所述,在本发明实施例提出的SDN控制器中,SDN控制器可以根据被攻击目标的流量数据,生成BGP flowspec策略路由,而路由器可根据此BGP flowspec策略路由,对被攻击目标的流量数据进行汇聚;在被攻击目标的流量数据汇聚完后,SDN 控制器生成BGPflowspec VPN路由,路由器在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,将限速后的被攻击目标的流量数据发送至被攻击目标,上述过程未改变网络路由,只是通过对被攻击目标的流量数据进行汇聚并限速来达到既不中断被攻击目标的业务,也能保障网络中其他目标的业务不受影响,且上述过程无需在骨干设备上修改路由策略,避免了清洗设备上连网络拥塞,缩短了网络攻击时长,防御效果好。
基于同样的发明构思,本发明实施例还提供了一种网络攻击防御方法,如下面的实施例所述。由于这些解决问题的原理与SDN控制器相似,因此网络攻击防御方法的实施可以参见SDN控制器的实施,重复之处不在赘述。
图5为本发明实施例中网络攻击防御方法的流程图,如图5所示,该方法包括:
步骤501,接收并根据被攻击目标的流量数据,生成BGP flowspec策略路由,将BGP flowspec策略路由发送至路由器,所述路由器在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚;
步骤502,在被攻击目标的流量数据汇聚完后,生成BGP flowspec VPN路由,将BGPflowspec VPN路由发送至路由器,所述路由器在接收到BGP flowspec VPN路由后,根据BGPflowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速并将限速后的被攻击目标的流量数据发送至被攻击目标。
在一实施例中,在生成BGP flowspec策略路由之前,还包括:
根据预设配置信息,建立与路由器之间的BGP邻居关系。
在一实施例中,根据预设配置信息,建立与路由器之间的BGP邻居关系,包括:
根据预设配置信息,建立与路由器之间的BGP邻居关系
在一实施例中,生成BGP flowspec VPN路由,包括:
根据与SDN控制器对接的BSS,获得预先配置的流量速率;
根据预先配置的流量速率,生成BGP flowspec VPN路由。
在一实施例中,根据预先配置的流量速率,生成BGP flowspec VPN路由,包括:
在VPN获取到路由器所在区域的域内路由后,根据路由器所在区域的域内路由和预先配置的流量速率,生成BGP flowspec VPN路由。
综上所述,在本发明实施例提出的网络攻击防御方法中,可以根据被攻击目标的流量数据,生成BGP flowspec策略路由,而路由器可根据此BGP flowspec策略路由,对被攻击目标的流量数据进行汇聚;在被攻击目标的流量数据汇聚完后,生成BGP flowspec VPN路由,路由器在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,将限速后的被攻击目标的流量数据发送至被攻击目标,上述过程未改变网络路由,只是通过对被攻击目标的流量数据进行汇聚并限速来达到既不中断被攻击目标的业务,也能保障网络中其他目标的业务不受影响,且上述过程无需在骨干设备上修改路由策略,避免了清洗设备上连网络拥塞,缩短了网络攻击时长,防御效果好。
本发明实施例还提出一种路由器,图6为本发明实施例中路由器的示意图,如图 6所示,该路由器包括:
汇聚模块601,用于在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚,所述BGP flowspec策略路由是由SDN控制器根据被攻击目标的流量数据生成的;
限速模块602,用于在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,所述BGP flowspec VPN路由是由SDN控制器在被攻击目标的流量数据汇聚完后生成的;
转发模块603,用于将限速后的被攻击目标的流量数据发送至被攻击目标。
在一实施例中,汇聚模块601具体用于:
在接收到BGP flowspec策略路由后,将被攻击目标的流量数据转发到自环线内,所述自环线包括自环线入口和自环线出口,自环线入口为全局地址,自环线出口在 VPN中。
在一实施例中,转发模块603具体用于:
将限速后的被攻击目标的流量数据发送至所述路由器的下一级设备,所述路由器的下一级设备将限速后的被攻击目标的流量数据发送至被攻击目标。
综上所述,在本发明实施例提出的网络攻击防御方法中,SDN控制器可以根据被攻击目标的流量数据,生成BGP flowspec策略路由,而路由器可根据此BGP flowspec策略路由,对被攻击目标的流量数据进行汇聚;在被攻击目标的流量数据汇聚完后,生成BGPflowspec VPN路由,路由器在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,将限速后的被攻击目标的流量数据发送至被攻击目标,上述过程未改变网络路由,只是通过对被攻击目标的流量数据进行汇聚并限速来达到既不中断被攻击目标的业务,也能保障网络中其他目标的业务不受影响,且上述过程无需在骨干设备上修改路由策略,避免了清洗设备上连网络拥塞,缩短了网络攻击时长,防御效果好。
基于同样的发明构思,本发明实施例还提供了另一种网络攻击防御方法,如下面的实施例所述。由于这些解决问题的原理与路由器相似,因此另一种网络攻击防御方法的实施可以参见路由器的实施,重复之处不在赘述。
图7为本发明实施例中另一种网络攻击防御方法的流程图,如图7所示,该方法包括:
步骤701,在接收到BGP flowspec策略路由后,对被攻击目标的流量数据进行汇聚,所述BGP flowspec策略路由是由SDN控制器根据被攻击目标的流量数据生成的;
步骤702,在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,所述BGP flowspec VPN路由是由SDN 控制器在被攻击目标的流量数据汇聚完后生成的;
步骤703,将限速后的被攻击目标的流量数据发送至被攻击目标。
在一实施例中,对被攻击目标的流量数据进行汇聚,包括:
在接收到BGP flowspec策略路由后,将被攻击目标的流量数据转发到自环线内,所述自环线包括自环线入口和自环线出口,自环线入口为全局地址,自环线出口在 VPN中。
在一实施例中,将限速后的被攻击目标的流量数据发送至被攻击目标,包括:
将限速后的被攻击目标的流量数据发送至所述路由器的下一级设备,所述路由器的下一级设备将限速后的被攻击目标的流量数据发送至被攻击目标。
综上所述,在本发明实施例提出的网络攻击防御方法中,SDN控制器可以根据被攻击目标的流量数据,生成BGP flowspec策略路由,根据此BGP flowspec策略路由,对被攻击目标的流量数据进行汇聚;在被攻击目标的流量数据汇聚完后,生成 BGP flowspec VPN路由,在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN 路由,对汇聚后的被攻击目标的流量数据进行限速,将限速后的被攻击目标的流量数据发送至被攻击目标,上述过程未改变网络路由,只是通过对被攻击目标的流量数据进行汇聚并限速来达到既不中断被攻击目标的业务,也能保障网络中其他目标的业务不受影响,且上述过程无需在骨干设备上修改路由策略,避免了清洗设备上连网络拥塞,缩短了网络攻击时长,防御效果好。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等) 上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (14)

1.一种网络攻击防御系统,其特征在于,包括:
SDN控制器,与路由器连接,用于:
接收并根据被攻击目标的流量数据,生成BGP flowspec策略路由,将BGP flowspec策略路由发送至路由器,所述BGP flowspec策略路由用于对被攻击目标的流量数据进行汇聚;
在被攻击目标的流量数据汇聚完后,生成BGP flowspec VPN路由,将BGP flowspecVPN路由发送至路由器,所述BGP flowspec VPN路由用于对汇聚后的被攻击目标的流量数据进行限速;
路由器用于:
在接收到BGP flowspec策略路由后,将被攻击目标的流量数据汇聚到自环线内;其中,所述自环线包括自环线入口和自环线出口,自环线入口为全局地址,自环线出口在VPN中;
在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速;
将限速后的被攻击目标的流量数据发送至被攻击目标。
2.如权利要求1所述的网络攻击防御系统,其特征在于,还包括流量监控设备,用于:
在监测到网络攻击时,采集被攻击目标的流量数据;
将被攻击目标的流量数据发送至SDN控制器。
3.如权利要求1所述的网络攻击防御系统,其特征在于,SDN控制器还用于:
在生成BGP flowspec策略路由之前,根据预设配置信息,建立与路由器之间的BGP邻居关系。
4.如权利要求3所述的网络攻击防御系统,其特征在于,SDN控制器具体用于:
根据预设配置信息,向路由器发送BGP flowspec路由,建立与路由器之间的BGP邻居关系。
5.如权利要求1所述的网络攻击防御系统,其特征在于,SDN控制器具体用于:
根据与SDN控制器对接的BSS,获得预先配置的流量速率;
根据预先配置的流量速率,生成BGP flowspec VPN路由。
6.如权利要求5所述的网络攻击防御系统,其特征在于,SDN控制器具体用于:
在VPN获取到路由器所在区域的域内路由后,根据路由器所在区域的域内路由和预先配置的流量速率,生成BGP flowspec VPN路由。
7.如权利要求1所述的网络攻击防御系统,其特征在于,路由器具体用于:
将限速后的被攻击目标的流量数据发送至所述路由器的下一级设备,所述路由器的下一级设备将限速后的被攻击目标的流量数据发送至被攻击目标。
8.如权利要求1所述的网络攻击防御系统,其特征在于,被攻击目标的流量数据包括所有流入被攻击目标的DDOS流量和/或非DDOS流量。
9.一种SDN控制器,其特征在于,包括:
BGP flowspec策略路由生成模块,用于接收并根据被攻击目标的流量数据,生成BGPflowspec策略路由,将BGP flowspec策略路由发送至路由器,所述路由器在接收到BGPflowspec策略路由后,将被攻击目标的流量数据汇聚到自环线内;其中,所述自环线包括自环线入口和自环线出口,自环线入口为全局地址,自环线出口在VPN中;
BGP flowspec VPN路由生成模块,用于在被攻击目标的流量数据汇聚完后,生成BGPflowspec VPN路由,将BGP flowspec VPN路由发送至路由器,所述路由器在接收到BGPflowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速并将限速后的被攻击目标的流量数据发送至被攻击目标。
10.一种路由器,其特征在于,包括:
汇聚模块,用于在接收到BGP flowspec策略路由后,将被攻击目标的流量数据汇聚到自环线内;其中,所述自环线包括自环线入口和自环线出口,自环线入口为全局地址,自环线出口在VPN中,所述BGP flowspec策略路由是由SDN控制器根据被攻击目标的流量数据生成的;
限速模块,用于在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,所述BGP flowspec VPN路由是由SDN控制器在被攻击目标的流量数据汇聚完后生成的;
转发模块,用于将限速后的被攻击目标的流量数据发送至被攻击目标。
11.一种网络攻击防御方法,其特征在于,包括:
接收并根据被攻击目标的流量数据,生成BGP flowspec策略路由,将BGP flowspec策略路由发送至路由器,所述路由器在接收到BGP flowspec策略路由后,将被攻击目标的流量数据汇聚到自环线内;其中,所述自环线包括自环线入口和自环线出口,自环线入口为全局地址,自环线出口在VPN中;
在被攻击目标的流量数据汇聚完后,生成BGP flowspec VPN路由,将BGP flowspecVPN路由发送至路由器,所述路由器在接收到BGP flowspec VPN路由后,根据BGP flowspecVPN路由,对汇聚后的被攻击目标的流量数据进行限速并将限速后的被攻击目标的流量数据发送至被攻击目标。
12.一种网络攻击防御方法,其特征在于,包括:
在接收到BGP flowspec策略路由后,将被攻击目标的流量数据汇聚到自环线内;其中,所述自环线包括自环线入口和自环线出口,自环线入口为全局地址,自环线出口在VPN中,所述BGP flowspec策略路由是由SDN控制器根据被攻击目标的流量数据生成的;
在接收到BGP flowspec VPN路由后,根据BGP flowspec VPN路由,对汇聚后的被攻击目标的流量数据进行限速,所述BGP flowspec VPN路由是由SDN控制器在被攻击目标的流量数据汇聚完后生成的;
将限速后的被攻击目标的流量数据发送至被攻击目标。
13.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求11至12任一项所述方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求11至12任一项所述方法的计算机程序。
CN201910879833.2A 2019-09-18 2019-09-18 网络攻击防御系统、方法、sdn控制器、路由器、设备及介质 Active CN110636059B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910879833.2A CN110636059B (zh) 2019-09-18 2019-09-18 网络攻击防御系统、方法、sdn控制器、路由器、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910879833.2A CN110636059B (zh) 2019-09-18 2019-09-18 网络攻击防御系统、方法、sdn控制器、路由器、设备及介质

Publications (2)

Publication Number Publication Date
CN110636059A CN110636059A (zh) 2019-12-31
CN110636059B true CN110636059B (zh) 2021-04-30

Family

ID=68971521

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910879833.2A Active CN110636059B (zh) 2019-09-18 2019-09-18 网络攻击防御系统、方法、sdn控制器、路由器、设备及介质

Country Status (1)

Country Link
CN (1) CN110636059B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111277609A (zh) * 2020-02-24 2020-06-12 深圳供电局有限公司 一种sdn网络监控方法及系统
CN112866031B (zh) * 2021-02-05 2022-07-01 杭州迪普科技股份有限公司 路由配置方法、装置、设备及计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431449A (zh) * 2008-11-04 2009-05-13 中国科学院计算技术研究所 一种网络流量清洗系统
CN107959690A (zh) * 2018-01-16 2018-04-24 中国人民解放军国防科技大学 基于软件定义网络的DDoS攻击跨层协同防御方法
CN110149321A (zh) * 2019-05-06 2019-08-20 长沙市智为信息技术有限公司 一种应用于sdn网络中ddos攻击的检测及防御方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160182300A1 (en) * 2014-12-17 2016-06-23 Cisco Technology, Inc., A Corporation Of California Selective Configuring of Throttling Engines for Flows of Packet Traffic

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431449A (zh) * 2008-11-04 2009-05-13 中国科学院计算技术研究所 一种网络流量清洗系统
CN107959690A (zh) * 2018-01-16 2018-04-24 中国人民解放军国防科技大学 基于软件定义网络的DDoS攻击跨层协同防御方法
CN110149321A (zh) * 2019-05-06 2019-08-20 长沙市智为信息技术有限公司 一种应用于sdn网络中ddos攻击的检测及防御方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Dissemination of Flow Specification Rules;IETF;《RFC5575》;20090831;全文 *

Also Published As

Publication number Publication date
CN110636059A (zh) 2019-12-31

Similar Documents

Publication Publication Date Title
US10742556B2 (en) Tactical traffic engineering based on segment routing policies
EP3222005B1 (en) Passive performance measurement for inline service chaining
US8570861B1 (en) Reputation-based networking
CN107743109B (zh) 流量攻击的防护方法、控制装置、处理装置及系统
JP6510115B2 (ja) 負荷分散を実現するための方法、装置、およびネットワークシステム
CN104954367B (zh) 一种互联网全向跨域DDoS攻击防护方法
WO2021007963A1 (zh) 路由分发方法及控制器、信息路由方法及网络节点设备
CN102291455B (zh) 分布式集群处理系统及其报文处理方法
US20090010171A1 (en) Scaling BFD sessions for neighbors using physical / sub-interface relationships
WO2016079721A1 (en) Passive performance measurement for inline service chaining
EP1864449A2 (en) Method and apparatus for the creation and maintenance of a self-adjusting repository of service level diagnostics test points for network based vpns
JP2007201966A (ja) トラフィック制御方式、装置及びシステム
CN112187649B (zh) 一种报文转发方法、报文处理方法及装置
EP3195578A1 (en) Event driven route control
CN112532621B (zh) 一种流量清洗方法、装置、电子设备及存储介质
CN110636059B (zh) 网络攻击防御系统、方法、sdn控制器、路由器、设备及介质
CN106789637A (zh) 一种跨域业务互通的路径建立方法、控制器及系统
CN105656654A (zh) 路径获取方法和多域控制器、跨域业务保护方法和系统
US10069763B2 (en) Method to establish a non-disruptive communications path between multiple devices
CN106411735A (zh) 一种路由配置方法及装置
CN111953661A (zh) 一种基于sdn的东西向流量安全防护方法及其系统
CN110099002A (zh) 一种路径计算方法及装置
CN106982162B (zh) 用于转发业务流的方法、装置和系统
CN101674245B (zh) 出口路由过滤方法及装置
CN108599980A (zh) 一种故障诊断方法及其装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder
CP02 Change in the address of a patent holder

Address after: Room 702-2, No. 4811, Cao'an Highway, Jiading District, Shanghai

Patentee after: CHINA UNITECHS

Address before: 100872 5th floor, Renmin culture building, 59 Zhongguancun Street, Haidian District, Beijing

Patentee before: CHINA UNITECHS