CN112272194B - 一种可扩展的DDoS防御方法及系统 - Google Patents
一种可扩展的DDoS防御方法及系统 Download PDFInfo
- Publication number
- CN112272194B CN112272194B CN202011536065.XA CN202011536065A CN112272194B CN 112272194 B CN112272194 B CN 112272194B CN 202011536065 A CN202011536065 A CN 202011536065A CN 112272194 B CN112272194 B CN 112272194B
- Authority
- CN
- China
- Prior art keywords
- access switch
- message
- network segment
- srv6
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于实现可扩展的DDoS防御方法,该方法应用于DDoS防御系统,DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器,方法包括:为接入交换机和核心交换机部署SRv6;设置SRv6的压缩路由网段,为接入交换机和所述核心交换机的多个端口配置sid号和SRv6表项。根据本发明的另一个方面,还公开了可扩展的DDoS防御方法及系统,能够通过核心交换机和接入交换机使用的SRv6技术,给相应的接口编上sid号,从而实现集中控制所有路由,在新增其他防御设备时,减少重复工作量。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种可扩展的DDoS防御方法及系统。
背景技术
DDoS(Distributed Denial of Service,分布式拒绝服务攻击)是指攻击者通过控制网络中大量的设备向目标发送大流量数据,耗尽目标的资源,导致其无法正常的响应服务请求。由于网络协议缺乏安全考虑和它的开放性,使得DDOS攻击形式多样,在网络层、传输层、应用层都出现了各种各样的DDOS攻击手段,特别是近年来,DDOS攻击的趋势是攻击手段越来越多样,流量越来越大。
为了应对DDOS的攻击,通常采用目的地址、下一跳的路由方式、网络集群部署等方式进行应对。但是通过这种方式所部署的防御功能系统工作量大、变更复杂,且只适用于二层网络,集群规模有限,扩展性差。
发明内容
本发明所要解决的技术问题在于,提供一种可扩展的DDoS防御方法,能够通过核心交换机和接入交换机使用的SRv6技术,给相应的接口编上sid号,从而实现集中控制所有路由,而且SRv6实际上是一种隧道技术,支持三层部署,解决了扩展性问题,在新增其他防御设备时,减少重复工作量。
为了解决上述技术问题,本发明第一方面公开了一种用于实现可扩展的DDoS防御方法,所述方法应用于DDoS防御系统,所述DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器,所述方法包括:为接入交换机和核心交换机部署SRv6;设置所述SRv6的压缩路由网段,为所述接入交换机和所述核心交换机的多个端口配置sid号和SRv6表项。
在一些实施方式中,DDoS防御系统还包括硬件清洗机,所述方法包括:为硬件清洗机部署SRv6;为所述硬件清洗机的端口配置sid号和SRv6表项。
本发明第二方面公开了一种可扩展的DDoS防御方法,所述方法应用于DDoS防御系统,所述DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器,所述方法包括:检测当前是否存在攻击流量;当存在攻击流量时,基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号;获取所述攻击流量所对应的被攻击IP,下发所述被攻击IP的SRv6路由至所述核心交换机;所述核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机;所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
在一些实施方式中,防御系统还包括硬件清洗机,其中,所述硬件清洗机部署了SRv6,所述核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机,之后还包括:所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;硬件清洗机根据设置的压缩路由网段将报文发送至所述硬件清洗机对应的端口并对目的IP进行更改;所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
在一些实施方式中,防御系统还包括硬件清洗机,其中,所述硬件清洗机未部署SRv6,所述核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机,之后还包括:所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;硬件清洗机根据设置的压缩路由网段将报文发送至接入交换机;所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
本发明第三方面公开了一种可扩展的DDoS防御系统,该系统包括DDoS防御系统,所述DDoS防御系统包括:通过路由控制的接入交换机、核心交换机和清洗服务器,所述系统还包括:控制模块,用于检测当前是否存在攻击流量,当存在攻击流量时,基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号,获取所述攻击流量所对应的被攻击IP,下发所述被攻击IP的SRv6路由至所述核心交换机;所述核心交换机,还用于在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机;所述接入交换机,还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;所述清洗服务器,用于通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
在一些实施方式中,防御系统还包括硬件清洗机,其中,所述硬件清洗机部署了SRv6,所述接入交换机,还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;硬件清洗机,用于根据设置的压缩路由网段将报文发送至所述硬件清洗机对应的端口并对目的IP进行更改。
在一些实施方式中,防御系统还包括硬件清洗机,其中,所述硬件清洗机未部署SRv6,所述接入交换机,还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;硬件清洗机,用于根据设置的压缩路由网段将报文发送至接入交换机。
本发明第四方面公开了可扩展的DDoS防御装置,所述装置包括: 存储有可执行程序代码的存储器;与所述存储器耦合的处理器;所述处理器调用所述存储器中存储的所述可执行程序代码,执行如上述的可扩展的DDoS防御方法。
本发明第五方面公开了一种计算机存储介质,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如上述的可扩展的DDoS防御方法
与现有技术相比,本发明的有益效果在于:
实施本发明能够通过在核心交换机和接入交换机上都部署SRv6技术,以及给相应的接口部署sid号。再通过相应的负载均衡、路由计算等实现集中控制所有路由,这样在新增其他防御设备时,减少了重复工作量。并且,SRv6是一种隧道技术,支持三层部署,从而解决了扩展性问题。而且,由于普通的SRv6技术每个IPv6代表一个sid,若串联的设备过多,对硬件设备要求过高,且封装的报文头过长。本发明通过设置压缩网段,利用了SRv6的压缩技术,增加SRv6路径中的节点数,进一步提升了整个系统的扩展性。
附图说明
图1为本发明实施例公开的一种现有技术的基本的DDOS防御系统的示意图;
图2为本发明实施例公开的又一种现有技术的基本的DDOS防御系统的示意图;
图3为本发明实施例公开的一种用于实现可扩展的DDoS防御方法的流程示意图;
图4为本发明实施例公开的一种可扩展的DDoS防御方法的流程示意图;
图5为本发明实施例公开的又一种可扩展的DDoS防御方法的流程示意图;
图6为本发明实施例公开的另一种可扩展的DDoS防御方法的流程示意图;
图7为本发明实施例公开的又一种可扩展的DDoS防御方法的流程示意图;
图8为本发明实施例公开的另一种可扩展的DDoS防御方法的流程示意图;
图9为本发明实施例公开的又一种可扩展的DDoS防御方法的流程示意图;
图10是本发明实施例公开的一种可扩展的DDoS防御系统示意图;
图11是本发明实施例公开的一种可扩展的DDoS防御装置结构示意图。
具体实施方式
为了更好地理解和实施,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。
DDoS是指攻击者通过控制网络中大量的设备向目标发送大流量数据,耗尽目标的资源,导致其无法正常的响应服务请求。近些年发生了大量的DDOS攻击案例,给社会带来了很大的经济损失。由于网络协议缺乏安全考虑和它的开放性,使得DDOS攻击形式多样,在网络层、传输层、应用层都出现了各种各样的DDOS攻击手段。现今还时不时出现新的DDOS攻击方法。而且根据近些年的案例,DDOS攻击的流量越来越大。即DDOS攻击的趋势是攻击手段越来越多样,流量越来越大。
网络安全的本质是对抗与攻防。DDOS攻击方式的变化要求它的防御系统也需要动态的变化以对抗新的攻击。但是当前防御系统都是采用传统的目的地址、下一跳的路由方式网络部署。这种网络部署方式在部署新对抗业务时,扩展性差,配置复杂,工作量大。
如图1所示,为基本的DDOS防御系统的示意图。所有流量都先经过检测系统。若检测系统未发现攻击行为,则流量直接从路由器到核心交换机再留到服务器机房。反之,检查到有某个目的IP的流量有攻击行为。此目的IP的流量需要从核心交换机到接入交换机再到清洗服务器集群系统,清洗后余下的正常流量最后返回到服务器机房。要实现此流量走向,检测系统先通知控制系统,控制系统要用负载分担算法,计算流量该引到清洗服务器集群系统的那个节点,并下发路由策略(主要BGP引流或静态路由两种方式)给核心交换机实现引流。
但是,现实中的DDOS防御系统远比该防御系统复杂,因为不断有新的防御技术要加入系统。当前随着P4技术的发展,将部分清洗功能用硬件加速已成为一种热点。这种技术能够实现对某种类型的攻击流量完全在硬件清洗,提高了清洗带宽,节省了清洗服务器资源。当然一些应用层的攻击流量还需要被引到清洗服务器上清洗。这就要求流量既能先经过硬件清洗设备再到清洗服务器也能直接到清洗服务器。意味着硬件清洗设备需要旁路连接。如图2所示,其在图1的基础上加入了硬件清洗设备。则现有技术中检查到攻击行为后,控制系统需要下发路由控制命令将流量引到硬件清洗设备。硬件清洗设备需要负载均衡路由到后面的清洗服务器集群系统。这样就导致了控制系统、硬件清洗设备都要有负载均衡功能,有重复的工作量。如果在图2基础上再级联新的防御技术,网络将更复杂,工作量也更大。何况新的技术功能一般也需要集群部署。
另外,现有技术的引流方法只适用于二层网络,因为它要根据路由的下一跳对应的mac地址去转发,接入交换机只承担二层网络功能。集群无法大规模扩展。
综上,现有的DDOS防御系统实际上是多点路由控制系统,部署新的防御功能系统工作量大、变更复杂,且只适用于二层网络,集群规模有限,扩展性差。
本发明实施例公开了一种可扩展的DDoS防御方法及系统,能够通过在核心交换机和接入交换机上都部署SRv6技术,以及给相应的接口部署sid号。再通过相应的负载均衡、路由计算等实现集中控制所有路由,这样在新增其他防御设备时,减少了重复工作量。并且,SRv6是一种隧道技术,支持三层部署,从而解决了扩展性问题。而且,由于普通的SRv6技术每个IPv6代表一个sid,若串联的设备过多,对硬件设备要求过高,且封装的报文头过长。本发明通过设置压缩网段,利用了SRv6的压缩技术,增加SRv6路径中的节点数,进一步提升了整个系统的扩展性。
实施例一
请参阅图3,图3为本发明实施例公开的一种用于实现可扩展的DDoS防御方法的流程示意图。其中,该用于实现可扩展的DDoS防御方法可以应用在DDoS防御系统,DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器,对于该DDoS防御系统的具体实现本发明实施例不做限制。如图3所示,该用于实现可扩展的DDoS防御方法可以包括以下操作:
101、为接入交换机和核心交换机部署SRv6。
其中,SR(Segment Routing)是源路由技术的一种,SRv6即SR技术在IPv6网络平面的应用,为接入交换机和核心交换机部署SRv6,部署的方法可以通过收集接入交换机与核心交换机所在全网的拓扑信息,链路状态信息,并为其增加SRv6功能,可通过安装SRv6软件实现。
102、设置SRv6的压缩路由网段,为接入交换机和核心交换机的多个端口配置sid号和SRv6表项。
由于普通的SRv6技术每个IPv6代表一个sid,若串联的设备过多,对硬件设备要求过高,且封装的报文头过长。本发明通过设置压缩网段,利用了SRv6的压缩技术,增加SRv6路径中的节点数,进一步提升了整个系统的扩展性。其中,SRv6的压缩路由网段示例性地,可以表示为:1010::6161:0:0/96。并给相关设备端口编上适当的sid号,该sid号具有SR标签的功能,示例性地,可以根据网络选择设置为8bit位编码,且配置相应的SRv6表项,该SRv6表项用于流量的路由。
进一步地,DDoS防御系统还包括硬件清洗机,为硬件清洗机部署SRv6;为硬件清洗机的端口配置sid号和SRv6表项。同上述为核心交换机和接入交换机部署SRv6的方法一致。
由此,根据本实施例提供的用于实现可扩展的DDoS防御方法能够通过在核心交换机和接入交换机上都部署SRv6技术,以及给相应的接口部署sid号。这样在新增其他防御设备时,减少了重复工作量。并且,SRv6是一种隧道技术,支持三层部署,从而解决了扩展性问题。而且,由于普通的SRv6技术每个IPv6代表一个sid,若串联的设备过多,对硬件设备要求过高,且封装的报文头过长。本发明通过设置压缩网段,利用了SRv6的压缩技术,增加SRv6路径中的节点数,进一步提升了整个系统的扩展性。
实施例二
请参阅图4,图4为本发明实施例公开的一种可扩展的DDoS防御方法的流程示意图。其中,该可扩展的DDoS防御方法可以应用在DDoS防御系统,DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器,对于该DDoS防御系统的具体实现本发明实施例不做限制。如图4所示,该可扩展的DDoS防御方法可以包括以下操作:
其中,为了方便说明该步骤的具体实现方式,结合图5所述的系统进行说明。
201、检测当前是否存在攻击流量。
首先会捕获当前是否存在有攻击流量,检测的方式可以参考现有技术实现,并不作为本发明的重点。
202、当存在攻击流量时,基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号。
首先,在接入交换机的对应端口部署有sid号,如图5所示,例如包括:0*11、0*12、0*13,当检测到攻击流量时,由图示的控制系统通过负载均衡算法计算出流量分配到哪些端口上,以实现多台清洗服务器处理均等的攻击流量,例如计算结果为接入到路由与清洗服务器对应的接入交换机端口的sid号0*11上。
203、获取攻击流量所对应的被攻击IP,下发被攻击IP的SRv6路由至核心交换机。
获取的方式为通过对攻击流量的报文头进行解析,生成被攻击的IP信息。
204、核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机。
示例性地,设置目的地址为1010:6161:1100:0。基于SRv6标准协议在报文的二层头(TCP/IP协议中的以太头)后封装IPv6头。
接入交换机根据1010:6161:2100:0/96网段转到接入交换机。
205、接入交换机根据设置的压缩路由网段将报文发送至接入交换机对应的端口,并剥掉封装的IPv6头。
接入交换机就根据设置的1010:6161:1100:0网段将报文转到0*11口,之后通过对封装的IPv6头进行解析剥掉封装的IPV6头。
206、清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
根据上述步骤可以实现先将所有流量都先转给接入交换机,然后到清洗服务器,清洗服务器将攻击流量清洗掉,剩下正常流量会转给服务器,使得攻击行为被阻止,正常网站服务行为不受损。
由此,根据本实施例提供的可扩展的DDoS防御方法能够通过在核心交换机和接入交换机上都部署SRv6技术,以及给相应的接口部署sid号。这样在新增其他防御设备时,减少了重复工作量。并且,SRv6是一种隧道技术,支持三层部署,从而解决了扩展性问题。本发明通过设置压缩网段,利用了SRv6的压缩技术,增加SRv6路径中的节点数,进一步提升了整个系统的扩展性。
实施例三
请参阅图6,图6为本发明实施例公开的一种可扩展的DDoS防御方法的流程示意图。其中,该可扩展的DDoS防御方法可以应用在DDoS防御系统,DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器,对于该DDoS防御系统的具体实现本发明实施例不做限制。如图6所示,该可扩展的DDoS防御方法可以包括以下操作:
其中,为了方便说明该步骤的具体实现方式,结合图7所述的系统进行说明。其中,DDoS防御系统还包括硬件清洗机。
301、检测当前是否存在攻击流量。
首先会捕获当前是否存在有攻击流量,检测的方式可以参考现有技术实现,并不作为本发明的重点。
302、当存在攻击流量时,基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号。
首先,在接入交换机的对应端口部署有sid号,如图5所示,例如包括:0*11、0*12、0*13,当检测到攻击流量时,由图示的控制系统通过负载均衡算法计算出流量分配到哪些端口上,以实现多台清洗服务器处理均等的攻击流量,例如计算结果为接入到路由与清洗服务器对应的接入交换机端口的sid号0*11。
303、获取攻击流量所对应的被攻击IP,下发被攻击IP的SRv6路由至核心交换机。
获取的方式为通过对攻击流量的报文头进行解析,生成被攻击的IP信息。304、核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机。
示例性地,设置目的地址为1010:6161:1100:0。基于SRv6标准协议在报文的二层头(TCP/IP协议中的以太头)后封装IPv6头。
接入交换机根据1010:6161:2100:0/96网段转到接入交换机。
305、接入交换机根据设置的压缩路由网段将报文发送至接入交换机对应的端口并对目的IP进行更改。
示例性地,根据程序设置为接入交换机根据1010:6161:2100:0/104网段路由将报文转到0*21口并将目的IP后32位左移8位,即为1010:6161:2211:0。由此,可以减少报文头的长度,并实现源路由,从而节省了网络带宽资源和转发芯片的硬件资源。
306、硬件清洗机根据设置的压缩路由网段将报文发送至硬件清洗机对应的端口并对目的IP进行更改。
硬件清洗机根据1010:6161:2100:0/104网段路由将报文转到0*22口病将目的IP后32位左移8位即1010:6161:1100:0.由此,可以减少报文头的长度,并实现源路由,从而节省了网络带宽资源和转发芯片的硬件资源。
307、接入交换机根据设置的压缩路由网段将报文发送至接入交换机对应的端口,并剥掉封装的IPv6头。
接入交换机就根据设置的1010:6161:1100:0网段将报文转到0*11口,之后还剥掉封装的IPV6头。
308、清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
根据上述步骤可以实现先将所有流量都先转给接入交换机,然后到清洗服务器,清洗服务器将攻击流量清洗掉,剩下正常流量会转给服务器,使得攻击行为被阻止,正常网站服务行为不受损。
由此,根据本实施例提供的可扩展的DDoS防御方法能够通过在核心交换机和接入交换机上都部署SRv6技术,以及给相应的接口部署sid号。这样在新增其他防御设备时,减少了重复工作量。并且,SRv6是一种隧道技术,支持三层部署,从而解决了扩展性问题。本发明通过设置压缩网段,利用了SRv6的压缩技术,增加SRv6路径中的节点数,进一步提升了整个系统的扩展性。
实施例四
请参阅图8,图8为本发明实施例公开的一种可扩展的DDoS防御方法的流程示意图。其中,该可扩展的DDoS防御方法可以应用在DDoS防御系统,DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器,对于该DDoS防御系统的具体实现本发明实施例不做限制。如图8所示,该可扩展的DDoS防御方法可以包括以下操作:
其中,为了方便说明该步骤的具体实现方式,结合图9所述的系统进行说明。其中,DDoS防御系统还包括硬件清洗机。
401、检测当前是否存在攻击流量。
首先会捕获当前是否存在有攻击流量,检测的方式可以参考现有技术实现,并不作为本发明的重点。
402、当存在攻击流量时,基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号。
首先,在接入交换机的对应端口部署有sid号,如图5所示,例如包括:0*11、0*12、0*13,当检测到攻击流量时,由图示的控制系统通过负载均衡算法计算出路由与清洗服务器对应的接入交换机端口的sid号0*11。
403、获取攻击流量所对应的被攻击IP,下发被攻击IP的SRv6路由至核心交换机。
获取的方式为通过对攻击流量的报文头进行解析,生成被攻击的IP信息。404、核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机。
示例性地,设置目的地址为1010:6161:1100:0。
405、接入交换机根据设置的压缩路由网段将报文发送至接入交换机对应的端口并对目的IP进行更改。
示例性地,接入交换机根据1010:6161:2100:0/104网段路由将报文转到0*21口并将目的IP后32位左移8位,即为1010:6161:2211:0。由此,可以减少报文头的长度,并实现源路由,从而节省了网络带宽资源和转发芯片的硬件资源。
406、硬件清洗机根据设置的压缩路由网段将报文发送至接入交换机。
由于此时硬件清洗机未部署SRv6,所以可直接根据1010:6161:2100:0/104网段路由将报文转到接入交换机。由此,因为SRv6兼容IPv6,可以直接通过IPv6转发。即使新增的设备没有SRv6功能,也可以轻松接入系统。
407、接入交换机根据设置的压缩路由网段将报文发送至接入交换机对应的端口,并剥掉封装的IPv6头。
接入交换机就根据设置的1010:6161:1100:0网段将报文转到0*11口,之后还剥掉封装的IPV6头。
408、清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
根据上述步骤可以实现先将所有流量都先转给接入交换机,然后到清洗服务器,清洗服务器将攻击流量清洗掉,剩下正常流量会转给服务器,使得攻击行为被阻止,正常网站服务行为不受损。
由此,根据本实施例提供的可扩展的DDoS防御方法能够通过在核心交换机和接入交换机上都部署SRv6技术,以及给相应的接口部署sid号。这样在新增其他防御设备时,减少了重复工作量。并且,SRv6是一种隧道技术,支持三层部署,从而解决了扩展性问题。本发明通过设置压缩网段,利用了SRv6的压缩技术,增加SRv6路径中的节点数,进一步提升了整个系统的扩展性。
实施例五
请参阅图10,图10为本发明实施例公开的一种可扩展的DDoS防御系统示意图。其中,如图10所示,该系统包括:
DDoS防御系统5,DDoS防御系统5包括:通过路由控制的接入交换机501、核心交换机502和清洗服务器503,
该系统还包括:控制模块6,用于检测当前是否存在攻击流量,当存在攻击流量时,基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号,具体实现为:当存在攻击流量时,基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号。首先,在接入交换机的对应端口部署有sid号,例如包括:0*11、0*12、0*13,当检测到攻击流量时,由图示的控制系统通过负载均衡算法计算出流量分配到哪些端口上,以实现多台清洗服务器处理均等的攻击流量,例如计算结果为接入到路由与清洗服务器对应的接入交换机端口的sid号0*11上。
获取攻击流量所对应的被攻击IP,在本实施例中可以通过对攻击流量的报文头进行解析,生成被攻击的IP信息,下发被攻击IP的SRv6路由至核心交换机;其中,核心交换机502,还用于在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机;接入交换机501,还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头。
清洗服务器503,用于通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。根据上述模块可以实现先将所有流量都先转给接入交换机,然后到清洗服务器,清洗服务器将攻击流量清洗掉,剩下正常流量会转给服务器,使得攻击行为被阻止,正常网站服务行为不受损。
进一步地,作为一种优选实施方式中,该防御系统还包括硬件清洗机7,其中,硬件清洗机部署了SRv6,接入交换机501,还用于根据设置的压缩路由网段将报文发送至接入交换机对应的端口并对目的IP进行更改,示例性地,根据程序设置为接入交换机根据1010:6161:2100:0/104网段路由将报文转到0*21口并将目的IP后32位左移8位,即为1010:6161:2211:0。由此,可以减少报文头的长度,并实现源路由,从而节省了网络带宽资源和转发芯片的硬件资源。
硬件清洗机503,用于根据设置的压缩路由网段将报文发送至硬件清洗机对应的端口并对目的IP进行更改。示例性地,硬件清洗机根据1010:6161:2100:0/104网段路由将报文转到0*22口病将目的IP后32位左移8位即1010:6161:1100:0.由此,可以减少报文头的长度,并实现源路由,从而节省了网络带宽资源和转发芯片的硬件资源。
进一步地,作为一种优选实施方式中,该防御系统还包括硬件清洗机7,其中,硬件清洗机未部署SRv6,接入交换机501还用于根据设置的压缩路由网段将报文发送至接入交换机501对应的端口并对目的IP进行更改;硬件清洗机7用于根据设置的压缩路由网段将报文发送至接入交换机。由于此时硬件清洗机未部署SRv6,所以可直接根据1010:6161:2100:0/104网段路由将报文转到接入交换机。由此,因为SRv6兼容IPv6,可以直接通过IPv6转发。即使新增的设备没有SRv6功能,也可以轻松接入系统。
由此,根据本实施例提供的可扩展的DDoS防御系统能够通过在核心交换机和接入交换机上都部署SRv6技术,以及给相应的接口部署sid号。这样在新增其他防御设备时,减少了重复工作量。并且,SRv6是一种隧道技术,支持三层部署,从而解决了扩展性问题。本发明通过设置压缩网段,利用了SRv6的压缩技术,增加SRv6路径中的节点数,进一步提升了整个系统的扩展性。
实施例六
请参阅图11,图11是本发明实施例公开的一种可扩展的DDoS防御装置的结构示意图。其中,图11所描述的可扩展的DDoS防御装置可以应用在DDoS防御系统,对于该可扩展的DDoS防御装置的应用系统本发明实施例不做限制。如图11所示,该装置可以包括:
存储有可执行程序代码的存储器601;
与存储器601耦合的处理器602;
处理器602调用存储器601中存储的可执行程序代码,用于执行实施例一至实施例三所描述的可扩展的DDoS防御方法。
实施例七
本发明实施例公开了一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,该计算机程序使得计算机执行实施例一所描述的可扩展的DDoS防御方法。
实施例八
本发明实施例公开了一种计算机程序产品,该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,且该计算机程序可操作来使计算机执行实施例一或实施例二中所描述的可扩展的DDoS防御方法。
以上所描述的实施例仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施例的具体描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、一次可编程只读存储器(One-timeProgrammable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
最后应说明的是:本发明实施例公开的一种可扩展的DDoS防御方法及系统所揭露的仅为本发明较佳实施例而已,仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各项实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。
Claims (8)
1.一种可扩展的DDoS防御方法,其特征在于,所述方法应用于DDoS防御系统,所述DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器,所述方法包括:
检测当前是否存在攻击流量;
当存在攻击流量时,基于负载均衡算法,计算路由以及清洗服务器均对应的接入交换机端口的sid号;
获取所述攻击流量所对应的被攻击IP,下发所述被攻击IP的SRv6路由至所述核心交换机;
所述核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机;
所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;
所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
2.根据权利要求1所述的可扩展的DDoS防御方法,其特征在于,所述DDoS防御系统还包括硬件清洗机,其中,所述硬件清洗机部署了SRv6,所述核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机,之后还包括:
所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;
硬件清洗机根据设置的压缩路由网段将报文发送至所述硬件清洗机对应的端口并对目的IP进行更改;
所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;
所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
3.根据权利要求1所述的可扩展的DDoS防御方法,其特征在于,所述DDoS防御系统还包括硬件清洗机,其中,所述硬件清洗机未部署SRv6,所述核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机,之后还包括:
所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;
硬件清洗机根据设置的压缩路由网段将报文发送至接入交换机;
所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;
所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
4.一种可扩展的DDoS防御系统,包括:通过路由控制的接入交换机、核心交换机和清洗服务器,其特征在于,所述系统还包括:
控制模块,用于检测当前是否存在攻击流量,当存在攻击流量时,基于负载均衡算法,计算路由以及清洗服务器均对应的接入交换机端口的sid号,获取所述攻击流量所对应的被攻击IP,下发所述被攻击IP的SRv6路由至所述核心交换机;
所述核心交换机,用于在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机;
所述接入交换机,用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;
所述清洗服务器,用于通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
5.根据权利要求4所述的可扩展的DDoS防御系统,其特征在于,所述DDoS防御系统还包括硬件清洗机,其中,所述硬件清洗机部署了SRv6,
所述接入交换机,还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;
硬件清洗机,用于根据设置的压缩路由网段将报文发送至所述硬件清洗机对应的端口并对目的IP进行更改。
6.根据权利要求4所述的可扩展的DDoS防御系统,其特征在于,所述DDoS防御系统还包括硬件清洗机,其中,所述硬件清洗机未部署SRv6,
所述接入交换机,还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;
硬件清洗机,用于根据设置的压缩路由网段将报文发送至接入交换机。
7.可扩展的DDoS防御装置,其特征在于,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-3任一项所述的可扩展的DDoS防御方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令被处理器执行时实现如权利要求1-3任一项所述的可扩展的DDoS防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011536065.XA CN112272194B (zh) | 2020-12-23 | 2020-12-23 | 一种可扩展的DDoS防御方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011536065.XA CN112272194B (zh) | 2020-12-23 | 2020-12-23 | 一种可扩展的DDoS防御方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112272194A CN112272194A (zh) | 2021-01-26 |
CN112272194B true CN112272194B (zh) | 2021-03-30 |
Family
ID=74350227
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011536065.XA Active CN112272194B (zh) | 2020-12-23 | 2020-12-23 | 一种可扩展的DDoS防御方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112272194B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113904867B (zh) * | 2021-10-30 | 2023-07-07 | 杭州迪普科技股份有限公司 | 用于vxlan二层组网的流量处理方法及系统 |
CN116866243A (zh) * | 2022-03-28 | 2023-10-10 | 华为技术有限公司 | 流量回注方法及防护系统 |
CN114978600B (zh) * | 2022-04-25 | 2023-06-23 | 中国联合网络通信集团有限公司 | 异常流量处理方法、系统、设备及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10567441B2 (en) * | 2018-01-14 | 2020-02-18 | Cisco Technology, Inc. | Distributed security system |
US20190297017A1 (en) * | 2018-03-23 | 2019-09-26 | Cisco Technology, Inc. | Managing network congestion using segment routing |
CN111130811B (zh) * | 2019-12-24 | 2022-09-30 | 广东省新一代通信与网络创新研究院 | 基于段路由的宽带接入方法、bras控制器以及数据中心系统 |
-
2020
- 2020-12-23 CN CN202011536065.XA patent/CN112272194B/zh active Active
Non-Patent Citations (1)
Title |
---|
SRv6可编程技术-SRv6 Policy;胡志波;《SDNLAB》;20200331;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112272194A (zh) | 2021-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112272194B (zh) | 一种可扩展的DDoS防御方法及系统 | |
CN106936777B (zh) | 基于OpenFlow的云计算分布式网络实现方法、系统 | |
US7039720B2 (en) | Dense virtual router packet switching | |
CA3080526C (en) | Ip mpls pop virtualization and fault tolerant virtual router | |
CN102035676B (zh) | 基于arp协议交互的链路故障检测与恢复的方法和设备 | |
US8396053B2 (en) | Method and apparatus for VLAN-based selective path routing | |
CN108429680B (zh) | 一种基于虚拟私有云的路由配置方法、系统、介质及设备 | |
CN105791072A (zh) | 以太虚拟网络的接入方法及装置 | |
CN103634423B (zh) | 一种基于三层接口的mpls‑tp配置方法及装置 | |
CN107547340B (zh) | 一种报文转发方法和装置 | |
CN110311860B (zh) | Vxlan下多链路负载均衡方法及装置 | |
CN111614541A (zh) | 公有云网络物理主机加入vpc的方法 | |
CN113973082A (zh) | 一种报文处理方法及网络设备 | |
CN112822037B (zh) | 一种安全资源池的流量编排方法及系统 | |
CN108881013B (zh) | 控制网关模式的方法、系统、sdn控制器和接入设备 | |
CN116582476A (zh) | 绑定段标识的处理方法及设备 | |
CN107645402A (zh) | 一种路由管理方法和装置 | |
CN110191042B (zh) | 一种报文转发方法及装置 | |
CN115695279A (zh) | 一种基于第6版互联网协议的段路由SRv6的通信方法 | |
CN105939262B (zh) | 标签分配的方法及装置 | |
JP4289562B2 (ja) | トラフィック分離用のフィルタ | |
US20230164070A1 (en) | Packet sending method, device, and system | |
CN109412851B (zh) | 链路层路径检测方法、装置及系统 | |
CN108768845B (zh) | 一种多归属主机路由同步方法及装置 | |
WO2022166465A1 (zh) | 一种报文处理方法及相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |