CN113660199B - 流量攻击的防护方法、装置、设备及可读存储介质 - Google Patents

流量攻击的防护方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN113660199B
CN113660199B CN202110762569.1A CN202110762569A CN113660199B CN 113660199 B CN113660199 B CN 113660199B CN 202110762569 A CN202110762569 A CN 202110762569A CN 113660199 B CN113660199 B CN 113660199B
Authority
CN
China
Prior art keywords
traffic
attack
isp network
black hole
isp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110762569.1A
Other languages
English (en)
Other versions
CN113660199A (zh
Inventor
郭志鸿
王晓琳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wangsu Science and Technology Co Ltd
Original Assignee
Wangsu Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wangsu Science and Technology Co Ltd filed Critical Wangsu Science and Technology Co Ltd
Priority to CN202110762569.1A priority Critical patent/CN113660199B/zh
Publication of CN113660199A publication Critical patent/CN113660199A/zh
Application granted granted Critical
Publication of CN113660199B publication Critical patent/CN113660199B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种流量攻击的防护方法、装置、设备及可读存储介质,抗攻击节点将ISP网络的流量发送给调控中心,调控中心确定在哪些第一ISP网络上部署黑洞路由后,向抗攻击节点发送黑洞指令,以使得抗攻击节点触发流量攻击的防护第一ISP网络部署黑洞路由。调控中心发送黑洞指令后,还接收来自抗攻击节点的第二流量,根据第二流量确定是否取消流量攻击的防护第一ISP网络上的黑洞路由。采用该种方案,通过在第一ISP网络中部署黑洞路由,并根据第二ISP网络的流量确定是否取消黑洞路由的时机,避免抗攻击节点崩溃的同时,及时取消黑洞路由,实现提高业务质量的目的。

Description

流量攻击的防护方法、装置、设备及可读存储介质
技术领域
本申请涉及网络安全技术领域,特别涉及一种流量攻击的防护方法、装置、设备及可读存储介质。
背景技术
随着互联网技术的发展与应用普及,很多业务面临着更多、更复杂的网络攻击行为。其中,分布式拒绝服务(Distributed Denial of Service,DDoS)便是一种较为严重的网络攻击行为,它利用大量的傀儡机对某个系统同时发起攻击,使得受攻击的系统因带宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问。
目前,为了防护DDoS攻击往往使用大带宽的节点。通过大带宽的节点对来自各个互联网服务提供商ISP(Internet Service Provider,ISP)网络的流量进行清洗等防护。
然而,一旦流量超过大带宽节点的承受范围时,该节点发生异常,甚至导致网络瘫痪,严重影响业务质量。
发明内容
本申请一种流量攻击的防护方法、装置、设备及可读存储介质,当流量超过抗攻击节点的承受范围时,在第一ISP网络中部署黑洞路由,并根据第二ISP网络的流量确定是否取消黑洞路由的时机,避免抗攻击节点崩溃的同时,及时取消黑洞路由以恢复业务,提高业务质量。
第一方面,本申请实施例提供一种流量攻击的防护方法,所述方法应用于调控中心,所述调控中心和抗攻击节点连接,所述抗攻击节点和至少两个互联网服务提供商ISP网络连接,所述方法包括:
根据第一流量确定在至少一个第一ISP网络内部署黑洞路由,所述第一流量包含所述至少两个ISP网络中每个ISP网络的流量,所述第一ISP网络是所述至少两个ISP网络中的ISP网络;
向所述抗攻击节点发送黑洞指令,以使得所述抗攻击节点触发所述至少一个第一ISP网络部署所述黑洞路由;
根据第二流量确定是否取消所述至少一个第一ISP网络中的黑洞路由,所述第二流量至少包含所述第二ISP网络的流量,所述第二流量是所述调控中心接收到所述第一流量之后接收的流量,所述第二ISP网络的带宽小于所述第一ISP网络的带宽。
第二方面,本申请实施例提供一种流量攻击的防护方法,所述方法应用于抗攻击节点,所述抗攻击节点和调控中心连接,所述抗攻击节点和至少两个互联网服务提供商ISP网络连接,所述方法包括:
向所述调控中心发送第一流量,所述第一流量包含所述至少两个ISP网络中每个ISP网络的流量;
接收来自所述调控中心的黑洞指令;
根据所述黑洞指令生成黑洞路由;
向至少一个第一ISP网络发送所述黑洞路由以在所述至少一个第一ISP网络内部署所述黑洞路由,所述第一ISP网络是所述至少两个ISP网络中的ISP网络;
向所述调控中心发送第二流量,所述第二流量至少包含所述至少两个ISP网络中第二ISP网络的流量,所述第二ISP网络的带宽小于所述第一ISP网络的带宽。
第三方面,本申请实施例提供一种流量攻击的防护装置,包括:
确定模块,用于根据第一流量确定在至少一个第一ISP网络内部署黑洞路由,所述第一流量包含至少两个ISP网络中每个ISP网络的流量,所述第一ISP网络是所述至少两个ISP网络中的ISP网络,所述至少两个ISP网络和抗攻击节点连接;
收发模块,用于向所述抗攻击节点发送黑洞指令,以使得所述抗攻击节点触发所述至少一个第一ISP网络部署所述黑洞路由;
处理模块,用于根据第二流量确定是否取消所述至少一个第一ISP网络中的黑洞路由,所述第二流量至少包含所述第二ISP网络的流量,所述第二流量是所述调控中心接收到所述第一流量之后接收的流量,所述第二ISP网络的带宽小于所述第一ISP网络的带宽。
第四方面,本申请实施例提供一种流量攻击的防护装置,包括:
发送模块,用于向调控中心发送第一流量,所述第一流量包含至少两个ISP网络中每个ISP网络的流量,所述至少两个ISP网络和抗攻击节点连接;
接收模块,用于接收来自所述调控中心的黑洞指令;
处理模块,用于根据所述黑洞指令生成黑洞路由;
所述发送模块,还用于向至少一个第一ISP网络发送所述黑洞路由以在所述至少一个第一ISP网络内部署所述黑洞路由,所述第一ISP网络是所述至少两个ISP网络中的ISP网络;
所述发送模块,还用于向所述调控中心发送第二流量,所述第二流量至少包含所述至少两个ISP网络中第二ISP网络的流量,所述第二ISP网络的带宽小于所述第一ISP网络的带宽。
第五方面,本申请实施例提供一种电子设备,包括:处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时使得所述电子设备实现如上第一方面或第一方面各种可能的实现方式所述的方法。
第六方面,本申请实施例提供一种电子设备,包括:处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时使得所述电子设备实现如上第二方面或第二方面各种可能的实现方式所述的方法。
第七方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机指令,所述计算机指令在被处理器执行时用于实现如上第一方面或第一方面各种可能的实现方式所述的方法。
第八方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机指令,所述计算机指令在被处理器执行时用于实现如上第二方面或第二方面各种可能的实现方式所述的方法。
第九方面,本申请实施例提供一种包含计算程序的计算机程序产品,所述计算机程序被处理器执行时实现如上第一方面或第一方面各种可能的实现方式所述的方法。
第十方面,本申请实施例提供一种包含计算程序的计算机程序产品,所述计算机程序被处理器执行时实现如上第二方面或第二方面各种可能的实现方式所述的方法。
本申请实施例提供的流量攻击的防护方法、装置、设备及可读存储介质,抗攻击节点和多个ISP网络连接,多个ISP网络包括大带宽的第一ISP网络和小带宽的第二ISP网络。抗攻击节点将该些ISP网络的流量发送给调控中心,调控中心确定在哪些第一ISP网络上部署黑洞路由后,进而向抗攻击节点发送黑洞指令,以使得抗攻击节点根据黑洞指令触发至少一个第一ISP网络部署黑洞路由。调控中心发送黑洞指令后,还继续接收通过第二ISP网络到达抗攻击节点的第二流量,根据第二流量确定是否取消至少一个第一ISP网络上的黑洞路由。采用该种方案,通过在第一ISP网络中部署黑洞路由,减少抗攻击节点对攻击流量清洗的压力,并根据第二ISP网络的流量实时监控攻击流量的状态,确定是否取消黑洞路由的时机,避免抗攻击节点崩溃的同时,及时取消黑洞路由以恢复业务,实现提高业务质量的目的。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的流量攻击的防护方法的应用场景示意图;
图2是本申请实施例提供的流量攻击的防护方法所适用的防护系统的架构图;
图3是本申请实施例提供的流量攻击防护方法所适用的系统的简化示意图;
图4是本申请实施例提供的流量攻击的防护方法的流程图;
图5A是本申请实施例提供的流量攻击的防护方法中发起攻击的示意图;
图5B是本申请实施例提供的流量攻击的防护方法中攻击流量转发的示意图;
图5C是本申请实施例提供的流量攻击的防护方法中攻击流量到达抗攻击节点的示意图;
图5D是本申请实施例提供的流量攻击的防护方法中攻击流量到达调控中心的示意图;
图5E是本申请实施例提供的流量攻击的防护方法中生成黑洞命令的示意图;
图5F是本申请实施例提供的流量攻击的防护方法中转发黑洞路由的示意图;
图5G是本申请实施例提供的流量攻击的防护方法中部署黑洞路由的示意图;
图5H是本申请实施例提供的流量攻击的防护方法中监控攻击流量的示意图;
图5I是本申请实施例提供的流量攻击的防护方法中生成取消黑洞指令的示意图;
图5J是本申请实施例提供的流量攻击的防护方法中发送取消黑洞指令的示意图;
图6为本申请实施例提供的一种流量攻击的防护装置的示意图;
图7为本申请实施例提供的另一种流量攻击的防护装置的示意图;
图8为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
随着业务的全球化部署,内容分发网络(Content Delivery Network,CDN)与云计算领域的竞争等越来越激烈,客户对服务的要求也愈发严苛。一些关键业务,如物联网业务等往往遭受DDOS攻击。DDoS与物联网的关系越来越紧密,物联网设备已经成为大规模DDoS攻击中的一个常见目标,随着物联网的爆发,也为攻击者提供了入侵易受攻击连网设备的绝佳机会,尤其是构建僵尸网络(恶意软件感染的连网设备网络,可用于向目标服务器发送大量请求)等对网络安全造成了严重影响。频繁的DDoS攻击使得业务无法正常开展运行,严重影响相关业务的指令。显然,伴随万物互联而来的不止有智能化的生活,背后的安全性同样不容忽视。
目前,为应对DDoS攻击,常见的做法是在在网络中部署一个大带宽的节点,利用该节点对各ISP网络的攻击流量进行清洗等防护。
该方式要求节点具有大带宽。然而,一旦流量超过大带宽节点的承受范围时,该节点发生异常,甚至导致网络瘫痪,严重影响业务质量。
基于此,本申请实施例提供一种流量攻击的防护方法、装置、设备及可读存储介质,当流量超过抗攻击节点的承受范围时,在第一ISP网络中部署黑洞路由,并根据第二ISP网络的流量确定是否取消黑洞路由的时机,避免抗攻击节点崩溃的同时,及时取消黑洞路由以恢复业务,提高业务质量。
图1是本申请实施例提供的流量攻击的防护方法的应用场景示意图。请参照图1,该应用场景包括终端设备101和服务器102,终端设备101和服务器102之间通过网络连接,用户通过终端设备101访问服务器102。例如,从服务器102下载音视频、搜索文章等。
黑客向服务器102发起DDoS攻击时,造成网络拥塞,从而使得服务不可达,即用户无法下载音视频、搜索文章等。攻击过程中,黑客使用网络上两个或以上被攻陷的电脑等作为僵尸向服务器102发起攻击,攻击的目的在于使得服务器102的网络或系统资源耗尽,暂时中断或停止服务,导致用户无法访问。
本申请实施例中,终端设备101为用户使用的电子设备,该电子设备可以是个人计算机、手机、平板电脑、笔记本、电子书阅读器等具有一定计算能力的设备。该电子设备上可运行即时通讯类软件及网站或者社交类软件及网站等。各终端设备101通过无线网络与服务器102连接.
服务器102可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
需要说明的是,上述两个终端设备只是举例说明,在本公开实施例中实际一般可涉及若干终端设备。
图2是本申请实施例提供的流量攻击的防护方法所适用的防护系统的架构图。请参照图2,该整体架构包括至少两个ISP网络21、抗攻击节点22、主调控中心23和备调控中心24。一个抗攻击节点22与至少两个ISP网络21连接,主调控中心23和一个或多个抗攻击节点22连接。图中仅示出了ISP1和ISP2。然而,本申请实施例并不以此为限制,其他可行的实现方式中,还可以包括更多的ISP网络。
ISP网络21包含骨干路由器211、边缘路由器212、边缘路由器213等。边缘路由器212用于和抗攻击节点22中的核心路由器221连接,边缘路由器213用于和用户的终端设备连接,终端设备上运行客户(client)端。
抗攻击节点22包括核心路由器221、交换机222、清洗设备223和服务器224等。核心路由器221和ISP网络的边缘路由器212建立边界网关协议(border gateway protocol,BGP)邻居关系。服务器224是可能被黑客攻击的、受保护的服务器。当抗攻击节点22接收到的待分析流量比较小时,由清洗设备222对待分析流量进行清洗,以清洗掉攻击流量,并将清洗后的流量回注网络。当抗攻击节点22接收到的待分析流量比较大时,抗攻击节点22的核心路由器221将该待分析流量发送给主调控中心23,由主调控中心分析决策在哪些ISP网络中部署黑洞路由。
主调控中心23和备调控中心24上均部署流量分析系统、决策系统和策略分发系统。主调控中心23和备调控中心24保持同步,进行可靠性校验。主调控中心23和备调控中心24都有心跳检测。默认情况下,主调控中心23负责抗攻击节点22的调控任务,并将相关信息同步给备调控中心24。当主调控中心23故障或软件升级时,备调控中心24接手调控工作。
需要说明的是,虽然图2中是以主调控中心23和备调控中心24同时存在为例进行说明。然而,本申请实施例并不限制,其他可行的实现方式中,也可以只设置主调控中心23而不设置备调控中心24,也就是说,只设置一个调控中心。
请参照图2,黑客未发起DDoS攻击时,用户通过电子设备登录受保护服务器224享受上网服务。各个ISP网络21的流量经由抗攻击节点22到达主调控中心23。主调控中心23对流量进行分析,判断出没有攻击流量后,将流量回注,使得用户享受上网服务。
当黑客发起DDoS攻击时,大量被攻陷的主机同时访问受保护的服务器224。此时,各个ISP网络21的流量经由抗攻击节点22到达主调控中心23,以下将该流量称之为第一流量。主调控中心23判断出第一流量中包含攻击流量后,根据受攻击的服务器的IP地址等,生成黑洞命令并发送给抗攻击节点22。抗攻击节点22收到黑洞命令后,根据黑洞命令生成黑洞路由,根据BGP邻居关系将黑洞路由宣告给第一ISP网络,如图中的ISP1。ISP1网络内的各网络节点根据BGP邻居关系宣告黑洞路由,从而在ISP1内的边缘路由器212、骨干路由器211、边缘路由器213上部署黑洞路由,使得ISP1内部不再转发攻击流量。
由于第二ISP网络,如图中的ISP2中的各网络节点(包括骨干路由器211、边缘路由器212、边缘路由器213)上未部署黑洞路由,因此,ISP2继续转发流量,包括攻击流量和正常的访问流量。
主调控中心23判断出第一流量中包含攻击流量之后,继续接收来自抗攻击节点22的第二流量。这时,由于第一ISP网络中已经部署了黑洞路由,因此,即使第一ISP网络中和黑客的客户端连接的边缘路由器213接收到攻击流量,由于边缘路由器213上部署了黑洞路由,因此边缘路由器213不会将攻击流量转发给第一ISP网络的骨干网络。也就是说,第一ISP网络内不转发。而第二ISP网络上未部署黑洞路由,因此,只要攻击未停止,第二ISP网络的流量中肯定包含攻击流量。主调控中心23持续监测第二流量,当监测出第二流量中攻击流量的占比比较小或者第二流量中不存在攻击流量时,向抗攻击节点22发送黑洞取消指令,以取消黑洞路由。
图3是本申请实施例提供的流量攻击防护方法所适用的系统的简化示意图。请参照图3,该系统包括至少两个ISP网络31,如图中的第一ISP网络和第二ISP网络。其中,第一ISP网络31包括基于NTT的ISP网络和基于Telia的ISP网络。第二ISP网络31例如为基于TATA的ISP网络。
该系统还包括抗攻击节点32、主调控中心33和备调控中心34。抗攻击节点32的核心路由器和各ISP网络的边缘路由器建立BGP路由。也就是说,抗攻击节点32有多个BGP线路,BGP线路也称之为传输线路。每个ISP网络对应一个BGP线路。
主调控中心33和备调控中心34部署在全球跨区域的两个地区。例如,主调控中心33部署在美洲,备调控中心34部署在亚洲。或者,主调控中心33和备调控中心34部署在一个区域的两个地区,比如,主调控中心33部署在亚洲东部,备调控中心部署在亚洲西部。
请参照图3,第一ISP网络的带宽大于第二ISP网络的带宽。例如,第一ISP网络的带宽为100G,第二ISP网络的带宽为1G。
主调控中心33和备调控中心34上分别部署流量分析系统、决策系统和策略分发系统。策略分发系统和抗攻击节点32中的核心路由器建立BGP邻居关系,用于策略分发工作。
图3中没有示意出受攻击的服务器等。
本申请实施例中,路由宣告通过BGP来实现,BGP是运行于传输控制协议(Transmission Control Protocol,TCP)上的一种自治系统的路由协议,用于自治系统之间动态交换路由信息。
下面,在上述图1-图3的基础上,对本申请实施例提供的流量攻击的防护方法进行详细说明。示例性的,请参照图4。
图4是本申请实施例提供的流量攻击的防护方法的流程图。本实施例是从调控中心和抗攻击节点交互的角度进行说明。以下若未做特殊说明,调控中心可以是主调控中心也可以是备调控中心。本实施例包括:
401、抗攻击节点向调控中心发送第一流量。
相应的,调控中心接收来自抗攻击节点的第一流量。
其中,第一流量包含所述至少两个ISP网络中每个ISP网络的流量,该第一流量包括了攻击流量和正常流量。
请参照图2,用户利用电子设备上的客户端发起访问服务器的访问请求,该些访问请求产生的流量在ISP网络内传输,到达与抗攻击节点连接的边缘路由器。边缘路由器将该些流量发送给抗攻击节点。这样一来,抗攻击节点就能够接收到各个ISP网络的流量。
抗攻击节点接收到各个ISP网络的流量后,汇总该些流量得到第一流量,并将第一流量发送给调控中心。例如,抗攻击节点将第一流量实时发送给调控中心。再如,当第一流量比较小时,抗攻击节点自己对第一流量进行清洗等防护,当第一流量超过自身的承受阈值时,将第一流量发送给调控中心,由调控中心进行分析决策等。
需要说明的是,虽然本步骤是以抗攻击节点从边缘路由器获取ISP网络的流量进行说明。然而,本申请实施例并不限制,其他可行的实现方式中,抗攻击节点也可以和ISP网络中的骨干路由器连接,从骨干路由器获取ISP网络的流量。
402、根据第一流量确定在所述至少一个第一ISP网络内部署黑洞路由。
所述第一ISP网络是所述至少两个ISP网络中的ISP网络。
示例性的,与抗攻击节点连接的ISP网络分为两类:第一类为第一ISP网络,第二类为第二ISP网络。第一ISP网络的带宽比较大,比如100G、200G等。第二ISP网络的带宽比较小,比如,1G、2G等。
调控中心接收到第一流量后,根据第一流量判断是否在至少一个第一ISP网络中部署黑洞路由。一种方式中,调控中心可以确定在全部的第一ISP网络内部署黑洞路由。另一种方式中,调控中心可以根据各个ISP网络的攻击流量的大小等,在部分第一ISP网络中部署黑洞路由,而非在全部第一ISP网络中部署黑洞路由。但是,由于第二ISP网络用于监控攻击流量的状态,判断是否取消第一ISP网络中的黑洞路由,因此,无需在第二ISP网络内部署黑洞路由。
403、调控中心向所述抗攻击节点发送黑洞指令。
相应的,抗攻击节点接收该黑洞指令。
示例性的,当调控中心判断出需要在至少一个第一ISP网络内部署黑洞路由时,确定被攻击的IP地址,该IP地址例如为图2中服务器的地址。之后,向抗攻击节点发送携带被攻击的IP地址的黑洞指令。
404、抗攻击节点根据黑洞指令生成黑洞路由。
示例性的,抗攻击节点根据黑洞指令携带的被攻击的IP地址,生成黑洞路由。例如,将访问被攻击的IP地址的下一跳设置为空接口。
405、抗攻击节点向至少一个第一ISP网络发送所述黑洞路由以在所述至少一个第一ISP网络内部署所述黑洞路由。
示例性的,抗攻击节点向至少一个第一ISP网络内的边缘路由器发送黑洞路由。第一ISP网络接收到黑洞路由后,在第一ISP网络内的各网络节点,如边缘路由器、骨干路由器上部署路由黑洞。之后,该些网络节点接收到访问被攻击的IP地址的流量后丢弃该流量。由于是全网部署黑洞路由,因此,从客户端过来的攻击流量在边缘路由器(与客户端连接的路由器)就被丢弃,不会到达骨干路由器和与抗攻击节点连接的路由器。之所以在骨干路由器上部署黑洞路由,是为了防止第一ISP内部产生攻击流量并攻击服务器。即骨干路由器能够将骨干网络内部产生的攻击流量丢弃。
另外,第一ISP网络也可以根据预设的策略选择是在边缘路由器上部署黑洞路由还是全网部署黑洞路由。
406、抗攻击节点向调控中心发送第二流量。
相应的,调控中心接收该第二流量。
示例性的,第一ISP网络上部署黑洞路由后,第一ISP网络不再转发攻击流量。因此,第一ISP网络的流量只有非攻击流量。而第二ISP网络上未部署黑洞路由,因此,第二ISP网络的流量包括攻击流量和非攻击流量。
抗攻击节点接收来自第一ISP网络和第二ISP网络的流量得到第二流量,并将该第二流量发送给调控中心。
407、根据第二流量确定是否取消所述至少一个第一ISP网络中的黑洞路由。
第二流量至少包含所述第二ISP网络的流量,所述第二流量是所述调控中心接收到所述第一流量之后接收的流量,所述第二ISP网络的带宽小于所述第一ISP网络的带宽。
示例性的,调控中心通过分析第二流量中攻击流量的占比、攻击流量的有无等,确定是否取消至少一个第一ISP网络中的黑洞路由。
本申请实施例提供的流量攻击的防护方法,抗攻击节点和多个ISP网络连接,多个ISP网络包括大带宽的第一ISP网络和小带宽的第二ISP网络。抗攻击节点将该些ISP网络的流量发送给调控中心,调控中心确定在哪些第一ISP网络上部署黑洞路由后,向抗攻击节点发送黑洞指令,以使得抗攻击节点触发至少一个第一ISP网络部署黑洞路由。调控中心发送黑洞指令后,还接收来自抗攻击节点的第二流量,根据第二流量确定是否取消至少一个第一ISP网络上的黑洞路由。采用该种方案,通过在第一ISP网络中部署黑洞路由,并根据第二ISP网络的流量实时监控攻击的状态,以确定是否取消黑洞路由的时机,避免抗攻击节点崩溃的同时,及时取消黑洞路由以恢复业务,实现提高业务质量的目的。
可选的,上述实施例中,调控中心根据第二流量确定是否取消至少一个第一ISP网络中的黑洞路由时,确定所述第二流量中攻击流量的占比。当占比小于或等于预设占比时,向抗攻击节点发送黑洞取消指令,以使得抗攻击节点触发至少一个第一ISP网络取消黑洞路由。当占比大于预设占比时,确定不取消至少一个第一ISP网络中的黑洞路由。
示例性的,第二ISP网络为小带宽的ISP网络,带宽例如为1G等。当黑客通过第二ISP网络攻击服务器时,由于第二ISP网络的带宽比较小,因此,第二ISP网络的流量中攻击流量也比较小,不会导致服务器瘫痪。调控中心可通过监控第二ISP网络的流量中攻击流量的占比来确定是否取消黑洞路由。
例如,调控中心部署流量分析系统、决策系统和策略分发系统,决策系统上保存每个ISP网络的网络类型、业务类型、带宽、抗攻击阈值以及预设占比等。其中,网络类型例如为NTT、TATA、Telia等,业务类型为语音业务、视频业务等。每个ISP网络对应的抗攻击阈值例如为带宽的70%等。例如,NTT网络的带宽为100G,则NTT网络的抗攻击阈值为70G等。预设占比例如为10%、5%、0等。以预设占比为0为例,流量分析系统分析来自抗攻击节点的流量,如第一流量、第二流量等。当流量分析系统分析第二流量发现第二ISP网络的流量中攻击流量消失,则认为黑客停止攻击,流量分析系统向决策系统上报分析结果。决策系统发现分析结果指示第二流量中没有攻击流量,则向策略分发系统发送决策通知。策略分发系统收到决策通知后,向第一ISP网络发送黑洞取消指令以取消第一ISP网络中的黑洞路由。若第二ISP网络中的流量中攻击流量依旧存在,说明黑客还在继续攻击服务器,流量分析系统向决策系统上报分析结果。决策系统发现分析结果指示第二流量中攻击流量依旧存在,则策略分发系统不发送黑洞取消指令。
采用该种方案,调控中心实时监控第二ISP网络的流量,根据第二ISP网络的流量中攻击流量的含量确定是否取消第一ISP网络中的黑洞路由,实现及时取消黑洞路由、恢复业务的目的。
可选的,上述实施例中,调控中心根据第一流量确定在所述至少一个第一ISP网络内部署黑洞路由之后,还从所述第一流量中确定所述第二ISP网络的流量。之后,调控中心从所述第二ISP网络的流量中确定出非攻击流量;并向所述抗攻击节点发送业务迁移指令,所述业务迁移指令用于指示所述抗攻击节点将所述非攻击流量对应的业务从所述第二ISP网络迁移至所述第一ISP网络。
示例性的,用户还可能通过第二ISP网络访问其他服务器,该服务器不是被攻击的服务器,访问其他服务器的业务称之为正常业务。为了防止第二ISP网络上的正常业务受到干扰,调控中心将正常业务从第二ISP网络迁移至第一ISP网络。迁移过程中,调控中心根据攻击第一流量中的攻击流量确定出被攻击的服务器的IP地址,将其他未被攻击的IP地址作为非攻击业务的IP地址,非攻击业务也称之为正常业务。
之后,调控中心向抗攻击节点发送业务迁移指令,抗攻击节点将防护处理后的第一流量回注至受保护的服务器。服务器处理第一流量对应的业务得到返回给客户端的目标数据。返回过程中,将第一ISP网络的优先级调高,从而将原本需要通过第二ISP网络返回给客户端的目标数据,通过第一ISP网络返回给客户端。
采用该种方案,虽然第二ISP网络并未部署黑洞路由,仍然接收攻击流量,但调控中心通过将第二ISP网络中的正常业务迁移至第一ISP网络,以保证第二ISP网络中的正常业务的运行,提升业务质量。
可选的,上述实施例中,调控中心向所述抗攻击节点发送迁移指令之后,当所述第二流量中不包含攻击流量时,调控中心向所述抗攻击节点发送业务恢复指令,所述业务恢复指令用于指示所述抗攻击节点将所述业务从所述第一ISP网络回迁至所述第二ISP网络。
示例性的,当调控中心的流量分析系统发现第二流量中没有攻击流量时,认为黑客停止攻击,上报给决策系统。决策系统下发黑洞取消指令以及业务恢复指令给策略分发系统。策略分发系统将黑洞取消指令和业务恢复指令下发给抗攻击节点中的核心路由器,由抗攻击节点中的核心路由器将黑洞取消指令宣告给部署了黑路由的第一ISP网络。宣告过程中,核心路由器根据BGP邻居关系宣告给第一ISP网络内的边缘路由器,该边缘路由器是第一ISP网络内和抗攻击节点中的核心路由器连接的路由器。之后,在第一ISP网络内部,各路由器根据BGP邻居关系宣告黑洞取消指令。另外,抗攻击节点还根据业务恢复指令恢复非攻击业务。业务恢复过程中,抗攻击节点将防护处理后的第二流量回注至受保护的服务器。服务器处理第二流量对应的业务得到返回给客户端的目标数据。返回过程中,将因为迁移需要通过第一ISP网络返回给客户端的目标数据,通过第二ISP网络返回给客户端。
采用该种方案,当攻击停止或减少时,实现将从第二ISP网络迁移至第一ISP网络的业务及时恢复到第二ISP网络的目的。
可选的,上述实施例中,第一ISP网络至少为两个,调控中心根据第一流量确定在所述至少一个第一ISP网络内部署黑洞路由时,根据第一流量确定所述至少两个ISP网络中每个ISP网络的流量的大小。之后,调控中心根据每个ISP网络的流量中大小和各ISP网络的抗攻击阈值,从至少两个第一ISP网络中确定出流量超过抗攻击阈值的第一ISP网络。最后,调控中心确定在攻击流量超过抗攻击阈值的第一ISP网络内部署所述黑洞路由。
示例性的,调控中心的流量分析系统实时分析抗攻击节点上传的第一流量。一旦发现攻击流量,实时上报决策系统。决策系统可以生成在所有的第一ISP网络上部署黑洞路由的决策通知,也可以生成在部分第一ISP网络上部署黑洞路由的决策通知。之后,决策系统下发决策通知,策略分发系统接收到决策通知后,向抗攻击节点发送黑洞命令。
当在部分第一ISP网络上部署黑洞路由时,决策系统上存储各个ISP网络的带宽、业务类型、抗攻击阈值等。以图3为例,决策系统上存储NTT网络的攻击阈值以及Telia网络的攻击阈值,该两个攻击阈值例如分别为70G。调控中心的流量分析系统接收到120G的第一流量后,从该120G的流量中确定出NTT网络的流量、Telia网络的流量以及TATA网络的流量,分别为100G、19G、1G。调控中心的流量分析系统分析该些流量发现:NTT网络的100G流量中存在攻击流量。之后,流量分析系统将第一流量中存在攻击流量的分析结果上报给决策系统。
此时,决策系统生成仅在NTT网络中部署黑洞路由、而不在Telia网络中部署黑洞路由的决策通知并下发给策略分发系统。策略分发系统根据该决策通知下发黑洞命令给抗攻击节点的路由器。由于未在Telia网络中部署黑洞路由,因此,即使Telia网络中存在攻击流量,Telia网络也能够对外提供服务,从而平衡安全性和业务稳定性。
采用该种方案,当第一ISP网络为多个时,通过在多个第一ISP网络中攻击流量超过攻击阈值的第一ISP网络上部署黑洞路由,而非在全部的第一ISP网络上部署黑洞路由,实现避免网络中断以及平衡安全性和稳定性的目的。
可选的,上述实施例中,当调控中心为主调控中心时,主调控中心还向备调控中心发送同步信息,该同步信息包括至少两个ISP网络的网络配置、业务迁移情况等。备调控中心接收到同步信息后,进行主备同步。
采用该种方案,主备调控中心保持同步,当主调控中心升级或故障时,备调控中心接手抗攻击节点的调控任务,保证了整个防护系统的可靠性。
通常情况下,可将攻击流量分为带宽消耗性攻击流量和资源消耗性攻击流量。抗攻击节点可依据预设特征条件进行判断,若攻击流量的流量特征信息满足预设特征条件,则确定攻击流量为带宽消耗型攻击,否则,确定攻击流量为资源消耗型攻击。其中,预设特征条件可由用户自定义,例如设置流量阈值,若攻击流量的大小高于该流量阈值,则确定攻击流量的流量特征信息满足预设特征条件,此时攻击流量为带宽消耗型攻击,否则,则确定攻击流量为资源消耗型攻击。
或者,设置指定协议集合,其中包含多种指定的协议类型,若攻击流量的协议类型为指定协议集合中的任意一种指定的协议类型,则确定攻击流量的流量特征信息满足预设特征条件,攻击流量为带宽消耗型攻击等等。
例如,常见的带宽消耗型攻击主要包括反射攻击和(User Datagram Protocolfloods,UDP)攻击,其中UDP攻击包括UDP分片、有特征UDP、无特征UDP等,常见的反射攻击有简单服务发现协议(Simple Service Discovery Protocol,SSDP)反射、网络时间协议(Network Time Protocol,NTP)反射、简单文件传输协议(Trivial File TransferProtocol,TFTP)反射、简单网络管理协议(Simple Network Management Protocol,SNMP)反射、分布式的高速缓存系统(mencached)反射等。
常见的资源消耗型攻击有TCP攻击,包括TCP洪水攻击、TCP分片、空连接、TCP反射、TCP四层挑战黑洞(Challenge Collapsar,CC)等,其中洪水攻击包括建立联机(synchronous,SYN)洪水、结束(finish,FIN)洪水、ACK洪水、重置(reset,RST)洪水等。
请参照图2和图3所示架构,流量攻击的防护过程中,抗攻击节点实时从各ISP网络获取流量并将流量转发给主调控中心,由主调控中心的流量分析系统实时分析流量并上报决策系统,决策系统生成决策通知并下发给策略分发系统,策略分发系统将策略发送给抗攻击节点。
一种方式中,抗攻击节点实时将第一流量发送给主调控中心,由主调控中心分析第一流量中攻击流量的类型,若攻击流量为带宽消耗性攻击流量,则上报决策系统,以使得决策系统决策在全部或部分第一ISP网络内部署黑洞路由。若攻击流量为资源消耗性攻击流量,则上报决策系统,以使得决策系统下发决策通知,该决策通知下发至抗攻击节点,由抗攻击节点对攻击流量进行清洗,将正常流量进行回注。
另一种方式中,抗攻击节点每次汇总各ISP网络的流量得到第一流量后,判断该第一流量中攻击流量的攻击类型,若攻击流量为带宽消耗性攻击流量,则上报决策系统,以使得决策系统决策在全部或部分第一ISP网络内部署黑洞路由。若攻击流量为资源消耗性攻击流量,则不上报,而是直接对第一流量进行清洗。
可选的,上述实施例中,抗攻击节点每次上报第一流量之前,还判断该第一流量的大小是否超过抗攻击节点的承受阈值,该承受阈值可根据抗攻击节点的承受极限来设置,例如,承受极限为200G,则可以将承受阈值设置为140G。若第一流量的大小超过抗攻击流量的承受阈值,则上报给调控中心。若第一流量的大小未超过抗攻击节点的承受阈值时,由抗攻击节点对第一流量进行防护处理。例如,若第一流量中的攻击流量为资源消耗性攻击流量,则直接对第一流量进行清洗;若第一流量中的攻击流量为带宽消耗性攻击流量,则确定出被攻击的IP地址,根据被攻击的IP地址生成黑洞路由,并将黑洞路由宣告给至少一个第一ISP网络。
另外,本申请实施例中,抗攻击节点可区分第一流量中哪些流量是哪个ISP网络的,也可以不具备区分各ISP网络对应的流量的功能。若抗攻击节点不具备区分功能,当第一流量大于承受阈值时,将第一流量发送给调控中心,由调控中心区分各个ISP网络的流量并进行分析决策等。当第一流量小于或等于承受阈值时,抗攻击节点自主对第一流量进行防护处理。
当抗攻击节点具备区分功能时,抗攻击节点能够从调控中心获取到每个ISP网络的带宽。当某个ISP网络的流量超过带宽的70%时,将该ISP网络的流量发送给调控中心。例如,抗攻击节点接收到100G的第一流量后,发现NTT网络、Telia网络和TATA网络的流量分别为90G、9G、1G。而NTT网络、Telia网络和TATA网络的带宽分别为100G、100G和1G,则抗攻击节点将NTT网络的流量发送给调控中心,由调控中心分析决策。对于Telia网络的9G流量,由抗攻击节点自己进行防护处理。
采用该种方案,当流量大于抗攻击节点的承受阈值时,抗攻击节点将第一流量发送给调控中心,能够及时避免抗攻击节点的崩溃。
下面,以第一ISP网络包括NTT网络、Telia网络、第二ISP网络包括TATA网络为例,用一个完整的实施例对本申请实施例所述的流量攻击的防护方法进行详细说明。示例性的,请参见图5A-图5J。图5A-图5J中,实线箭头表示攻击流量,虚线箭头表示黑洞命令,单点划线表示分析流量,即上述的第一流量或第二流量,双点划线表示黑洞取消指令。
图5A是本申请实施例提供的流量攻击的防护方法中发起攻击的示意图。请参照图5A,黑客从各个ISP网络的边缘发起攻击。
图5B是本申请实施例提供的流量攻击的防护方法中攻击流量转发的示意图。请参照图5B,ISP网络中的攻击流量经过骨干网络到达与抗攻击节点连接的边缘路由器。
图5C是本申请实施例提供的流量攻击的防护方法中攻击流量到达抗攻击节点的示意图。请参照图5C,抗攻击节点接收来自各个ISP网络的攻击流量。
图5D是本申请实施例提供的流量攻击的防护方法中攻击流量到达调控中心的示意图。请参照图5D,抗攻击节点将来自各个ISP网络的攻击流量转发给主调控中心。
图5E是本申请实施例提供的流量攻击的防护方法中生成黑洞命令的示意图。请参照图5E,主调控中心的流量分析系统发现攻击后上报决策系统,决策系统基于安全策略,确定需要部署黑洞路由的第一ISP网络并下发决策通知。策略分发系统根据决策通知向抗攻击节点发送黑洞指令。
图5F是本申请实施例提供的流量攻击的防护方法中转发黑洞路由的示意图。请参照图5F,抗攻击节点收到黑洞指令后,生成黑洞路由并发送给第一ISP网络。但是不向第二ISP网络发送黑洞路由。
另外,抗攻击节点还将第二ISP网络的正常业务迁移至第一ISP网络。例如,迁移至NTT网络或Telia网络。但是,第二ISP网络依旧转发攻击流量,即保持被攻击网段的路由发布。
另外,可以在全部或部分第一ISP网络上部署黑洞路由。例如,在NTT网络和Telia网络部署黑洞路由。再如,在NTT网络部署黑洞路由,但是不在Telia网络上部署黑洞路由。又如,在Telia网络部署黑洞路由,但是不在NTT网络部署黑洞。
图5G是本申请实施例提供的流量攻击的防护方法中部署黑洞路由的示意图。请参照图5G,第一ISP网络收到黑洞路由后,发送给第一ISP网络自治(Autonomous System,AS)区域内的所有网络节点。图中所示为NTT网络和Telia网络将黑洞路由宣告给所有的网络节点。
图5H是本申请实施例提供的流量攻击的防护方法中监控攻击流量的示意图。请参照图5H,第一ISP网络不再转发攻击流量,攻击流量无法通过第一ISP网络达到抗攻击节点,抗攻击节点的其他业务正常运行不受影响。只有第二ISP网络,即TATA网络依然接收攻击流量。但是由于第二ISP网络带宽较小,且正常业务均已迁移网段和线路,因此不会对第二ISP网络的正常业务造成影响,通过小带宽的第二ISP网络将攻击流量发送到抗攻击节点,并进一步到达调控中心进行监控分析,能够保证调控中心实时监控攻击状态。
图5I是本申请实施例提供的流量攻击的防护方法中生成取消黑洞指令的示意图。请参照图5I,主调控中心的流量分析系统发现攻击流量消失后,上报给决策系统,决策系统向策略分发系统下发黑洞取消指令和业务恢复指令。之后,策略分发系统向抗攻击节点下发黑洞取消指令和业务恢复指令。
图5J是本申请实施例提供的流量攻击的防护方法中发送取消黑洞指令的示意图。请参照图5J,抗攻击节点接收到黑洞取消指令和业务恢复指令后,向第一ISP网络取消黑洞路由的宣告,第一ISP网络的各个网络节点取消黑洞路由。同时,之前被迁移至第一ISP网络的业务重新迁回至第二ISP网络,即小带宽线路恢复正常业务的服务,各ISP网络的所有服务恢复正常。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图6为本申请实施例提供的一种流量攻击的防护装置的示意图。该流量攻击的防护装置600包括:确定模块61、收发模块62和处理模块63。
确定模块61,用于根据第一流量确定在至少一个第一ISP网络内部署黑洞路由,所述第一流量包含至少两个ISP网络中每个ISP网络的流量,所述第一ISP网络是所述至少两个ISP网络中的ISP网络,所述至少两个ISP网络和抗攻击节点连接;
收发模块62,用于向所述抗攻击节点发送黑洞指令,以使得所述抗攻击节点触发所述至少一个第一ISP网络部署所述黑洞路由;
处理模块63,用于根据第二流量确定是否取消所述至少一个第一ISP网络中的黑洞路由,所述第二流量至少包含所述第二ISP网络的流量,所述第二流量是所述调控中心接收到所述第一流量之后接收的流量,所述第二ISP网络的带宽小于所述第一ISP网络的带宽。
一种可行的实现方式中,所述处理模块63,用于确定所述第二流量中攻击流量的占比;所述收发模块62,还用于当所述占比小于或等于预设占比时,向所述抗攻击节点发送黑洞取消指令,以使得所述抗攻击节点触发所述至少一个第一ISP网络取消所述黑洞路由;
所述处理模块63,用于当所述占比大于预设占比时,确定不取消所述至少一个第一ISP网络中的黑洞路由。
一种可行的实现方式中,所述确定模块61根据第一流量确定在至少一个第一ISP网络内部署黑洞路由之后,还用于所述第一流量中确定所述第二ISP网络的流量,从所述第二ISP网络的流量中确定出非攻击流量;
所述收发模块62,还用于向所述抗攻击节点发送业务迁移指令,所述业务迁移指令用于指示所述抗攻击节点将所述非攻击流量对应的业务从所述第二ISP网络迁移至所述第一ISP网络。
一种可行的实现方式中,所述收发模块62向所述抗攻击节点发送迁移指令之后,还用于当所述第二流量中不包含攻击流量时,向所述抗攻击节点发送业务恢复指令,所述业务恢复指令用于指示所述抗攻击节点将所述业务从所述第一ISP网络回迁至所述第二ISP网络。
一种可行的实现方式中,所述第一ISP网络至少为两个,所述处理模块63用于根据第一流量确定所述至少两个ISP网络中每个ISP网络的流量中攻击流量的大小;根据每个ISP网络的流量中攻击流量的大小和各ISP网络的抗攻击阈值,从至少两个第一ISP网络中确定出攻击流量超过抗攻击阈值的第一ISP网络;确定在攻击流量超过抗攻击阈值的第一ISP网络内部署所述黑洞路由。
本申请实施例提供的流量攻击的防护装置,可以执行上述实施例中调控中心的动作,其实现原理和技术效果类似,在此不再赘述。
图7为本申请实施例提供的另一种流量攻击的防护装置的示意图。该流量攻击的防护装置700包括:发送模块71、接收模块72和处理模块73。
发送模块71,用于向调控中心发送第一流量,所述第一流量包含至少两个ISP网络中每个ISP网络的流量,所述至少两个ISP网络和抗攻击节点连接;
接收模块72,用于接收来自所述调控中心的黑洞指令;
处理模块73,用于根据所述黑洞指令生成黑洞路由;
所述发送模块71,还用于向至少一个第一ISP网络发送所述黑洞路由以在所述至少一个第一ISP网络内部署所述黑洞路由,所述第一ISP网络是所述至少两个ISP网络中的ISP网络;
所述发送模块71,还用于向所述调控中心发送第二流量,所述第二流量至少包含所述至少两个ISP网络中第二ISP网络的流量,所述第二ISP网络的带宽小于所述第一ISP网络的带宽。
一种可行的实现方式中,所述接收模块72还用于在所述发送模块71向所述调控中心发送第二流量之后,当所述第二流量中攻击流量的占比小于或等于预设占比时,接收来自所述调控中心的黑洞取消指令;
所述发送模块71,还用于向所述至少一个第一ISP网络发送黑洞取消指令,以取消所述至少一个第一ISP网络内的黑洞路由。
一种可行的实现方式中,所述接收模块72还用于在所述发送模块71向所述调控中心发送第二流量之后,接收来自所述调控中心的业务迁移指令;
所述处理模块73,还用于根据所述业务迁移指令,将所述第二ISP网络中非攻击流量对应的业务从所述第二ISP网络迁移至所述第一ISP网络。
一种可行的实现方式中,所述接收模块72接收来自所述调控中心的业务迁移指令之后,还用于接收来自所述调控中心的业务恢复指令;
所述处理模块73,还用于根据所述业务恢复指令,将非攻击流量对应的业务从所述第一ISP网络回迁至所述第二ISP网络。
一种可行的实现方式中,所述处理模块73,还用于判断所述第一流量的大小是否超过所述抗攻击节点的承受阈值;
所述发送模块71,用于当所述第一流量的大小超过所述抗攻击节点的承受阈值时,向所述调控中心发送所述第一流量。
一种可行的实现方式中,所述处理模块73,还用于当所述第一流量未超过所述抗攻击节点的承受阈值时,对所述第一流量进行防护处理。
本申请实施例提供的流量攻击的防护装置,可以执行上述实施例中抗攻击节点的动作,其实现原理和技术效果类似,在此不再赘述。
图8为本申请实施例提供的一种电子设备的结构示意图。如图8所示,该电子设备800例如为上述的调控中心或抗攻击节点,该电子设备800包括:
处理器801和存储器802;
所述存储器802存储计算机指令;
所述处理器801执行所述存储器802存储的计算机指令,使得所述处理器801执行如上调控中心实现所述的流量攻击的防护方法;或者,使得所述处理器801执行如上抗攻击节点实现所述的流量攻击的防护方法。
处理器801的具体实现过程可参见上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
可选地,该电子设备800还包括通信部件803。其中,处理器801、存储器802以及通信部件803可以通过总线804连接。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机指令,所述计算机指令被处理器执行时用于实现如上调控中心或抗攻击节点实施的流量攻击的防护方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品包含计算机程序,计算机程序被处理器执行时实现如上调控中心或抗攻击节点实施的流量攻击的防护方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (14)

1.一种流量攻击的防护方法,其特征在于,所述方法应用于调控中心,所述调控中心和抗攻击节点连接,所述抗攻击节点和至少两个互联网服务提供商ISP网络连接,所述方法包括:
根据第一流量确定在至少一个第一ISP网络内部署黑洞路由,所述第一流量包含所述至少两个ISP网络中每个ISP网络的流量,所述第一ISP网络是所述至少两个ISP网络中的ISP网络;
向所述抗攻击节点发送黑洞指令,以使得所述抗攻击节点触发所述至少一个第一ISP网络部署所述黑洞路由;
根据第二流量确定是否取消所述至少一个第一ISP网络中的黑洞路由,所述第二流量至少包含第二ISP网络的流量,所述第二流量是所述调控中心接收到所述第一流量之后接收的流量,所述第二ISP网络的带宽小于所述第一ISP网络的带宽;
所述根据第二流量确定是否取消所述至少一个第一ISP网络中的黑洞路由,包括:
确定所述第二流量中攻击流量的占比;
当所述占比小于或等于预设占比时,向所述抗攻击节点发送黑洞取消指令,以使得所述抗攻击节点触发所述至少一个第一ISP网络取消所述黑洞路由。
2.根据权利要求1所述的方法,其特征在于,所述根据第二流量确定是否取消所述至少一个第一ISP网络中的黑洞路由,包括:
当所述占比大于预设占比时,确定不取消所述至少一个第一ISP网络中的黑洞路由。
3.根据权利要求1所述的方法,其特征在于,所述根据第一流量确定在至少一个第一ISP网络内部署黑洞路由之后,还包括:
从所述第一流量中确定所述第二ISP网络的流量;
从所述第二ISP网络的流量中确定出非攻击流量;
向所述抗攻击节点发送业务迁移指令,所述业务迁移指令用于指示所述抗攻击节点将所述非攻击流量对应的业务从所述第二ISP网络迁移至所述第一ISP网络。
4.根据权利要求3所述的方法,其特征在于,所述向所述抗攻击节点发送迁移指令之后,还包括:
当所述第二流量中不包含攻击流量时,向所述抗攻击节点发送业务恢复指令,所述业务恢复指令用于指示所述抗攻击节点将所述业务从所述第一ISP网络回迁至所述第二ISP网络。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述第一ISP网络至少为两个,所述根据第一流量确定在所述至少一个第一ISP网络内部署黑洞路由,包括:
根据第一流量确定所述至少两个ISP网络中每个ISP网络的流量的大小;
根据每个ISP网络的流量的大小和各ISP网络的抗攻击阈值,从至少两个第一ISP网络中确定出流量超过抗攻击阈值的第一ISP网络;
确定在流量超过抗攻击阈值的第一ISP网络内部署所述黑洞路由。
6.一种流量攻击的防护方法,其特征在于,所述方法应用于抗攻击节点,所述抗攻击节点和调控中心连接,所述抗攻击节点和至少两个互联网服务提供商ISP网络连接,所述方法包括:
向所述调控中心发送第一流量,所述第一流量包含所述至少两个ISP网络中每个ISP网络的流量;
接收来自所述调控中心的黑洞指令;
根据所述黑洞指令生成黑洞路由;
向至少一个第一ISP网络发送所述黑洞路由以在所述至少一个第一ISP网络内部署所述黑洞路由,所述第一ISP网络是所述至少两个ISP网络中的ISP网络;
向所述调控中心发送第二流量,所述第二流量至少包含所述至少两个ISP网络中第二ISP网络的流量,所述第二ISP网络的带宽小于所述第一ISP网络的带宽;
当所述第二流量中攻击流量的占比小于或等于预设占比时,接收来自所述调控中心的黑洞取消指令;
向所述至少一个第一ISP网络发送黑洞取消指令,以取消所述至少一个第一ISP网络内的黑洞路由。
7.根据权利要求6所述的方法,其特征在于,所述向所述调控中心发送第一流量之后,还包括:
接收来自所述调控中心的业务迁移指令;
根据所述业务迁移指令,将所述第二ISP网络中非攻击流量对应的业务从所述第二ISP网络迁移至所述第一ISP网络。
8.根据权利要求7所述的方法,其特征在于,所述接收来自所述调控中心的业务迁移指令之后,还包括:
接收来自所述调控中心的业务恢复指令;
根据所述业务恢复指令,将非攻击流量对应的业务从所述第一ISP网络回迁至所述第二ISP网络。
9.根据权利要求6-8任一项所述的方法,其特征在于,所述向所述调控中心发送第一流量,包括:
判断所述第一流量的大小是否超过所述抗攻击节点的承受阈值;
当所述第一流量的大小超过所述抗攻击节点的承受阈值时,向所述调控中心发送所述第一流量。
10.根据权利要求9所述的方法,其特征在于,还包括:
当所述第一流量未超过所述抗攻击节点的承受阈值时,对所述第一流量进行防护处理。
11.一种流量攻击的防护装置,其特征在于,包括:
确定模块,用于根据第一流量确定在至少一个第一ISP网络内部署黑洞路由,所述第一流量包含至少两个ISP网络中每个ISP网络的流量,所述第一ISP网络是所述至少两个ISP网络中的ISP网络,所述至少两个ISP网络和抗攻击节点连接;
收发模块,用于向所述抗攻击节点发送黑洞指令,以使得所述抗攻击节点触发所述至少一个第一ISP网络部署所述黑洞路由;
处理模块,用于根据第二流量确定是否取消所述至少一个第一ISP网络中的黑洞路由,所述第二流量至少包含第二ISP网络的流量,所述第二流量是调控中心接收到所述第一流量之后接收的流量,所述第二ISP网络的带宽小于所述第一ISP网络的带宽;其中,所述根据第二流量确定是否取消所述至少一个第一ISP网络中的黑洞路由,包括:
确定所述第二流量中攻击流量的占比;
当所述占比小于或等于预设占比时,向所述抗攻击节点发送黑洞取消指令,以使得所述抗攻击节点触发所述至少一个第一ISP网络取消所述黑洞路由。
12.一种流量攻击的防护装置,其特征在于,包括:
发送模块,用于向调控中心发送第一流量,所述第一流量包含至少两个ISP网络中每个ISP网络的流量,所述至少两个ISP网络和抗攻击节点连接;
接收模块,用于接收来自所述调控中心的黑洞指令;
处理模块,用于根据所述黑洞指令生成黑洞路由;
所述发送模块,还用于向至少一个第一ISP网络发送所述黑洞路由以在所述至少一个第一ISP网络内部署所述黑洞路由,所述第一ISP网络是所述至少两个ISP网络中的ISP网络;
所述发送模块,还用于向所述调控中心发送第二流量,所述第二流量至少包含所述至少两个ISP网络中第二ISP网络的流量,所述第二ISP网络的带宽小于所述第一ISP网络的带宽;当所述第二流量中攻击流量的占比小于或等于预设占比时,接收来自所述调控中心的黑洞取消指令;向所述至少一个第一ISP网络发送黑洞取消指令,以取消所述至少一个第一ISP网络内的黑洞路由。
13.一种电子设备,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时使得所述电子设备实现如权利要求1至8任一所述的方法。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一所述的方法。
CN202110762569.1A 2021-07-06 2021-07-06 流量攻击的防护方法、装置、设备及可读存储介质 Active CN113660199B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110762569.1A CN113660199B (zh) 2021-07-06 2021-07-06 流量攻击的防护方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110762569.1A CN113660199B (zh) 2021-07-06 2021-07-06 流量攻击的防护方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN113660199A CN113660199A (zh) 2021-11-16
CN113660199B true CN113660199B (zh) 2023-01-17

Family

ID=78477155

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110762569.1A Active CN113660199B (zh) 2021-07-06 2021-07-06 流量攻击的防护方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN113660199B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2511854A1 (en) * 2005-07-08 2007-01-08 At&T Corp. Distributed denial-of-service attack mitigation by selective black-holing in ip networks
EP1744516A1 (en) * 2005-07-15 2007-01-17 AT&T Corp. Distributed denial-of-service attack mitigation by selective black-holing in IP networks
CN107743109A (zh) * 2016-10-31 2018-02-27 腾讯科技(深圳)有限公司 流量攻击的防护方法、控制装置、处理装置及系统
CN110012038A (zh) * 2019-05-29 2019-07-12 中国人民解放军战略支援部队信息工程大学 一种网络攻击防御方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7444417B2 (en) * 2004-02-18 2008-10-28 Thusitha Jayawardena Distributed denial-of-service attack mitigation by selective black-holing in IP networks
US10432658B2 (en) * 2014-01-17 2019-10-01 Watchguard Technologies, Inc. Systems and methods for identifying and performing an action in response to identified malicious network traffic

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2511854A1 (en) * 2005-07-08 2007-01-08 At&T Corp. Distributed denial-of-service attack mitigation by selective black-holing in ip networks
EP1744516A1 (en) * 2005-07-15 2007-01-17 AT&T Corp. Distributed denial-of-service attack mitigation by selective black-holing in IP networks
CN107743109A (zh) * 2016-10-31 2018-02-27 腾讯科技(深圳)有限公司 流量攻击的防护方法、控制装置、处理装置及系统
CN110012038A (zh) * 2019-05-29 2019-07-12 中国人民解放军战略支援部队信息工程大学 一种网络攻击防御方法及系统

Also Published As

Publication number Publication date
CN113660199A (zh) 2021-11-16

Similar Documents

Publication Publication Date Title
Eliyan et al. DoS and DDoS attacks in Software Defined Networks: A survey of existing solutions and research challenges
US11818167B2 (en) Authoritative domain name system (DNS) server responding to DNS requests with IP addresses selected from a larger pool of IP addresses
Dayal et al. Research trends in security and DDoS in SDN
US9491189B2 (en) Revival and redirection of blocked connections for intention inspection in computer networks
US8595817B2 (en) Dynamic authenticated perimeter defense
KR102016461B1 (ko) SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법
US20080101223A1 (en) Method and apparatus for providing network based end-device protection
JP2013191199A (ja) ネットワーク接続装置を侵入から保護するための方法およびシステム
JP2005210727A (ja) サービス拒否攻撃に耐えるネットワーク・アーキテクチャおよび関連方法
US20120144487A1 (en) Routing apparatus and method for detecting server attack and network using the same
CN111200611B (zh) 基于边界接口等价类的域内源地址验证方法及装置
KR20060030037A (ko) 네트워크 공격 대책방법, 네트워크 공격 대책장치 및 네트워크 공격 대책 프로그램을 기록한 기록매체
WO2023193513A1 (zh) 蜜罐网络运行方法、装置、设备及存储介质
Nagai et al. Design and implementation of an openflow-based tcp syn flood mitigation
Tang et al. Concept, characteristics and defending mechanism of worms
CN113660199B (zh) 流量攻击的防护方法、装置、设备及可读存储介质
CN114244610B (zh) 一种文件传输方法、装置,网络安全设备及存储介质
Chatterjee Design and development of a framework to mitigate dos/ddos attacks using iptables firewall
US20220030011A1 (en) Demand management of sender of network traffic flow
Lee et al. Duo: software defined intrusion tolerant system using dual cluster
Keerthan Kumar et al. Performance evaluation of packet injection and DOS attack controller software (PDACS) module
WO2023160693A1 (zh) 一种攻击阻断方法及相关装置
Nisa et al. Conceptual review of DoS attacks in software defined networks
KR101231801B1 (ko) 네트워크 상의 응용 계층 보호 방법 및 장치
Perry Inferring Network Infrastructure and Session Information through Network Analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant