CN114978600B - 异常流量处理方法、系统、设备及存储介质 - Google Patents
异常流量处理方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN114978600B CN114978600B CN202210441355.9A CN202210441355A CN114978600B CN 114978600 B CN114978600 B CN 114978600B CN 202210441355 A CN202210441355 A CN 202210441355A CN 114978600 B CN114978600 B CN 114978600B
- Authority
- CN
- China
- Prior art keywords
- message
- forwarding node
- flow
- node router
- cleaning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/741—Routing in networks with a plurality of addressing schemes, e.g. with both IPv4 and IPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本申请公开了一种异常流量处理方法、系统、设备及存储介质,涉及通信技术领域,解决了相关技术中,经过一个清洗中心清洗后的流量仍会攻击目的地址的问题。该方法中包括,在多个清洗中心中确定出多个目标清洗中心;对待处理异常流量对应的IPv4报文封装IPv6报文头,生成待处理异常流量对应的IPv6报文;IPv6报文头中保存流量处理路径;按照IPv6报文头中保存的流量处理路径,将IPv6报文发送至多个转发节点路由器;多个转发节点路由器中的每个转发节点路由器用于对IPv6报文解封装,并将解封装后获得的IPv4报文发送至对应的目标清洗中心进行流量清洗。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种异常流量处理方法、系统、设备及存储介质。
背景技术
分布式拒绝服务(distributed denial of service,DDoS)攻击是指处于不同位置的多个攻击者同时向一个或数个目标互联网协议地址(Internet Protocol,IP)发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对目标IP地址同时实施攻击。由于攻击的发出点是分布在不同地方的,因此这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
为了减少DDoS攻击带来的影响,如图1所示,通常使用DDoS防护系统对DDoS异常流量进行处理。其中,DDoS防护系统一般由流量检测系统100、流量调度系统101和流量清洗系统102几大部分组成。流量检测系统100负责流量的实时采集并对采集的流量进行判别,如果判别结果表示采集的流量是异常流量,则将判别结果发送至流量调度系统101;流量调度系统101负责在采集到的流量是异常流量时,将该异常流量牵引到流量清洗中心102;流量清洗系统102的核心职责则是对异常流量执行清洗动作,并将清洗后的干净流量回注到流量应该达到的城域网网络中。
目前,在相关技术中,DDoS防护系统中的流量清洗系统使用互联网中的一个清洗中心对异常流量行清洗。但是,经过这个清洗中心处理后的流量中还可能会存在大量的未被清洗的流量,这些流量仍然会有攻击目标IP地址的隐患。
发明内容
本申请提供了一种异常流量处理方法、系统、设备及存储介质,用于解决经过一个清洗中心清洗后的流量仍会攻击目的地址的问题。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供了一种异常流量处理方法,应用于分类节点路由器,该方法包括:在多个清洗中心中确定出多个目标清洗中心;对待处理异常流量对应的互联网通信协议第四版IPv4报文封装互联网通信协议第六版IPv6报文头,生成待处理异常流量对应的IPv6报文;IPv6报文头中保存流量处理路径,流量处理路径包括多个转发节点路由器的地址,多个转发节点路由器中的每个转发节点路由器对应一个目标清洗中心;按照IPv6报文头中保存的流量处理路径,将IPv6报文发送至多个转发节点路由器;多个转发节点路由器中的每个转发节点路由器用于对IPv6报文解封装,并将解封装后获得的IPv4报文发送至对应的目标清洗中心进行流量清洗。
可选的,上述方法中,在多个清洗中心中确定出多个目标清洗中心,包括:根据待处理异常流量的流量体积大小和每个清洗中心当前的流量处理能力,在多个清洗中心中确定出对待处理异常流量对应的IPv4报文进行流量清洗的多个目标清洗中心。
可选的,上述方法还包括:根据多个目标清洗中心中每个目标清洗中心当前的流量处理能力,将每个目标清洗中心按照当前的流量处理能力从大至小依次排列;利用排序后的每个目标清洗中心对应的转发节点路由器的地址,生成流量处理路径;将流量处理路径保存到IPv6报文头中。
可选的,上述方法还包括:利用排序后的每个目标清洗中心对应的转发节点路由器的地址和终结节点路由器的地址,生成流量处理路径;终结节点路由器用于接收多个转发节点路由器中最后一个转发节点路由器发送的IPv6报文,并将IPv6报文解封装后获得的IPv4报文发送至城域网。
可见,本申请的方案中,分类节点路由器可以从多个清洗中心中确定出多个目标清洗中心,并根据多个目标清洗中心分别对应的多个转发节点路由器的地址生成流量处理路径。从而实现待处理异常流量在流量处理路径上的多个转发节点路由器上串行处理,而由于每个转发节点路由器对应一个目标清洗中心,还可以实现待处理异常流量在多个目标清洗中心中的串行流量清洗。这样,当异常流量的体积大于单个目标清洗中心的处理能力时,经过第一个目标清洗中心清洗过的流量会继续被下一个目标清洗中心清洗,从而利用多个目标清洗中心依次清洗异常流量,减少了异常流量未被全部清洗而造成的安全隐患。另外,本申请以IPv6报文头保存及传递目标清洗中心对应的转发节点路由器地址,保证了多个目标清洗中心串行地对异常流量进行清洗的可行性。
第二方面,本申请提供了一种异常流量处理方法,应用于异常流量处理系统,异常流量处理系统包括分类节点路由器、转发节点路由器和每个转发节点路由器对应的清洗中心;方法包括:分类节点路由器在多个清洗中心中确定出多个目标清洗中心;对待处理异常流量对应的互联网通信协议第四版本IPv4报文封装互联网协议第六版本IPv6报文头,生成待处理异常流量对应的IPv6报文;IPv6报文头中保存流量处理路径,流量处理路径包括多个转发节点路由器的地址,多个转发节点路由器中的每个转发节点路由器对应一个目标清洗中心;按照IPv6报文头中保存的流量处理路径,将IPv6报文发送至多个转发节点路由器;多个转发节点路由器中的每个转发节点路由器对IPv6报文解封装,并将解封装后获得的IPv4报文发送至对应的目标清洗中心;目标清洗中心对IPv4报文进行流量清洗,并将清洗后的IPv4报文发回至对应的转发节点路由器;转发节点路由器对IPv4报文封装IPv6报文头,并将封装IPv6报文头后的IPv6报文发送至流量处理路径中的下一个地址上的转发节点路由器。
可选的,异常流量处理系统还包括终结节点路由器;上述方法还包括:分类节点路由器利用每个目标清洗中心对应的转发节点路由器的地址和终结节点路由器的地址,生成流量处理路径;将流量处理路径保存在IPv6报文头中。
可选的,上述方法还包括:多个转发节点路由器中最后一个转发节点路由器对获得的IPv4报文封装IPv6报文头,并将封装IPv6报文头后的IPv6报文发送至终结节点路由器。
可选的,上述方法中还包括:终结节点路由器将IPv6报文的报文头去除,获得目标流量对应的IPv4报文;目标流量对应的IPv4报文为待处理异常流量对应的IPv4报文经过多个目标清洗中心清洗后的报文;将目标流量对应的IPv4报文发送至城域网中的目的地址上;目的地址保存在目标流量对应的IPv4报文的报文头中。
可见,本申请的方案可以利用多个目标清洗中心对待处理异常流量进行串行清洗,并且,由各个目标清洗中心对应的转发节点路由器实现待处理异常流量对应报文的处理和转发。这样,当异常流量的体积大于单个目标清洗中心的处理能力时,经过第一个目标清洗中心清洗过的流量会继续被下一个目标清洗中心清洗,从而利用多个目标清洗中心依次清洗异常流量,减少了异常流量未被全部清洗而造成的安全隐患。另外,本申请以IPv6报文头保存及传递目标清洗中心对应的转发节点路由器地址,保证了多个目标清洗中心串行地对异常流量进行清洗的可行性。
第三方面,本申请提供了一种分类节点路由器,包括清洗中心确定模块、报文生成模块和报文转发模块;清洗中心确定模块,用于在多个清洗中心中确定出多个目标清洗中心;报文生成模块,用于对待处理异常流量对应的互联网通信协议第四版IPv4报文封装互联网通信协议第六版IPv6报文头,生成待处理异常流量对应的IPv6报文;IPv6报文头中保存流量处理路径,流量处理路径包括多个转发节点路由器的地址,多个转发节点路由器中的每个转发节点路由器对应一个目标清洗中心;报文转发模块,用于按照IPv6报文头中保存的流量处理路径,将IPv6报文发送至多个转发节点路由器;多个转发节点路由器中的每个转发节点路由器用于对IPv6报文解封装,并将解封装后获得的IPv4报文发送至对应的目标清洗中心进行流量清洗。
可选的,清洗中心确定模块,还用于根据待处理异常流量的流量体积大小和每个清洗中心当前的流量处理能力,在多个清洗中心中确定出对待处理异常流量对应的IPv4报文进行流量清洗的多个目标清洗中心。
可选的,报文生成模块,还用于根据多个目标清洗中心中每个目标清洗中心当前的流量处理能力,将每个目标清洗中心按照当前的流量处理能力从大至小依次排列;利用排序后的每个目标清洗中心对应的转发节点路由器的地址,生成流量处理路径;将流量处理路径保存到IPv6报文头中。
可选的,报文生成模块,还用于利用排序后的每个目标清洗中心对应的转发节点路由器的地址和终结节点路由器的地址,生成流量处理路径;终结节点路由器用于接收多个转发节点路由器中最后一个转发节点路由器发送的IPv6报文,并将IPv6报文解封装后获得的IPv4报文发送至城域网。
第四方面,本申请实施例提供了一种异常流量处理系统,包括:分类节点路由器、转发节点路由器和每个转发节点路由器对应的清洗中心;分类节点路由器,用于在多个清洗中心中确定出多个目标清洗中心;对待处理异常流量对应的互联网通信协议第四版本IPv4报文封装互联网协议第六版本IPv6报文头,生成待处理异常流量对应的IPv6报文;IPv6报文头中保存流量处理路径,流量处理路径包括多个转发节点路由器的地址,多个转发节点路由器中的每个转发节点路由器对应一个目标清洗中心;按照IPv6报文头中保存的流量处理路径,将IPv6报文发送至多个转发节点路由器;多个转发节点路由器中的每个转发节点路由器,用于对IPv6报文解封装,并将解封装后获得的IPv4报文发送至对应的目标清洗中心;目标清洗中心,用于对IPv4报文进行流量清洗,并将清洗后的IPv4报文发回至对应的转发节点路由器;转发节点路由器,用于对IPv4报文封装IPv6报文头,并将封装IPv6报文头后的IPv6报文发送至流量处理路径中的下一个地址上的转发节点路由器。
可选的,上述系统还包括终结节点路由器;分类节点路由器,还用于利用每个目标清洗中心对应的转发节点路由器的地址和终结节点路由器的地址,生成流量处理路径;分类节点路由器将流量处理路径保存在IPv6报文头中。
可选的,多个转发节点路由器中最后一个转发节点路由器,用于对获得的IPv4报文封装IPv6报文头,并将封装IPv6报文头后的IPv6报文发送至终结节点路由器。
可选的,终结节点路由器,用于将IPv6报文的报文头去除,获得目标流量对应的IPv4报文;目标流量对应的IPv4报文为待处理异常流量对应的IPv4报文经过多个目标清洗中心清洗后的报文;将目标流量对应的IPv4报文发送至城域网中的目的地址上;目的地址保存在目标流量对应的IPv4报文的报文头中。
第五方面,本申请提供了一种电子设备,包括存储器和处理器;存储器用于存储计算机执行指令;当电子设备运行时,处理器执行存储器存储的计算机执行指令,以使电子设备执行第一方面及其各种可选的实现方式中任意之一的异常流量处理方法,或者执行第二方面及其各种可选的实现方式中任意之一的异常流量处理方法。
第六方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质包括计算机执行指令,当计算机执行指令在计算机上运行时,使得计算机执行第一方面及其各种可选的实现方式中任意之一的异常流量处理方法,或者执行第二方面及其各种可选的实现方式中任意之一的异常流量处理方法。
本申请的这些方面或其他方面在以下的描述中会更加简明易懂。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例示出的一种DdoS防护系统的结构示意图;
图2为本申请实施例示出的一种异常流量处理系统的结构示意图;
图3为本申请实施例示出的一种异常流量处理方法的流程示意图;
图4为本申请实施例示出的一种IPv6报文处理的流程示意图;
图5为本申请实施例示出的又一种IPv6报文处理的流程示意图;
图6为本申请实施例示出的又一种异常流量处理方法的流程示意图;
图7为本申请实施例示出的又一种异常流量处理方法的流程示意图;
图8为本申请实施例示出的又一种IPv6报文处理的流程示意图;
图9为本申请实施例示出的又一种异常流量处理方法的流程示意图;
图10为本申请实施例示出的一种分类节点路由器的结构示意图;
图11为本申请实施例示出的一种电子设备的结构示意图。
具体实施方式
下面结合附图对本申请实施例提供的一种异常流量处理方法、装置、设备及存储介质进行详细地描述。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象,或者用于区别对同一对象的不同处理,而不是用于描述对象的特定顺序。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
在本申请的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
相关技术中,当异常流量的流量体积超过清洗中心的流量处理能力时,经过这个清洗中心处理后的流量中还可能会存在大量的未被清洗的流量,这些流量仍然会有攻击目标IP地址的隐患。
为了解决上述问题,本申请实施例提供了一种异常流量处理方法,该方法中,可以从多个清洗中心中确出多个目标清洗中心,当异常流量的体积大于单个目标清洗中心的处理能力时,经过第一个目标清洗中心清洗过的流量会继续被下一个目标清洗中心清洗,从而利用多个目标清洗中心依次清洗异常流量,减少了异常流量未被全部清洗而造成的安全隐患。另外,该方法中以IPv6报文头保存及传递目标清洗中心对应的转发节点路由器地址,保证了多个目标清洗中心串行地对异常流量进行清洗的可行性。
本申请实施例提供的上述异常流量处理方法,可以应用于如图2所示的异常流量处理系统中。参见图2,异常流量处理系统包括监控调度层200和清洗处理层201。其中,监控调度层200包括异常检测模块2001、流量调度模块2002和状态监测模块2003;清洗处理层201包括分类节点路由器2011、转发节点路由器2012、清洗中心2013、终结节点路由器2014和城域网2015。其中,异常流量处理系统可以包括一个或者多个转发节点路由器2012,以及每个转发节点路由器对应一个清洗中心2013。
异常检测模块2001用于实时采集流量和判别异常流量;状态监测模块2003用于获取互联网中各个可用的清洗中心2013的当前流量处理能力;流量调度模块2002用于在异常检测模块2001采集到异常流量时,协同异常检测模块2001向分类节点路由器2011发送异常流量。
可选的,状态监测模块2003可以将获取到的各个可用的清洗中心2013当前的流量处理能力发送给分类节点路由器2011。
可选的,状态监测模块2003可以将获取到的各个可用的清洗中心2013当前的流量处理能力发送给流量调度模块2002,由流量调度模块2002将各个可用的清洗中心2013当前的流量处理能力转发给分类节点路由器2011。
分类节点路由器2011从多个可用的清洗中心2013中确定出总的流量处理能力可以满足异常流量清洗要求的多个目标清洗中心,并通过转发节点路由器2012将异常流量转发给对应的目标清洗中心进行清洗。终结节点路由器2014将清洗后的流量转发到城域网2015中的目的地址上。
以本申请实施例提供的异常流量处理方法应用于上述异常流量处理系统为例,参见图3,该方法可以包括如下步骤S301-S304。
S301、分类节点路由器在多个清洗中心中确定出多个目标清洗中心;对待处理异常流量对应的互联网通信协议第四版本IPv4报文封装互联网协议第六版本IPv6报文头,生成待处理异常流量对应的IPv6报文;按照IPv6报文头中保存的流量处理路径,将IPv6报文发送至多个转发节点路由器。
在一些实施例中,分类节点路由器在确定出目标清洗中心之前,还可以获取待处理异常流量对应的IPv4报文。通常,互联网上流量的发送或者传递都是通过IPv4报文的形式发送,IPv4报文头中保存的是流量的源地址和将要发送到的目的地址。示例性的,待处理异常流量可以是DDoS异常流量。
互联网中设置有很多清洗中心,相关技术中,每个清洗中心对应一个异常流量处理系统或者异常流量处理装置;而本申请实施例中,分类节点路由器可以从这些清洗中心确定出多个可以对待处理异常流量对应的IPv4报文进行流量清洗的目标清洗中心。
其中,确定出的多个目标清洗中心的当前总的流量处理能力大于或者等于待处理异常流量的流量体积。示例性的,清洗中心的流量处理能力通过清洗中心能够处理的总的流量体积来表示,清洗中心当前的流量处理能力为清洗中心可处理的总流量体积减去当前正在处理的流量体积。
示例性的,待处理待异常流量的流量体积为60G,待选的清洗中心A当前的流量处理能力为20G,清洗中心B当前的流量处理能力为25G,清洗中心C当前的流量处理能力为30G,清洗中心D当前的流量处理能力为35G。由于清洗中心C和清洗中心D当前的流量处理能力的总和超过了待处理异常流量的流量体积,那么分类节点路由器可以将清洗中心C和清洗中心D作为两个目标清洗中心。
或者,由于清洗中心B和清洗中心D当前的流量处理能力的总和等于待处理异常流量的流量体积,分类节点路由器也可以将清洗中心B和清洗中心D作为两个目标清洗中心。
再或者,由于清洗中心A、清洗中心B和清洗中心C当前的流量处理能力的总和大于待处理异常流量的流量体积,分类节点路由器也可以将清洗中心A、清洗中心B和清洗中心C作为三个目标清洗中心。
由于每个目标清洗中心都配置有对应的转发节点路由器,即每个转发节点路由器对应一个目标清洗中心,因此,分类节点路由器确定出目标清洗中心后,也就确定出了目标清洗中心对应的转发节点路由器。
示例性的,分类节点路由器确定出的目标清洗中心为清洗中心C和清洗中心D,进而可以确定出清洗中心C对应的转发节点路由器c,和清洗中心D对应的转发节点路由器d。
或者,分类节点路由器确定出的目标清洗中心为清洗中心B和清洗中心D,进而可以确定出清洗中心B对应的转发节点路由器b,和清洗中心D对应的转发节点路由器d。
再或者,分类节点路由器确定出的目标清洗中心为清洗中心A、清洗中心B和清洗中心C,进而可以确定出清洗中心A对应的转发节点路由器a,清洗中心B对应的转发节点路由器b,和清洗中心C对应的转发节点路由器c。
目前的流量多是以IPv4报文的形式发送或者传递,IPv4报文的报文头是不具有扩展性的,即IPv4报文头中保存的地址位数是有限的,仅能保存流量的源地址和目的地址等地址。
本申请实施例中,需要实现多个转发节点路由器之间的报文转发,从而完成多个目标清洗中心对待处理异常流量对应的IPv4报文的串行流量清洗,那么转发的报文头中需要保存多个转发节点路由器的地址,即需要报文头中有足够的地址位数。为了保证报文头具有足够的地址位数,本申请实施例中,在原有的IPv4报文的基础上,封装一个可扩展地址位数的IPv6报文。
因此,在上述步骤S301中,分类节点路由器还要对IPv4报文封装IPv6报文头,组成待处理异常流量对应的IPv6报文。其中,IPv6报文头中保存了多个转发节点路由器的地址,并且多个转发节点路由器中的每个转发节点路由器对应一个目标清洗中心。
在一些实施例中,分类节点路由器可以将多个转发节点路由器地址编排成流量处理路径,或者,利用多个转发节点路由器地址生成流量处理路径。而后,分类节点路由器再将该流量处理路径保存在上述IPv6报文头中。
示例性的,如果确定出的目标清洗中心分别为目标清洗中心C和D,其中,目标清洗中心C对应转发节点路由器c的地址Lc,目标清洗中心D对应转发节点路由器d的地址为Ld。那么利用地址Lc和地址Ld,生成的流量处理路径可以是<Lc,Ld>。分类节点路由器可以将该流量处理路径保存在IPv6报文头中。
或者,如果确定出的目标清洗中心分别为目标清洗中心B和D,其中,目标清洗中心B对应转发节点路由器b的地址Lb,目标清洗中心D对应转发节点路由器d的地址为Ld。那么利用地址Lb和地址Ld,生成的流量处理路径可以是<Lb,Ld>。分类节点路由器可以将该流量处理路径保存在IPv6报文头中。
再或者,如果确定出的目标清洗中心分别为目标清洗中心A和B,其中,目标清洗中心A对应转发节点路由器a的地址La,目标清洗中心B对应转发节点路由器b的地址为Lb。那么利用地址La和地址Lb,生成的流量处理路径可以是<La,Lb>。分类节点路由器可以将该流量处理路径保存在IPv6报文头中。
本申请实施例中,可以利用IPv6报文头地址可扩展的特性,在IPv6报文头中保存多个转发节点路由器的地址。而原有的IPv4报文的报文头地址位数有限,不可扩展,因此如果仍使用原有的IPv4报文,很难保存数量较多的转发节点路由器的地址,进而难以实现多个转发节点路由器之间的跳转和流量传输。可见,采用IPv6报文头封装IPv4报文的方式,能够保证多个转发节点路由器之间的跳转和多个目标清洗中心串行地对异常流量进行清洗的可行性。
S302、多个转发节点路由器中的每个转发节点路由器对IPv6报文解封装,并将解封装后获得的IPv4报文发送至对应的目标清洗中心。
由于前述实施例中,分类节点路由器向转发节点路由器发送的是封装好的IPv6报文,因此,转发节点路由器再获取到该IPv6报文后,还需将其解封装,重新获得待处理异常流量对应的IPv4报文。分类节点路由器再将该IPv4报文发送至对应的目标清洗中心。
在一些实施例中,参见图4,在多个转发节点路由器依次对IPv6报文进行串行处理时,每个转发节点路由器在接收到IPv6报文后,会去除IPv6报文头,获得待处理异常流量对应的IPv4报文,再根据IPv6报文头中保存的地址确定出下一跳应该发送的转发节点路由器的地址。当前的转发节点路由器将当前接收到的待处理异常流量对应的IPv4报文的报文头去除,为其封装一个保存新的源地址和目的地址的新的IPv4报文头。其中,新的IPv4报文头的新的源地址表示的是当前转发节点路由器的地址,新的目的地址表示与当前转发节点路由器对应的目标清洗中心的地址。当前的转发节点路由器将新的IPv4报文发送至目的地址对应的目标清洗中心进行流量清洗。
示例性的,IPv6报文的报文头中保存的转发节点路由器的地址可以表示为<Ld,Lc,Lb>,第一个转发节点路由器d接收到IPv6报文后,会将IPv6报文头去除,获得IPv4报文。转发节点路由器d将该IPv4报文的报文头1去除,重新封装一个报文头2,报文头2中保存作为源地址的转发节点路由器d的地址Ld,和作为目的地址的转发节点路由器d对应的目标清洗中心D的地址LD。转发节点路由器d将具有报文头2的IPv4报文送至目标清洗中心D进行流量清洗。
S303、目标清洗中心对接收到的IPv4报文进行流量清洗,并将清洗后的IPv4报文发回至对应的转发节点路由器。
由于步骤S302中的转发节点路由器向目标清洗中心发送的IPv4报文的报文头中保存了该IPv4报文的源地址和目的地址,因此,目标清洗中心在进行了流量清洗后,可以根据IPv4报文头中的源地址,将清洗后的IPv4报文发回至对应的转发节点路由器。
S304、转发节点路由器对IPv4报文封装IPv6报文头,并将封装IPv6报文头后的IPv6报文发送至流量处理路径中的下一个地址上的转发节点路由器。
在一些实施例中,参见图5,目标清洗中心将清洗后的IPv4报文发回源地址上的当前转发节点路由器之后,当前转发节点路由器将此IPv4报文的报文头去除,重新封装旧的IPv4报文头,再封装之前的IPv6报文头,将获得的IPv6报文转发至下一跳的转发节点路器上。
仍以上述步骤S302中的示例为例,转发节点路由器d将报文头2去除,重新封装报文头1,并将具有报文头1的IPv4报文根据下一跳地址Lc发送至第二个转发节点路由器c上。第二个转发节点路由器c可以根据转发节点路由器d的处理过程进行处理,并将处理后的IPv4报文继续根据下一跳地址Lb发送至第三个转发节点路由器B上。
上述各个转发节点路由器对应的目标清洗中心对待处理异常流量对应的IPv4报文进行串行清洗处理,经过最后一个目标清洗中心清洗后,待处理异常流量已经完全被清洗干净,此时最后一个转发节点路由器发出的IPv6报文即为被清洗干净的目标流量对应的IPv6报文。
可见,本申请上述实施例中的方法,可以利用多个目标清洗中心对待处理异常流量进行串行清洗,并且,由各个目标清洗中心对应的转发节点路由器实现待处理异常流量对应报文的处理和转发。这样,当异常流量的体积大于单个目标清洗中心的处理能力时,经过第一个目标清洗中心清洗过的流量会继续被下一个目标清洗中心清洗,从而利用多个目标清洗中心依次清洗异常流量,减少了异常流量未被全部清洗而造成的安全隐患。另外,本申请以IPv6报文头保存及传递目标清洗中心对应的转发节点路由器地址,保证了多个目标清洗中心串行地对异常流量进行清洗的可行性。
在一些实施例中,可以由异常流量处理系统中的异常检测模块对流量进行异常检测。异常检测模块如果检测出流量为异常流量,则将其确定为待处理异常流量,并将待处理异常流量对应的IPv4报文发送给分类节点路由器。
分类节点路由器在获取到待处理异常流量对应的IPv4报文之后,可以根据该IPv4报文确定出待处理异常流量的流量体积大小,从而有利于从多个清洗中心中确定出多个可以对待处理异常流量进行流量清洗的目标清洗中心。
在一些实施例中,还可以由状态监测模块获取互联网中各个可用的清洗中心当前的流量处理能力。而后,状态监测模块再将清洗中心当前的流量处理能力发送给分类节点路由器。而分类节点路由器根据待处理异常流量的流量体积大小和各个清洗中心的当前流量处理能力,从各个清洗中心中确定出多个目标清洗中心。
状态监测模块在获取各个清洗中心当前的流量处理能力时,可以采用主动获取和被动获取两种方式。
在一些实施例中,状态监测模块主动获取各个清洗中心当前的流量处理能力时,参见图6,在步骤S301之前,还可以包括步骤S3011-S3012。
S3011、状态监测模块先获取预设周期。
其中,预设周期是预先设置的时间周期,例如5秒、1分钟等。本申请实施例中不对预设周期的数值进行具体限制。
S3012、状态监测模块根据预设周期,定时获取每个清洗中心当前的流量处理能力,并将每个清洗中心当前的流量处理能力发送给分类节点路由器。
示例性的,如果预设周期为5s,那么状态监测模块需要每隔5获取一次所有可用的清洗中心的当前流量处理能力。
本申请实施例中,状态监测模块根据预设周期主动获取清洗中心当前的流量处理能力,可以及时地了解到各个清洗中心当前的处理状态,以便准确地确定出目标清洗中心。
然而,在一些情况下,状态监测模块主动获取流量处理能力时,需要向清洗中心发送请求信号,并接收清洗中心发回的反馈信号等。这个过程中,请求信号和反馈信号的发送都需要耗费的一定的时间。并且,如果有些清洗中心当前具有流量处理能力,但是流量处理能力比较低,即使被状态监测模块获取到当前的流量处理能力,也不会被状态监测模块选择,这些清洗中心对于状态监测模块来说,是产生干扰的选项,状态监测模块从这些流量处理能力比较低的清洗中心中确定出目标清洗中心,也会浪费一定的时间。可见,状态监测模块主动获取清洗中心的当前流量处理能力时,会出现耗时的问题。
为了避免上述耗时的问题,在一些实施例中,状态监测模块被动获取各个清洗中心当前的流量处理能力时,参见图7,在步骤S301之前,还可以包括步骤S3013。
S3013、状态监测模块接收由每个清洗中心主动上报的当前的流量处理能力,并将每个清洗中心当前的流量处理能力发送给分类节点路由器。
具体的,本申请实施例中,可以设置预设流量阈值,并通过清洗中心当前的处理能力与预设流量阈值进行比较,由清洗中心确定是否需要主动上报的当前的流量处理能力。其中,预设流量阈值可以设置为统一的值,也可以根据各个清洗中心总的流量处理能力而对应设置不同的值。本申请实施例中不对预设流量阈值的数值进行具体限制。
每个清洗中心都可以与状态监测模块进行通信,当清洗中心当前的流量处理能力大于或者等于预设流量阈值时,可以触发清洗中心的上报操作。即,此时,清洗中心可以将自身当前的流量处理能力上报给状态监测模块。而当前的流量处理能力小于预设流量阈值的清洗不会上报当前的流量处理能力,状态监测模块会在确定目标清洗中心时,排除这些流量处理能力较小的清洗中心,仅从当前流量处理能力较大的清洗中心中选择,这样也能节省一些时间。
示例性的,预设流量阈值为25G,如果清洗中心A当前的流量处理能力为20G,那么该流量处理能力小于预设流量阈值,说明该清洗中心A当前的流量处理能力小,此时清洗中心A不会将当前的流量处理能力上报;而如果清洗中心A当前的力量处理能力变为30G时,该流量处理能力大于预设流量阈值,说明该清洗中心A当前的流量处理能力较大,此时清洗中心A才会将当前的流量处理能力上报。
可见,本申请实施例中,清洗中心在当前的流量处理能力大于或者等于预设流量阈值时,才会将当前的流量处理能力上报给状态监测模块,这样可以在清洗中心状态监测的阶段,初步为分类节点路由器排除掉一些当前流量处理能力较低的清洗中心,进而保证分类节点路由器在确定目标清洗中心时能更加准确和快速。
通过上述定时获取清洗中心当前流量处理能力的方式或者接收清洗中心主动上报的当前流量处理能力的方式,状态监测模块可以及时地掌握各个清洗中心的流量处理能力,并将各个清洗中心的当前流量处理能力及时地发送给分类节点路由器,以便分类节点路由器从多个清洗中心中确定出可以对异常流量进行清洗的多个目标清洗中心。
在一些实施例中,分类节点路由器还可以根据多个目标清洗中心中每个目标清洗中心当前的流量处理能力,将每个目标清洗中心按照当前的流量处理能力从大至小依次排列。而后,分类节点路由器再将排序后的每个目标清洗中心对应的转发节点路由器的地址,生成流量处理路径。最后,分类节点路由器将流量处理路径保存到IPv6报文头中。这样,在后续的清洗过程中,可以先使用当前流量处理能力较高的目标清洗中心对待清洗异常流量对应的IPv4报文进行流量清洗,从而可以尽可能地避免使用较多的处理能力较小的清洗中心,而造成的清洗中心使用不合理的情况。同时也能保证待处理异常流量对应的IPv4报文的正常清洗。
在一些实施例中,分类节点路由器还可以利用多个转发节点路由器的地址和终结节点路由器的地址,生成流量处理路径。而后,分类节点路由器再将该流量处理路径保存在IPv6报文头中。
多个转发节点路由器中最后一个转发节点路由器可以将IPv6报文发送至终结节点路由器。终结节点路由器的作用在于将清洗后的目标流量对应的IPv4报文转发到城域网中的目的地址上。
示例性的,流量处理路径可以表示为<Ld,Lc,Lb,Lend>,其中Lend表示终结节点路由器的地址。参见图8,分类节点路由器将IPv6报文发送至流量处理路径中的第一个地址Ld上,由第一个转发节点路由器d接收并处理。第一个转发节点路由器d将异常流量对应的IPv4报文转发至对应的目标清洗中心D中进行清洗,并将清洗后的流量对应的IPv6报文继续转发至下一跳地址Lc上,由第二个转发节点路由器c接收并处理。第二个转发节点路由器c将异常流量对应的IPv4报文转发至对应的目标清洗中心C中进行清洗,并将清洗后的流量对应的IPv6报文继续转发至下一跳地址Lb上,由第三个转发节点路由器b接收并处理。第三个转发节点路由器b将异常流量对应的IPv4报文转发至对应的目标清洗中心B中进行清洗,并将清洗后的目标流量对应的IPv6报文继续转发至下一跳地址Lend上,由最后一个终结节点路由器end将目标流量对应的IPv4报文转发至城域网中。
在一些实施例中,由于转发节点路由器发出的流量报文为IPv6报文,因此终结节点路由器还可以将接收到的目标流量对应的IPv6报文的报文头去除,获得目标流量对应的IPv4报文。而后,再将目标流量对应的IPv4报文发送至城域网中的目的地址上。
其中,目标流量为待处理异常流量经过上述多个目标清洗中心清洗后的流量。
终结节点路由器在去除IPv6报文头后,即可获得IPv4报文。待处理异常流量和目标流量只是未被清洗和被清洗的区别,二者的源地址和目的地址都是相同。因此,在IPv4报文头中保存的源地址和目的地址,也是目标流量的源地址和目的地址。
经过多个清洗中心处理后,分类节点路由器获得的待处理异常流量已经被完全被清洗干净,此时终结节点路由器转发出的流量即为正常流量。这样的流量在城域网中攻击目的地址的概率较小,进而产生的安全隐患也较低。
或者,在一些实施例中,分类节点路由器还可以先根据多个目标清洗中心中每个目标清洗中心当前的流量处理能力,将每个目标清洗中心按照当前的流量处理能力从大至小依次排列。而后,分类节点路由器再利用排序后的每个目标清洗中心对应的转发节点路由器的地址和终结节点路由器的地址,生成流量处理路径。最后,分类节点路由器将流量处理路径保存到IPv6报文头中。
在一些实施例中,上述流量处理路径中的各个地址对应的路由器还可以配置有对应的路由器身份证明(identification,ID),并且流量处理路径中还可以保存各个路由器对应的路由器ID。其中,转发节点路由器的路由器ID与对应的目标清洗中心相关联,转发节点路由器在接收到IPv6报文后,可以直接根据自己的路由器ID确定对应的目标清洗中心。这样,可以既准确又快速地找到对应的目标清洗中心。
示例性的,流量处理路径还可以以段列表Segment List的形式表示,例如<Segment List[0]=Lend::ID-end,Segment List[1]=Ln::ID-n,……,Segment List[n]=L1::ID-1>,其中Segment List[0]=Lend::SID-end表示流量处理路径上最后一个节点上的终结节点路由器的地址Lend和路由器身份证明ID-end,Segment List[1]=Ln::ID-n表示倒数第二个节点上最后一个转发节点路由器的地址Ln和路由器身份证明ID-n,Segment List[n]=L1::ID-1表示第一个转发节点路由器的地址L1和路由器身份证明ID-1。
在一些实施例中,上述分类节点路由器、转发节点路由器和终结节点路由器等均为SRv6路由器。其中,SRv6是基于源路由理念而设计的在网络上转发IPv6数据包、报文的一种协议,那么SRv6路由器就是基于SRv6协议可以对IPv6报文进行处理的一种路由器。
由于本申请上述实施例中采用IPv6报文的方式在各个路由器间传递流量,因此为了处理IPv6报文,各个路由器需要配置为SRv6路由器,这样能更好地实现流量报文经过多个路由器的串行处理,同时也使得多个目标清洗中心串行对异常流量进行清洗的目的得以实现。
本申请实施例中还提供了另一种异常流量处理方法,该方法可以应用于前述实施例中的分类节点路由器中,参见图9,该方法可以包括如下步骤S401-S403。
S401、分类节点路由器在多个清洗中心中确定出多个目标清洗中心。
其中,分类节点路由器确定出多个目标清洗中心的内容可以参照前述实施例中分类节点路由器的相关内容。
S402、分类节点路由器对待处理异常流量对应的IPv4报文封装IPv6报文头,生成待处理异常流量对应的IPv6报文。IPv6报文头中保存流量处理路径,流量处理路径包括多个转发节点路由器的地址,多个转发节点路由器中的每个转发节点路由器对应一个目标清洗中心。
其中,分类节点路由器生成待处理异常流量对应的IPv6报文的内容可以参照前述实施例中分类节点路由器的相关内容。
S403、分类节点路由器按照IPv6报文头中保存的流量处理路径,将IPv6报文发送至多个转发节点路由器。多个转发节点路由器中的每个转发节点路由器用于对IPv6报文解封装,并将解封装后获得的IPv4报文发送至对应的目标清洗中心进行流量清洗。
其中,分类节点路由器发送IPv6报文的内容可以参照前述实施例中分类节点路由器的相关内容,以及,转发节点路由器处理IPv6报文的内容可以参照前述实施例中转发节点路由器的相关内容。
可见,本申请实施例的方法中,分类节点路由器可以从多个清洗中心中确定出多个目标清洗中心,并根据多个目标清洗中心分别对应的多个转发节点路由器的地址生成流量处理路径。从而实现待处理异常流量在流量处理路径上的多个转发节点路由器上串行处理,而由于每个转发节点路由器对应一个目标清洗中心,还可以实现待处理异常流量在多个目标清洗中心中的串行流量清洗。这样,当异常流量的体积大于单个目标清洗中心的处理能力时,经过第一个目标清洗中心清洗过的流量会继续被下一个目标清洗中心清洗,从而利用多个目标清洗中心依次清洗异常流量,减少了异常流量未被全部清洗而造成的安全隐患。另外,本申请以IPv6报文头保存及传递目标清洗中心对应的转发节点路由器地址,保证了多个目标清洗中心串行地对异常流量进行清洗的可行性。
本申请实施例中还提供了一种分类节点路由器,参见图10,该分类节点路由器可以包括清洗中心确定模块501、报文生成模块502和报文转发模块503。
其中,清洗中心确定模块501,用于在多个清洗中心中确定出多个目标清洗中心。例如执行前述实施例中的步骤S401。
报文生成模块502,用于对待处理异常流量对应的IPv4报文封装IPv6报文头,生成待处理异常流量对应的IPv6报文。例如执行前述实施例中的步骤S402。
其中,IPv6报文头中保存流量处理路径,流量处理路径包括多个转发节点路由器的地址,多个转发节点路由器中的每个转发节点路由器对应一个目标清洗中心。
报文转发模块503,用于按照IPv6报文头中保存的流量处理路径,将IPv6报文发送至多个转发节点路由器。例如执行前述实施例中步骤S403。其中,多个转发节点路由器中的每个转发节点路由器用于对IPv6报文解封装,并将解封装后获得的IPv4报文发送至对应的目标清洗中心进行流量清洗。
可选的,清洗中心确定模块501,还用于根据待处理异常流量的流量体积大小和每个清洗中心当前的流量处理能力,在多个清洗中心中确定出对待处理异常流量对应的IPv4报文进行流量清洗的多个目标清洗中心。例如执行前述实施例中分类节点路由器确定出目标清洗中心的步骤。
可选的,报文生成模块502,还用于根据多个目标清洗中心中每个目标清洗中心当前的流量处理能力,将每个目标清洗中心按照当前的流量处理能力从大至小依次排列;利用排序后的每个目标清洗中心对应的转发节点路由器的地址,生成流量处理路径;将流量处理路径保存到IPv6报文头中。例如执行前述实施例中分类节点路由器生成流量处理路径的步骤。
可选的,报文生成模块502,还用于利用排序后的每个目标清洗中心对应的转发节点路由器的地址和终结节点路由器的地址,生成流量处理路径;终结节点路由器用于接收多个转发节点路由器中最后一个转发节点路由器发送的IPv6报文,并将IPv6报文解封装后获得的IPv4报文发送至城域网。例如执行前述实施例中分类节点路由器生成流量处理路径的步骤。
本申请实施例中还提供了一种异常流量处理系统,该系统可以包括如图2中所示的分类节点路由器2011、转发节点路由器2012、清洗中心2013。其中,可以包括一个或者多个转发节点路由器2012,并且每个转发节点路由器2012对应一个清洗中心2013。分类节点路由器2011、转发节点路由器2012和清洗中心2013的内容可以分别参照前述实施例中的分类节点路由器2011、转发节点路由器2012和目标清洗中心的相关内容。
可选的,上述系统中还可以包括如图2中所示的异常检测模块2001,异常检测模块2001可以参照前述实施例中异常检测模块的相关内容。
可选的,上述系统中还可以包括如图2中所示的状态监测模块2003,状态监测模块2003可以参照前述实施例中状态监测模块的相关内容。
可选的,上述系统中还可以包括如图2所示的终结节点路由器2014,终结节点路由器2014可以参照前述实施例中终结节点路由器的相关内容。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能单元的划分进行举例说明,实际应用中,可以根据需要而将上述功能信息处理由不同的功能单元完成,即将装置的内部结构划分成不同的功能单元,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例提供的异常流量处理方法还可以应用于电子设备中。参见图11,该电子设备可以包括处理器601、通信接口602、通信线路603以及存储器604。
其中,处理器601可以是CPU、通用处理器网络处理器(network proce ssor,NP)、数字信号处理器(digital signal processing,DSP)、微处理器、微控制器、可编程逻辑器件(programmable logic device,PLD)或它们的任意组合。处理器601还可以是其它具有处理功能的装置,例如电路、器件或软件单元,不予限制。在一种示例中,处理器601可以包括一个或多个CPU,例如,图11中的CPU0和CPU1。
通信接口602,用于与其他设备或其它数据处理网络进行数据处理。该其它数据处理网络可以为以太网,无线接入网(radio access network,RAN)设备,无线局域网(wireless local area networks,WLAN)等。通信接口可以是单元、电路、通信接口或者任何能够实现数据处理的装置。
通信线路603,用于在接入系统所包括的各部件之间传送消息。
存储器604,用于存储指令。其中,指令可以是计算机程序。
其中,存储器604可以是只读存储器(read-only memory,ROM)或可存储静态消息和/或指令的其他类型的静态存储设备,也可以是随机存取存储器(random accessmemory,RAM)或可存储消息和/或指令的其他类型的动态存储设备,还可以是电可擦可编程只读存储器(ally erasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或其他磁存储设备等,不予限制。
需要指出的是,存储器604可以独立于处理器601存在,也可以和处理器601集成在一起。存储器604可以用于存储指令或者程序代码或者一些网络数据等。存储器604可以位于电子设备内,也可以位于电子设备外,不予限制。处理器601,用于执行存储器604中存储的指令,以实现本申请上述实施例提供的异常流量处理方法。
作为一种可选的实现方式,电子设备可以包括多个处理器,例如,除图11中的处理器601之外,还可以包括处理器607。
此外,本申请的各实施例之间涉及的动作、术语等均可以相互参考,不予限制。本申请的实施例中各个设备之间交互的消息名称或消息中的参数名称等只是一个示例,具体实现中也可以采用其他的名称,不予限制。
本申请实施例提供一种包含指令的计算机程序产品,当计算机程序产品在计算机上运行时,使得计算机执行上述方法实施例中的异常流量处理方法。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当计算机执行指令在计算机上运行时,使得计算机执行上述方法实施例中的异常流量处理方法。
其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合、或者本领域熟知的任何其它形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit,ASIC)中。在本申请实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (18)
1.一种异常流量处理方法,其特征在于,应用于分类节点路由器,所述方法包括:
在多个清洗中心中确定出多个目标清洗中心;所述多个目标清洗中心中的每个目标清洗中心的流量处理能力大于或者等于预设流量阈值;
对待处理异常流量对应的互联网通信协议第四版IPv4报文封装互联网通信协议第六版IPv6报文头,生成所述待处理异常流量对应的IPv6报文;所述IPv6报文头中保存流量处理路径,所述流量处理路径包括多个转发节点路由器的地址,所述多个转发节点路由器中的每个转发节点路由器对应一个目标清洗中心;
按照所述IPv6报文头中保存的所述流量处理路径,将所述IPv6报文发送至所述多个转发节点路由器;所述多个转发节点路由器中的每个转发节点路由器用于对所述IPv6报文解封装,并将解封装后获得的所述IPv4报文发送至对应的目标清洗中心进行流量清洗;所述目标清洗中心用于将清洗后的所述IPv4报文发回至对应的转发节点路由器,转发节点路由器用于对所述IPv4报文封装所述IPv6报文头,并将封装所述IPv6报文头后的IPv6报文发送至所述流量处理路径中的下一个地址上的转发节点路由器。
2.根据权利要求1所述的方法,其特征在于,所述在多个清洗中心中确定出多个目标清洗中心,包括:
根据所述待处理异常流量的流量体积大小和每个清洗中心当前的流量处理能力,在多个清洗中心中确定出对所述待处理异常流量对应的IPv4报文进行流量清洗的多个目标清洗中心。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述方法还包括:
根据所述多个目标清洗中心中每个目标清洗中心当前的流量处理能力,将所述每个目标清洗中心按照当前的流量处理能力从大至小依次排列。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
利用排序后的所述每个目标清洗中心对应的转发节点路由器的地址和终结节点路由器的地址,生成所述流量处理路径;所述终结节点路由器用于接收所述多个转发节点路由器中最后一个转发节点路由器发送的所述IPv6报文,并将所述IPv6报文解封装后获得的IPv4报文发送至城域网。
5.一种异常流量处理方法,其特征在于,应用于异常流量处理系统,所述异常流量处理系统包括分类节点路由器、转发节点路由器和每个转发节点路由器对应的清洗中心;所述方法包括:
所述分类节点路由器在多个所述清洗中心中确定出多个目标清洗中心;所述多个目标清洗中心中的每个目标清洗中心的流量处理能力大于或者等于预设流量阈值;对待处理异常流量对应的互联网通信协议第四版本IPv4报文封装互联网协议第六版本IPv6报文头,生成所述待处理异常流量对应的IPv6报文;所述IPv6报文头中保存流量处理路径,所述流量处理路径包括多个转发节点路由器的地址,所述多个转发节点路由器中的每个转发节点路由器对应一个目标清洗中心;按照所述IPv6报文头中保存的所述流量处理路径,将所述IPv6报文发送至所述多个转发节点路由器;
所述多个转发节点路由器中的每个转发节点路由器对所述IPv6报文解封装,并将解封装后获得的所述IPv4报文发送至对应的目标清洗中心;
所述目标清洗中心对所述IPv4报文进行流量清洗,并将清洗后的所述IPv4报文发回至对应的转发节点路由器;
所述转发节点路由器对所述IPv4报文封装所述IPv6报文头,并将封装所述IPv6报文头后的IPv6报文发送至所述流量处理路径中的下一个地址上的转发节点路由器。
6.根据权利要求5所述的方法,其特征在于,所述异常流量处理系统还包括终结节点路由器;所述方法还包括:
所述分类节点路由器利用每个目标清洗中心对应的转发节点路由器的地址和所述终结节点路由器的地址,生成所述流量处理路径;将所述流量处理路径保存在所述IPv6报文头中。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述多个转发节点路由器中最后一个转发节点路由器对获得的所述IPv4报文封装所述IPv6报文头,并将封装所述IPv6报文头后的IPv6报文发送至所述终结节点路由器。
8.根据权利要求6-7任一项所述的方法,其特征在于,所述方法还包括:
所述终结节点路由器将所述IPv6报文的报文头去除,获得目标流量对应的IPv4报文;所述目标流量对应的IPv4报文为所述待处理异常流量对应的IPv4报文经过所述多个目标清洗中心清洗后的报文;将所述目标流量对应的IPv4报文发送至城域网中的目的地址上;所述目的地址保存在所述目标流量对应的IPv4报文的报文头中。
9.一种分类节点路由器,其特征在于,包括清洗中心确定模块、报文生成模块和报文转发模块;所述清洗中心确定模块,用于在多个清洗中心中确定出多个目标清洗中心;所述多个目标清洗中心中的每个目标清洗中心的流量处理能力大于或者等于预设流量阈值;所述报文生成模块,用于对待处理异常流量对应的互联网通信协议第四版IPv4报文封装互联网通信协议第六版IPv6报文头,生成所述待处理异常流量对应的IPv6报文;所述IPv6报文头中保存流量处理路径,所述流量处理路径包括多个转发节点路由器的地址,所述多个转发节点路由器中的每个转发节点路由器对应一个目标清洗中心;所述报文转发模块,用于按照所述IPv6报文头中保存的所述流量处理路径,将所述IPv6报文发送至所述多个转发节点路由器;所述多个转发节点路由器中的每个转发节点路由器用于对所述IPv6报文解封装,并将解封装后获得的所述IPv4报文发送至对应的目标清洗中心进行流量清洗;所述目标清洗中心用于将清洗后的所述IPv4报文发回至对应的转发节点路由器,转发节点路由器用于对所述IPv4报文封装所述IPv6报文头,并将封装所述IPv6报文头后的IPv6报文发送至所述流量处理路径中的下一个地址上的转发节点路由器。
10.根据权利要求9所述的分类节点路由器,其特征在于,所述清洗中心确定模块,还用于根据所述待处理异常流量的流量体积大小和每个清洗中心当前的流量处理能力,在多个清洗中心中确定出对所述待处理异常流量对应的IPv4报文进行流量清洗的多个目标清洗中心。
11.根据权利要求9-10任一项所述的分类节点路由器,其特征在于,所述报文生成模块,还用于根据所述多个目标清洗中心中每个目标清洗中心当前的流量处理能力,将所述每个目标清洗中心按照当前的流量处理能力从大至小依次排列;利用排序后的所述每个目标清洗中心对应的转发节点路由器的地址,生成流量处理路径;将所述流量处理路径保存到所述IPv6报文头中。
12.根据权利要求11所述的分类节点路由器,其特征在于,所述报文生成模块,还用于利用排序后的所述每个目标清洗中心对应的转发节点路由器的地址和终结节点路由器的地址,生成所述流量处理路径;所述终结节点路由器用于接收所述多个转发节点路由器中最后一个转发节点路由器发送的所述IPv6报文,并将所述IPv6报文解封装后获得的IPv4报文发送至城域网。
13.一种异常流量处理系统,其特征在于,包括:分类节点路由器、转发节点路由器和每个转发节点路由器对应的清洗中心;
所述分类节点路由器,用于在多个所述清洗中心中确定出多个目标清洗中心;所述多个目标清洗中心中的每个目标清洗中心的流量处理能力大于或者等于预设流量阈值;对待处理异常流量对应的互联网通信协议第四版本IPv4报文封装互联网协议第六版本IPv6报文头,生成所述待处理异常流量对应的IPv6报文;所述IPv6报文头中保存流量处理路径,所述流量处理路径包括多个转发节点路由器的地址,所述多个转发节点路由器中的每个转发节点路由器对应一个目标清洗中心;按照所述IPv6报文头中保存的所述流量处理路径,将所述IPv6报文发送至所述多个转发节点路由器;
所述多个转发节点路由器中的每个转发节点路由器,用于对所述IPv6报文解封装,并将解封装后获得的所述IPv4报文发送至对应的目标清洗中心;
所述目标清洗中心,用于对所述IPv4报文进行流量清洗,并将清洗后的所述IPv4报文发回至对应的转发节点路由器;
所述转发节点路由器,用于对所述IPv4报文封装所述IPv6报文头,并将封装所述IPv6报文头后的IPv6报文发送至所述流量处理路径中的下一个地址上的转发节点路由器。
14.根据权利要求13所述的系统,其特征在于,所述系统还包括终结节点路由器;所述分类节点路由器,还用于利用每个目标清洗中心对应的转发节点路由器的地址和所述终结节点路由器的地址,生成所述流量处理路径;所述分类节点路由器将所述流量处理路径保存在所述IPv6报文头中。
15.根据权利要求14所述的系统,其特征在于,所述多个转发节点路由器中最后一个转发节点路由器,用于对获得的所述IPv4报文封装所述IPv6报文头,并将封装所述IPv6报文头后的IPv6报文发送至所述终结节点路由器。
16.根据权利要求14-15任一项所述的系统,其特征在于,所述终结节点路由器,用于将所述IPv6报文的报文头去除,获得目标流量对应的IPv4报文;所述目标流量对应的IPv4报文为所述待处理异常流量对应的IPv4报文经过所述多个目标清洗中心清洗后的报文;将所述目标流量对应的IPv4报文发送至城域网中的目的地址上;所述目的地址保存在所述目标流量对应的IPv4报文的报文头中。
17.一种电子设备,其特征在于,包括存储器和处理器;所述存储器用于存储计算机执行指令;当所述电子设备运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述电子设备执行如权利要求1-4任一项所述的异常流量处理方法,或者执行如权利要求5-8任一项所述的异常流量处理方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机执行指令,当所述计算机执行指令在计算机上运行时,使得所述计算机执行如权利要求1-4任一项所述的异常流量处理方法,或者执行如权利要求5-8任一项所述的异常流量处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210441355.9A CN114978600B (zh) | 2022-04-25 | 2022-04-25 | 异常流量处理方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210441355.9A CN114978600B (zh) | 2022-04-25 | 2022-04-25 | 异常流量处理方法、系统、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114978600A CN114978600A (zh) | 2022-08-30 |
CN114978600B true CN114978600B (zh) | 2023-06-23 |
Family
ID=82980033
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210441355.9A Active CN114978600B (zh) | 2022-04-25 | 2022-04-25 | 异常流量处理方法、系统、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114978600B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116893663B (zh) * | 2023-09-07 | 2024-01-09 | 之江实验室 | 一种主控异常检测方法、装置、存储介质及电子设备 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103491095A (zh) * | 2013-09-25 | 2014-01-01 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
CN107493272A (zh) * | 2017-08-01 | 2017-12-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置和系统 |
CN111355649A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 流量回注方法、装置和系统 |
WO2020143119A1 (zh) * | 2019-01-08 | 2020-07-16 | 深圳大学 | 物联网DDoS攻击防御方法、装置、系统及存储介质 |
CN112272194A (zh) * | 2020-12-23 | 2021-01-26 | 广东省新一代通信与网络创新研究院 | 一种可扩展的DDoS防御方法及系统 |
CN112532621A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置、电子设备及存储介质 |
CN113162849A (zh) * | 2020-01-22 | 2021-07-23 | 华为技术有限公司 | 一种报文处理方法、装置及系统 |
CN113489811A (zh) * | 2021-07-30 | 2021-10-08 | 迈普通信技术股份有限公司 | IPv6流量处理方法、装置、电子设备及计算机可读存储介质 |
-
2022
- 2022-04-25 CN CN202210441355.9A patent/CN114978600B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103491095A (zh) * | 2013-09-25 | 2014-01-01 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
CN107493272A (zh) * | 2017-08-01 | 2017-12-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置和系统 |
CN111355649A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 流量回注方法、装置和系统 |
WO2020143119A1 (zh) * | 2019-01-08 | 2020-07-16 | 深圳大学 | 物联网DDoS攻击防御方法、装置、系统及存储介质 |
CN113162849A (zh) * | 2020-01-22 | 2021-07-23 | 华为技术有限公司 | 一种报文处理方法、装置及系统 |
CN112532621A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置、电子设备及存储介质 |
CN112272194A (zh) * | 2020-12-23 | 2021-01-26 | 广东省新一代通信与网络创新研究院 | 一种可扩展的DDoS防御方法及系统 |
CN113489811A (zh) * | 2021-07-30 | 2021-10-08 | 迈普通信技术股份有限公司 | IPv6流量处理方法、装置、电子设备及计算机可读存储介质 |
Non-Patent Citations (4)
Title |
---|
IP城域网异常流量清洗与阻断技术研究;张鑫;;中国新通信(第03期);全文 * |
NAT-PT技术研究及实现;张平;孙少鹏;李春青;;无线电工程(第05期);全文 * |
分布式防范DDos攻击的解决方案探析;程作品;;科协论坛(下半月)(第05期);全文 * |
大流量DDoS攻击防护方案探讨;李国军;;邮电设计技术(第12期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114978600A (zh) | 2022-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
EP3110084B1 (en) | Method for generating forwarding information, controller and service forwarding entity | |
US10148573B2 (en) | Packet processing method, node, and system | |
US20190356594A1 (en) | Packet Processing Method, Apparatus, and System | |
CN111510386B (zh) | 用于处理报文的方法和装置 | |
CN101573913A (zh) | 用于多播路由选择的方法和设备 | |
CN111182659B (zh) | 一种Mesh设备的模式切换方法、模式切换装置及Mesh设备 | |
CN109586959B (zh) | 一种故障检测的方法及装置 | |
CN111371634B (zh) | 一种通信方法、装置及系统 | |
CN112751733A (zh) | 一种链路检测方法、装置、设备、系统及交换机 | |
CN113285918B (zh) | 针对网络攻击的acl过滤表项建立方法及装置 | |
CN105515816B (zh) | 检测层次信息的处理方法及装置 | |
CN114978600B (zh) | 异常流量处理方法、系统、设备及存储介质 | |
CN111064668B (zh) | 路由表项的生成方法、装置及相关设备 | |
EP4057576A1 (en) | Packet encapsulating method and apparatus, and packet decapsulating method and apparatus | |
CN107070719B (zh) | 一种设备管理方法和装置 | |
JP2015231131A (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
CN112187665B (zh) | 一种报文处理的方法及装置 | |
US20090285103A1 (en) | Apparatus for controlling tunneling loop detection | |
JP4778594B2 (ja) | パケット中継装置、パケット中継方法およびプログラム | |
CN107086960B (zh) | 一种报文传输方法和装置 | |
CN110855566A (zh) | 上行流量的牵引方法和装置 | |
CN112737889B (zh) | 流量处理方法、流量监控方法、装置、系统及存储介质 | |
CN115118473B (zh) | 数据处理方法、装置、设备及存储介质 | |
CN115442288B (zh) | 一种SRv6网络数据包检查方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |