CN116055077A - 一种跨域流量回注方法及装置 - Google Patents

Abstract

本发明公开了一种跨域流量回注方法及装置，涉及通信技术领域，用于提高流量清洗和流量回注的效率，包括：获取第一网络对应的目标流量，并对目标流量进行探测，确定目标流量中是否包括异常流量；在确定目标流量中包括异常流量的情况下，将目标流量发送至目标流量清洗中心；目标流量清洗中心与第三网络存在对应关系，第一网络、第二网络和第三网络为不同的局域网；目标流量清洗中心通过流量清洗算法对目标流量进行流量清洗处理，去除目标流量中包括的异常流量，得到清洗后的流量；目标流量清洗中心将清洗后的流量发送至第二网络，实现将清洗后的流量回注到网络中。

Description

一种跨域流量回注方法及装置

技术领域

本发明涉及通信技术领域，尤其涉及一种跨域流量回注方法及装置。

背景技术

分布式拒绝服务攻击(Distributed Denial of Service，DDoS)防护系统一般会由流量检测系统、流量调度系统和流量清洗系统几大部分组成。流量检测系统负责流量数据的实时采集；流量调度系统负责根据采集回来的流量数据，判别攻击并做出响应；流量清洗系统的核心职责则是对异常流量数据执行清洗动作，并将清洗后的干净流量回送到网络当中。

现有技术方案中，在不同的网络区域中，均需要配置一套DDoS防护系统才能够实现对流量进行清洗回注的功能，也就是说在每个网络区域中均需要设置流量检测系统、流量调度系统和流量清洗系统等几大部分，才能在IP地址被攻击时，将被攻击的流量牵引到清洗集群进行攻击流量过滤、流量清洗、流量回注，以达到所需的防护作用。这种实现方式对配置要求过高，硬件设备需求量过大，因此，进行流量清洗和流量回注的效率较低。

发明内容

本发明提供一种跨域流量回注方法及装置，用于在流量受到攻击时，提高流量清洗和流量回注的效率。

为达到上述目的，本发明采用如下技术方案：

第一方面，提供了一种跨域流量回注方法，该方法包括：获取第一网络对应的目标流量，并对目标流量进行探测，确定目标流量中是否包括异常流量；目标流量为从第一网络发送至第二网络的数据流量，异常流量为被攻击的流量；在确定目标流量中包括异常流量的情况下，将目标流量发送至目标流量清洗中心；目标流量清洗中心与第三网络存在对应关系，第一网络、第二网络和第三网络为不同的局域网；目标流量清洗中心通过流量清洗算法对目标流量进行流量清洗处理，去除目标流量中包括的异常流量，得到清洗后的流量；目标流量清洗中心将清洗后的流量发送至第二网络，实现将清洗后的流量回注到网络中。

在一种可能的实现方式中，将目标流量发送至目标流量清洗中心，包括：将目标流量发送至第一网络对应的第一路由器；第一路由器用于对目标流量进行处理，并确定目标流量的传输路径；第一路由器生成目标报文头，目标报文头中包括有目标流量的传输路径；第一路由器根据确定的目标流量的传输路径，将目标报文头和目标流量发送至目标流量清洗中心；目标流量清洗中心为多个流量清洗中心中目标流量的传输路径指示的一个流量清洗中心。

在一种可能的实现方式中，第一路由器根据确定的目标流量的传输路径，将目标报文头和目标流量发送至目标流量清洗中心，包括：第一路由器根据目标流量的传输路径，将目标报文头和目标流量发送至目标流量清洗中心对应的第二路由器；第二路由器用于目标流量的中转；第二路由器解析目标报文头，获取目标流量的传输路径，并根据目标流量的传输路径，将目标流量发送至目标流量清洗中心。

在一种可能的实现方式中，第二路由器解析目标报文头，获取目标流量的传输路径，并根据目标流量的传输路径，将目标流量发送至目标流量清洗中心，包括：第二路由器解析目标报文头，确定第一路径，第一路径用于指示目标流量在第二路由器和目标流量清洗中心之间的传输接口；第二路由器剥离目标流量对应的第一报文头，并根据第一路径确定第二报文头，以及将第二报文头添加至目标流量；第一报文头用于指示目标流量从第一网络发送至第二网络的初始路径；第二路由器根据第二报文头指示的传输接口，将目标流量发送至目标流量清洗中心。

在一种可能的实现方式中，目标流量清洗中心将清洗后的流量发送至第二网络，实现将清洗后的流量回注到网络中，包括：目标流量清洗中心根据第二报文头指示的传输接口，将清洗后的流量发送至第二路由器；第二路由器剥离清洗后的流量对应的第二报文头，并重新将第一报文头添加至清洗后的流量；第二路由器根据清洗后的流量的传输路径，确定第二路径，第二路径用于指示清洗后的流量在第二路由器和第二网络之间的传输接口；第二路由器根据第二路径，将清洗后的流量发送至第二网络。

在一种可能的实现方式中，第二路由器根据第二路径，将清洗后的流量发送至第二网络，包括：第二路由器根据第二路径，将清洗后的流量发送至第二网络对应的第三路由器；第三路由器用于接收清洗后的流量；第三路由器剥离目标报文头，获取第二路径，并根据第二路径将清洗后的流量发送至第二网络。

第二方面，提供了一种跨域流量回注装置，该一种跨域流量回注装置包括：获取单元、处理单元和发送单元；获取单元，用于获取第一网络对应的目标流量；处理单元，用于对目标流量进行探测，确定目标流量中是否包括异常流量；目标流量为从第一网络发送至第二网络的数据流量，异常流量为被攻击的流量；发送单元，用于在确定目标流量中包括异常流量的情况下，将目标流量发送至目标流量清洗中心；目标流量清洗中心与第三网络存在对应关系，第一网络、第二网络和第三网络为不同的局域网；处理单元，还用于目标流量清洗中心通过流量清洗算法对目标流量进行流量清洗处理，去除目标流量中包括的异常流量，得到清洗后的流量；发送单元，还用于目标流量清洗中心将清洗后的流量发送至第二网络，实现将清洗后的流量回注到网络中。

第三方面，提供了一种存储一个或多个程序的计算机可读存储介质，该一个或多个程序包括指令，上述指令当被计算机执行时使计算机执行如第一方面的一种跨域流量回注方法。

第四方面，一种电子设备，包括：处理器以及存储器；其中，存储器用于存储一个或多个程序，一个或多个程序包括计算机执行指令，当电子设备运行时，处理器执行存储器存储的计算机执行指令，以使电子设备执行如第一方面的一种跨域流量回注方法。

本发明提供一种跨域流量回注方法及装置，应用于进行流量清洗和流量回注的场景中，在流量受到攻击的情况下，首先获取从第一网络发送至第二网络的目标流量，并对目标流量进行探测，以确定目标流量中是否包括被攻击的异常流量。从而在确定目标流量中包括异常流量的情况下，将目标流量发送至与第三网络存在对应关系的目标流量清洗中心。进一步的目标流量清洗中心通过流量清洗算法对目标流量进行流量清洗处理，以去除目标流量中包括的异常流量，得到清洗后的流量；并将清洗后的流量发送至第二网络，从而实现将清洗后的流量回注到网络中。通过上述方法，由于第一网络、第二网络和第三网络为不同的局域网；因此可以实现跨域的流量清洗，并进行流量回注的效果，而无需在每个局域网中均配置一套防护系统，才能够实现对流量进行清洗回注的功能。因此可以实现多个局域网通过跨域的方式共同使用一套防护系统，达到流量清洗，并进行流量回注的效果。从而可以在流量受到攻击时，提高流量清洗和流量回注的效率，并节省设备成本。

附图说明

图1为一种现有的跨接回注和隧道回注系统结构示意图；

图2为本发明的实施例提供的一种跨域流量回注系统结构示意图；

图3为本发明的实施例提供的一种跨域流量回注方法流程示意图一；

图4为本发明的实施例提供的一种跨域流量回注方法流程示意图二；

图5为本发明的实施例提供的一种跨域流量回注方法流程示意图三；

图6为本发明的实施例提供的一种跨域流量回注方法流程示意图四；

图7为本发明的实施例提供的一种跨域流量回注方法流程示意图五；

图8为本发明的实施例提供的一种跨域流量回注方法流程示意图六；

图9为本发明的实施例提供的一种跨域流量回注方法对应的信息交互流程示意图；

图10为本发明的实施例提供的一种跨域流量回注装置结构示意图；

图11为本发明的实施例提供的一种电子设备结构示意图一；

图12为本发明的实施例提供的一种电子设备结构示意图二。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。

在本发明的描述中，除非另有说明，“/”表示“或”的意思，例如，A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。此外，“至少一个”“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

在网络中的流量受到攻击时，需要对收到攻击的流量进行以下处理：流量清洗，解决牵引的问题，下一步对攻击流量实施清洗。流量回注：通过流量清洗算法，攻击流量被清洗干净。下一步把干净的流量回送到网络中去。因为在做流量牵引时，已经对路由器发布了被攻击VIP的32位明细路由，因此不能直接通过在清洗集群回指路由的方式，将干净流量回注到网络当中去，这样做会导致路由环路的出现。目前主流的回注手段，有跨接回注、隧道回注、VRF回注等手段。

如图1所示，跨接回注是指将回注流量送往下游网络。清洗集群将流量清洗完成之后，送到下游交接机，下游交换机SW中保存的被攻击VIP的路由，指向图中的内网，这样就避免了将干净流量再次送回清洗中心而产生环路。跨接回注需要在下游交换机上配置被攻击VIP到内务的路由。隧道回注是指清洗集群和SW建立隧道，将去往被攻击IP的流量封装在内层，然后再在隧道外层，将目标IP地址设置为SW的IP，通过网卡把包送出去。因为目标IP地址是SW，清洗集群可以根据路由表，把数据包发送给路由器，而路由器也会顺利地将隧道报文发送给SW。数据包到达SW之后，SW解开隧道包，取出内层干净流量，直接通过路由，将流量回送给下游服务器。隧道回注需要在清洗集群和SW之间建立隧道，数据需要经过封装和解开封装。VRF回注是在对端路由器创建VRF，将清洗路由和回注路由隔离开，通过不同的路由平台，将路由区分开。清洗设备上配置路由，将干净流量回送到对端路由器。创建VRF需要将交换机上的端口与VRF绑定。

本发明实施例提供的一种跨域流量回注方法，可以适用于跨域流量回注系统。图2示出了该跨域流量回注系统的一种结构示意图。如图2所示，跨域流量回注系统20包括：异常流量探测设备21、路由器22、流量清洗中心23以及城域网24，在实际应用过程中，路由器22的数量可以为多个。异常流量探测设备21与路由器22进行连接，路由器22与流量清洗中心23和城域网24均进行连接。异常流量探测设备21、路由器22、流量清洗中心23以及城域网24之间可以采用有线方式连接，也可以采用无线方式连接，本发明实施例对此不作限定。

跨域流量回注系统20可以用于物联网，跨域流量回注系统20可以包括多个中央处理器(central processing unit，CPU)、多个内存、存储有多个操作系统的存储装置等硬件。

异常流量探测设备21可以用于物联网，用于对网络中的传输流量进行探测，以确定被攻击的异常流量。

路由器22可以用于物联网，用于对流量进行处理转发，实现流量的传输与接收功能。

流量清洗中心23可以用于物联网，用于接收从路由器22传输的异常流量，并对异常流量进行清洗处理，得到清洗后的流量。

城域网24可以用于物联网，用于接收清洗后的流量，并将清洗后的流量发送至目的地址。

需要说明的，异常流量探测设备21、路由器22、流量清洗中心23以及城域网24可以为相互独立的设备，也可以集成于同一设备中，本发明对此不作具体限定。

当异常流量探测设备21、路由器22、流量清洗中心23以及城域网24集成于同一设备时，异常流量探测设备21、路由器22、流量清洗中心23以及城域网24之间的通信方式为该设备内部模块之间的通信。这种情况下，二者之间的通信流程与“异常流量探测设备21、路由器22、流量清洗中心23以及城域网24之间相互独立的情况下，二者之间的通信流程”相同。

在本发明提供的以下实施例中，本发明以异常流量探测设备21、路由器22、流量清洗中心23以及城域网24相互独立设置为例进行说明。

下面结合附图对本发明实施例提供的一种跨域流量回注方法进行描述。

如图3所示，本发明实施例提供的一种跨域流量回注方法，应用于包括多个内存以及多个中央处理器CPU的终端，包括S201-S204：

S201、获取第一网络对应的目标流量，并对目标流量进行探测，确定目标流量中是否包括异常流量。

其中，目标流量为从第一网络发送至第二网络的数据流量，异常流量为被攻击的流量。

作为一种可能的实现方式，在通过第一网络向第二网络发送数据流量时，可以对发送的流量进行探测，以监测发送的数据流量是否被攻击而产生异常流量。

可以理解，上述通过第一网络向第二网络发送数据流量可以理解为：通过第一网络联网的设备向通过第二网络联网的设备发送数据流量。

作为一种可能的实现方式，上述异常流量可以为：目标流量受到DDoS攻击而产生的异常流量，从而导致目标流量的数据量增大。

作为一种可能的实现方式，可以通过部署异常流量探测设备对传输的流量进行探测，以探测目标流量中是否包括异常流量。

S202、在确定目标流量中包括异常流量的情况下，将目标流量发送至目标流量清洗中心。

其中，目标流量清洗中心与第三网络存在对应关系，第一网络、第二网络和第三网络为不同的局域网。

作为一种可能的实现方式，目标流量清洗中心所处位置可以与第一网络和第二网络均不同，从而达到跨域流量清洗、跨域流量回注的效果。

作为一种可能的实现方式，在将目标流量发送至目标流量清洗中心的过程中可以经过多个路由器进行转发，以进行跨域传输。

S203、目标流量清洗中心通过流量清洗算法对目标流量进行流量清洗处理，去除目标流量中包括的异常流量，得到清洗后的流量。

作为一种可能的实现方式，目标流量清洗中心在接收到目标流量之后，可以通过流量清洗算法对目标流量进行流量清洗处理，以去除目标流量中因受到攻击而产生的异常流量。

作为一种可能的实现方式，上述清洗后的流量为将目标流量中的异常流量去除后的流量，即清洗后的流量为目标流量受到攻击之前的流量。

S204、目标流量清洗中心将清洗后的流量发送至第二网络，实现将清洗后的流量回注到网络中。

作为一种可能的实现方式，在得到清洗后的流量之后，目标流量清洗中心可以将清洗后的流量通过多个路由器进行转发，以发送至第二网络，从而达到流量回注到网络中的效果。

在一种设计中，为了确定的目标流量的传输路径，将目标流量发送至目标流量清洗中心，如图4所示，在本发明实施例提供的一种跨域流量回注方法中，上述S202中的“将目标流量发送至目标流量清洗中心”，具体可以包括下述S301-S303：

S301、将目标流量发送至第一网络对应的第一路由器。

其中，第一路由器用于对目标流量进行处理，并确定目标流量的传输路径。

作为一种可能的实现方式，可以在异常流量探测设备对应部署一台SRv6路由器SC(即第一路由器)，以将异常流量探测设备探测到异常流量后将异常流量牵引到SRv6路由器SC中。

作为一种可能的实现方式，SRv6路由器SC可以确定目标流量的传输路径，以将目标流量传输至目标流量清洗中心进行流量清洗之后，再传输至第二网络。

作为一种可能的实现方式，上述目标流量的传输路径包括：每个传输节点(例如路由器)的IP地址和传输接口的安全标识符。

S302、第一路由器生成目标报文头。

其中，目标报文头中包括有目标流量的传输路径。

作为一种可能的实现方式，上述目标报文头可以理解为第一路由器为目标流量生成的路径信息，以改变目标流量的初始传输路径(即从第一网络直接传输至第二网络对应的路径)，从而使得目标流量可以先传输至目标流量清洗中心进行流量清洗之后，再传输至第二网络。

作为一种可能的实现方式，可以预先为目标流量清洗中心所对应的SRv6路由器SFF(即第二路由器)的多个输入输出接口分配安全标识符sid，并为城域网SRv6路由器End(即第三路由器)配置IPv4流量转发动作为sid₂，从而可以根据每个路由器的IP地址，以及每个路由器包括的输入输出接口的安全标识符确定流量传输路径。

作为一种可能的实现方式，SRv6路由器SC生成SRv6报文头，并进行SRH扩展报文头封装得到包括SRv6报文头和目标流量的SRv6报文，并以目标流量清洗中心对应的SRv6路由器SFF为中转节点进行发送。

示例性的，以目标流量清洗中心对应的SRv6路由器SFF为中转节点，并根据目标流量的目的地址，选择城域网SRv6路由器End为Endpoint节点。SRv6路由器SFF的IPv6地址为locator1，输入接口和输出接口配置为sid1。SRv6路由器End的IPv6地址为locator2，IPv4流量转发动作配置为sid2。生成的SRH的Segment List为：

locator2::sid2

locator1::sid1

S303、第一路由器根据确定的目标流量的传输路径，将目标报文头和目标流量发送至目标流量清洗中心。

其中，目标流量清洗中心为多个流量清洗中心中目标流量的传输路径指示的一个流量清洗中心。

作为一种可能的实现方式，在第一路由器生成目标报文头，确定目标流量的传输路径之后，可以根据目标流量的传输路径，将目标报文头和目标流量发送至目标流量清洗中心。

作为一种可能的实现方式，SRv6路由器SC(即第一路由器)可以根据多个流量清洗中心中，每个流量清洗中心的负载选择某个流量清洗中心(即目标流量清洗中心)。

需要说明的是，在包括多个流量清洗中心的情况下，则为每个流量清洗中心配置一个SRv6路由器SC，为每个SRv6路由器SC的多个接口配置安全标识符，以实现清洗工作的负载均衡。

在一种设计中，为了具体确定目标流量在第一路由器和目标流量清洗中心之间的传输路径，如图5所示，在本发明实施例提供的一种跨域流量回注方法中，上述S303具体可以包括下述S401-S402：

S401、第一路由器根据目标流量的传输路径，将目标报文头和目标流量发送至目标流量清洗中心对应的第二路由器。

其中，第二路由器用于目标流量的中转。

作为一种可能的实现方式，第一路由器根据目标流量的传输路径所指示的第二路由器的IP地址和传输接口的安全标识符，将目标报文头和目标流量发送至第二路由器。

作为一种可能的实现方式，第二路由器用于确定接收到的流量所传输的下一节点，例如：在第二路由器接收到的流量为从第一路由器传输的流量，则将该流量传输至目标流量清洗中心；或者，在第二路由器接收到的流量为从目标流量清洗中心传输的流量，则将该流量传输至第二网络对应的第三路由器。

作为一种可能的实现方式，目标流量清洗中心与SRv6路由器SFF(第二路由器)通过端口直接相连，SRv6路由器SFF与城域网(即第二网络)对应的SRv6路由器End(即第三路由器)通过IPv6可达，目标流量清洗中心与流量目的地址(第二网络)所在的城域网不在同一个域。

S402、第二路由器解析目标报文头，获取目标流量的传输路径，并根据目标流量的传输路径，将目标流量发送至目标流量清洗中心。

在一种设计中，为了具体确定目标流量在第二路由器和目标流量清洗中心之间的传输路径，如图6所示，本发明实施例提供的一种跨域流量回注方法，上述S402具体可以包括下述S501-S503：

S501、第二路由器解析目标报文头，确定第一路径。

其中，第一路径用于指示目标流量在第二路由器和目标流量清洗中心之间的传输接口。

作为一种可能的实现方式，作为一种可能的实现方式，第二路由器解开目标流量对应的IPv6报文头，读出Segment List，取出locator1::sid1，根据sid1获得绑定的输出接口地址out_address和输入接口地址in_address。输出接口out_address为清洗中心的IPv4地址，输入接口in_address为SFF的IPv4地址。

S502、第二路由器剥离目标流量对应的第一报文头，并根据第一路径确定第二报文头，以及将第二报文头添加至目标流量。

其中，第一报文头用于指示目标流量从第一网络发送至第二网络的初始路径。

作为一种可能的实现方式，第二路由器获取目标流量，并剥掉目标流量原有的IPv4报文头(例如报文头1)并保存。进一步的给目标流量打上新的IPv4报文头，新的IPv4报文头的源地址为输入接口in_address，目的地址为输出接口out_address。

S503、第二路由器根据第二报文头指示的传输接口，将目标流量发送至目标流量清洗中心。

作为一种可能的实现方式，第二路由器将目标流量写入输出接口，将目标流量发送至目标流量清洗中心。并在输入接口读取清洗后的流量。

作为一种可能的实现方式，第二路由器将IPv4流量发送至目标流量清洗中心，目标流量清洗中心将目标流量清洗后发送到第二路由器的输入接口。

在一种设计中，为了实现将清洗后的流量回注到网络中，如图7所示，本发明实施例提供的一种跨域流量回注方法，上述S204具体可以包括下述S601-S604：

S601、目标流量清洗中心根据第二报文头指示的传输接口，将清洗后的流量发送至第二路由器。

作为一种可能的实现方式，在目标流量清洗中心对目标流量进行清洗之后，根据第二报文头指示的传输接口，再将清洗后的流量发送至第二路由器，以将流量回注到网络。

S602、第二路由器剥离清洗后的流量对应的第二报文头，并重新将第一报文头添加至清洗后的流量。

作为一种可能的实现方式，第二路由器从输入接口取出清洗后的流量，剥掉新的IPv4报文头，将前面保存的原有的IPv4报文头(即报文头1)取出，给流量打上原有的IPv4报文头。

S603、第二路由器根据清洗后的流量的传输路径，确定第二路径。

其中，第二路径用于指示清洗后的流量在第二路由器和第二网络之间的传输接口。

作为一种可能的实现方式，第二路由器从Segment List取出下一条地址locator2::sid2，给清洗后的流量打上IPv6报文头，并获取目标地址为目标城域网SRv6路由器End(第三路由器)的IPv6地址(第二路径)。

S604、第二路由器根据第二路径，将清洗后的流量发送至第二网络。

作为一种可能的实现方式，第二路由器根据从Segment List取出下一条地址locator2::sid2，将清洗后的流量发送至第二网络对应的第三路由器。

在一种设计中，为了具体确定清洗后的流量在第二路由器和第二网络之间的传输路径，如图8所示，本发明实施例提供的一种跨域流量回注方法，上述S604具体可以包括下述S701-S702：

S701、第二路由器根据第二路径，将清洗后的流量发送至第二网络对应的第三路由器。

其中，第三路由器用于接收清洗后的流量。

S702、第三路由器剥离目标报文头，获取第二路径，并根据第二路径将清洗后的流量发送至第二网络。

作为一种可能的实现方式，第三路由器解开IPv6报文头，读取Segment List，取出locator2::sid2，根据sid2配置的指令取出清洗后的流量，剥掉IPv6报文头，取出IPv4报文头，根据IPv4地址转发，以将清洗后的流量发送到第二网络中的目的地址。

示例性的，如图9所示，在异常流量探测设备探测到目标流量中包括有异常流量时，向第一路由器(SRv6路由器SC)发起引流路由，从而第一路由器可以生成SRv6报文，进行SRH扩展报文头封装，并以流量清洗中心对应的第二路由器(SRv6路由器SFF)为中转节点，以第二网络对应的第三路由器(SRv6路由器End)为Endpoint节点。确定传输路径：SRH的Segment List为：

locator2::sid2

locator1::sid1

其中，第二路由器的IPv6地址为locator1，输入接口和输出接口配置为sid1。第三路由器的IPv6地址为locator2，IPv4流量转发动作配置为sid2。

进一步的，第一路由器将异常流量发送至清洗中心对应的SRv6路由器SFF(第二路由器)。第二路由器解开IPv6报文头，读出Segment List，取出locator1::sid1，根据sid1获得绑定的输出接口地址out_address和输入接口地址in_address。输出接口out_address为清洗中心的IPv4地址，输入接口in_address为第二路由器的IPv4地址。第二路由器取出目标流量，剥掉原有的IPv4报文头(报文头1)并保存。再给目标流量打上新的IPv4报文头，新的IPv4报文头的源地址为输入接口in_address，目的地址为输出接口out_address。第二路由器将流量写入输出接口，并在输入接口读取清洗后的流量。从而第二路由器将IPv4流量发送至流量清洗中心，流量清洗中心将流量清洗后得到清洗后的流量并发送到第二路由器的输入接口。

第二路由器从输入接口取出流量，剥掉IPv4报文头，将前面保存的原有的IPv4报文头(报文头1)取出，给流量打上原有的IPv4报文头。并从Segment List取出下一条地址locator2::sid2，给流量打上IPv6报文头，目标地址为第二网络对应的SRv6路由器End的IPv6地址，从而将清洗后的流量发送至第二网络(或第三路由器/SRv6路由器End)。第三路由器解开IPv6报文头，读取Segment List，取出locator2::sid2，根据sid2配置的指令取出清洗后的流量，剥掉IPv6报文头，取出IPv4报文头，根据IPv4地址转发，将流量发送到第二网络中的目的地址。从而实现跨域流量清洗、流量转发的功能。

本发明实施例中，为了解决现有跨域流量回注技术的路由配置多，需要城域网路由器的端口与边缘SDN转发设备直连的问题，本发明可以基于SRv6技术，在异常流量探测设备部署一台SRv6路由器SC，在清洗中心部署一台SRv6路由器SFF，清洗中心与SRv6路由器SFF端口直连，在SRv6路由器SFF上为多个接口配置sid，在目标所在城域网部署一台SRv6路由器End。被攻击的流量由SRv6路由器SC发送到SRv6路由器SFF，SRv6路由器SFF通过配置的接口将流量发送到清洗中心，经过清洗中心清洗后发送到SRv6路由器SFF，SRv6路由器SFF将干净的流量转发给SRv6路由器End，SRv6路由器End将流量转发给城域网内的目标地址。清洗中心对应的SRv6路由器SFF与城域网对应的SRv6路由器End只需要IPv6可达，不需要清洗中心与城域网路由器端口直连，不需要为核心交换机部署SRv6路由器，从而减少了路由配置工作，取消了跨域网络设备直连的要求。

本发明提供一种跨域流量回注方法及装置，应用于进行流量清洗和流量回注的场景中，在流量受到攻击的情况下，首先获取从第一网络发送至第二网络的目标流量，并对目标流量进行探测，以确定目标流量中是否包括被攻击的异常流量。从而在确定目标流量中包括异常流量的情况下，将目标流量发送至与第三网络存在对应关系的目标流量清洗中心。进一步的目标流量清洗中心通过流量清洗算法对目标流量进行流量清洗处理，以去除目标流量中包括的异常流量，得到清洗后的流量；并将清洗后的流量发送至第二网络，从而实现将清洗后的流量回注到网络中。通过上述方法，由于第一网络、第二网络和第三网络为不同的局域网；因此可以实现跨域的流量清洗，并进行流量回注的效果，而无需在每个局域网中均配置一套防护系统，才能够实现对流量进行清洗回注的功能。因此可以实现多个局域网通过跨域的方式共同使用一套防护系统，达到流量清洗，并进行流量回注的效果。从而可以在流量受到攻击时，提高流量清洗和流量回注的效率，并节省设备成本。

上述主要从方法的角度对本发明实施例提供的方案进行了介绍。为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本发明实施例可以根据上述方法示例对一种跨域流量回注装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。可选的，本发明实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图10为本发明实施例提供的一种跨域流量回注装置的结构示意图。如图10所示，一种跨域流量回注装置40用于在流量受到攻击时，提高流量清洗和流量回注的效率，例如用于执行图3所示的一种跨域流量回注方法。该一种跨域流量回注装置40包括：获取单元401、处理单元402和发送单元403。

获取单元401，用于获取第一网络对应的目标流量。

处理单元402，用于对目标流量进行探测，确定目标流量中是否包括异常流量；目标流量为从第一网络发送至第二网络的数据流量，异常流量为被攻击的流量。

发送单元403，用于在确定目标流量中包括异常流量的情况下，将目标流量发送至目标流量清洗中心；目标流量清洗中心与第三网络存在对应关系，第一网络、第二网络和第三网络为不同的局域网。

处理单元402，还用于目标流量清洗中心通过流量清洗算法对目标流量进行流量清洗处理，去除目标流量中包括的异常流量，得到清洗后的流量。

发送单元403，还用于目标流量清洗中心将清洗后的流量发送至第二网络，实现将清洗后的流量回注到网络中。

可选的，在本发明实施例提供的一种跨域流量回注装置40中，发送单元403，具体用于将目标流量发送至第一网络对应的第一路由器；第一路由器用于对目标流量进行处理，并确定目标流量的传输路径。

处理单元402，还用于第一路由器生成目标报文头，目标报文头中包括有目标流量的传输路径。

发送单元403，还用于第一路由器根据确定的目标流量的传输路径，将目标报文头和目标流量发送至目标流量清洗中心；目标流量清洗中心为多个流量清洗中心中目标流量的传输路径指示的一个流量清洗中心。

可选的，在本发明实施例提供的一种跨域流量回注装置40中，发送单元403，具体用于第一路由器根据目标流量的传输路径，将目标报文头和目标流量发送至目标流量清洗中心对应的第二路由器；第二路由器用于目标流量的中转。

处理单元402，还用于第二路由器解析目标报文头，获取目标流量的传输路径。

发送单元403，还用于根据目标流量的传输路径，将目标流量发送至目标流量清洗中心。

可选的，在本发明实施例提供的一种跨域流量回注装置40中，处理单元402，具体用于第二路由器解析目标报文头，确定第一路径，第一路径用于指示目标流量在第二路由器和目标流量清洗中心之间的传输接口。

处理单元402，还用于第二路由器剥离目标流量对应的第一报文头，并根据第一路径确定第二报文头，以及将第二报文头添加至目标流量；第一报文头用于指示目标流量从第一网络发送至第二网络的初始路径。

发送单元403，还用于第二路由器根据第二报文头指示的传输接口，将目标流量发送至目标流量清洗中心。

可选的，在本发明实施例提供的一种跨域流量回注装置40中，发送单元403，具体用于目标流量清洗中心根据第二报文头指示的传输接口，将清洗后的流量发送至第二路由器。

处理单元402，还用于第二路由器剥离清洗后的流量对应的第二报文头，并重新将第一报文头添加至清洗后的流量。

处理单元402，还用于第二路由器根据清洗后的流量的传输路径，确定第二路径，第二路径用于指示清洗后的流量在第二路由器和第二网络之间的传输接口。

发送单元403，还用于第二路由器根据第二路径，将清洗后的流量发送至第二网络。

可选的，在本发明实施例提供的一种跨域流量回注装置40中，发送单元403，具体用于第二路由器根据第二路径，将清洗后的流量发送至第二网络对应的第三路由器；第三路由器用于接收清洗后的流量。

处理单元402，还用于第三路由器剥离目标报文头，获取第二路径。

发送单元403，还用于根据第二路径将清洗后的流量发送至第二网络。

在采用硬件的形式实现上述集成的模块的功能的情况下，本发明实施例提供了上述实施例中所涉及的电子设备的另外一种可能的结构示意图。如图11所示，一种电子设备60，用于在流量受到攻击时，提高流量清洗和流量回注的效率，例如用于执行图3所示的一种跨域流量回注方法。该电子设备60包括处理器601，存储器602以及总线603。处理器601与存储器602之间可以通过总线603连接。

处理器601是通信装置的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器601可以是一个通用中央处理单元(central processing unit，CPU)，也可以是其他通用处理器等。其中，通用处理器可以是微处理器或者是任何常规的处理器等。

作为一种实施例，处理器601可以包括一个或多个CPU，例如图11中所示的CPU 0和CPU 1。

存储器602可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory，EEPROM)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

作为一种可能的实现方式，存储器602可以独立于处理器601存在，存储器602可以通过总线603与处理器601相连接，用于存储指令或者程序代码。处理器601调用并执行存储器602中存储的指令或程序代码时，能够实现本发明实施例提供的一种跨域流量回注方法。

另一种可能的实现方式中，存储器602也可以和处理器601集成在一起。

总线603，可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外围设备互连(Peripheral Component Interconnect，PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture，EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

需要指出的是，图11示出的结构并不构成对该电子设备60的限定。除图11所示部件之外，该电子设备60可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

作为一个示例，结合图10，电子设备中的获取单元401、处理单元402和发送单元403实现的功能与图11中的处理器601的功能相同。

可选的，如图11所示，本发明实施例提供的电子设备60还可以包括通信接口604。

通信接口604，用于与其他设备通过通信网络连接。该通信网络可以是以太网，无线接入网，无线局域网(wireless local area networks，WLAN)等。通信接口604可以包括用于接收数据的接收单元，以及用于发送数据的发送单元。

在一种设计中，本发明实施例提供的电子设备中，通信接口还可以集成在处理器中。

图12示出了本发明实施例中电子设备的另一种硬件结构。如图12所示，电子设备70可以包括处理器701、通信接口702、存储器703以及总线704。处理器701与通信接口702、存储器703耦合。

处理器701的功能可以参考上述处理器601的描述。此外，处理器701还具备存储功能，可以参考上述存储器602的功能。

通信接口702用于为处理器701提供数据。该通信接口702可以是通信装置的内部接口，也可以是通信装置对外的接口(相当于通信接口604)。

需要指出的是，图12中示出的结构并不构成对电子设备70的限定，除图12所示部件之外，该电子设备70可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能单元的划分进行举例说明。在实际应用中，可以根据需要而将上述功能分配由不同的功能单元完成，即将装置的内部结构划分成不同的功能单元，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机执行该指令时，该计算机执行上述方法实施例所示的方法流程中的各个步骤。

本发明的实施例提供一种包含指令的计算机程序产品，当指令在计算机上运行时，使得计算机执行上述方法实施例中的一种跨域流量回注方法。

其中，计算机可读存储介质，例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘。随机存取存储器(Random Access Memory，RAM)、只读存储器(Read-Only Memory，ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的人以合适的组合、或者本领域数值的任何其他形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit，ASIC)中。在本发明实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

由于本发明的实施例中的电子设备、计算机可读存储介质、计算机程序产品可以应用于上述方法，因此，其所能获得的技术效果也可参考上述方法实施例，本发明实施例在此不再赘述。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何在本发明揭露的技术范围内的变化或替换，都应涵盖在本发明的保护范围之内。

Claims (14)

1.一种跨域流量回注方法，其特征在于，所述方法包括：

获取第一网络对应的目标流量，并对所述目标流量进行探测，确定所述目标流量中是否包括异常流量；所述目标流量为从所述第一网络发送至第二网络的数据流量，所述异常流量为被攻击的流量；

在确定所述目标流量中包括所述异常流量的情况下，将所述目标流量发送至目标流量清洗中心；所述目标流量清洗中心与第三网络存在对应关系，所述第一网络、所述第二网络和所述第三网络为不同的局域网；

所述目标流量清洗中心通过流量清洗算法对所述目标流量进行流量清洗处理，去除所述目标流量中包括的所述异常流量，得到清洗后的流量；

所述目标流量清洗中心将所述清洗后的流量发送至所述第二网络，实现将所述清洗后的流量回注到网络中。

2.根据权利要求1所述的方法，其特征在于，所述将所述目标流量发送至目标流量清洗中心，包括：

将所述目标流量发送至所述第一网络对应的第一路由器；所述第一路由器用于对所述目标流量进行处理，并确定所述目标流量的传输路径；

所述第一路由器生成目标报文头，所述目标报文头中包括有所述目标流量的传输路径；

所述第一路由器根据确定的所述目标流量的传输路径，将所述目标报文头和所述目标流量发送至所述目标流量清洗中心；所述目标流量清洗中心为多个流量清洗中心中所述目标流量的传输路径指示的一个流量清洗中心。

3.根据权利要求2所述的方法，其特征在于，所述第一路由器根据确定的所述目标流量的传输路径，将所述目标报文头和所述目标流量发送至所述目标流量清洗中心，包括：

所述第一路由器根据所述目标流量的传输路径，将所述目标报文头和所述目标流量发送至所述目标流量清洗中心对应的第二路由器；所述第二路由器用于所述目标流量的中转；

所述第二路由器解析所述目标报文头，获取所述目标流量的传输路径，并根据所述目标流量的传输路径，将所述目标流量发送至所述目标流量清洗中心。

4.根据权利要求3所述的方法，其特征在于，所述第二路由器解析所述目标报文头，获取所述目标流量的传输路径，并根据所述目标流量的传输路径，将所述目标流量发送至所述目标流量清洗中心，包括：

所述第二路由器解析所述目标报文头，确定第一路径，所述第一路径用于指示所述目标流量在所述第二路由器和所述目标流量清洗中心之间的传输接口；

所述第二路由器剥离所述目标流量对应的第一报文头，并根据所述第一路径确定第二报文头，以及将所述第二报文头添加至所述目标流量；所述第一报文头用于指示所述目标流量从所述第一网络发送至所述第二网络的初始路径；

所述第二路由器根据所述第二报文头指示的传输接口，将所述目标流量发送至所述目标流量清洗中心。

5.根据权利要求4所述的方法，其特征在于，所述目标流量清洗中心将所述清洗后的流量发送至所述第二网络，实现将所述清洗后的流量回注到网络中，包括：

所述目标流量清洗中心根据所述第二报文头指示的传输接口，将所述清洗后的流量发送至所述第二路由器；

所述第二路由器剥离所述清洗后的流量对应的所述第二报文头，并重新将所述第一报文头添加至所述清洗后的流量；

所述第二路由器根据所述清洗后的流量的传输路径，确定第二路径，所述第二路径用于指示所述清洗后的流量在所述第二路由器和所述第二网络之间的传输接口；

所述第二路由器根据所述第二路径，将所述清洗后的流量发送至所述第二网络。

6.根据权利要求5所述的方法，其特征在于，所述第二路由器根据所述第二路径，将所述清洗后的流量发送至所述第二网络，包括：

所述第二路由器根据所述第二路径，将所述清洗后的流量发送至所述第二网络对应的第三路由器；所述第三路由器用于接收所述清洗后的流量；

所述第三路由器剥离所述目标报文头，获取所述第二路径，并根据所述第二路径将所述清洗后的流量发送至所述第二网络。

7.一种跨域流量回注装置，其特征在于，包括：获取单元、处理单元和发送单元；

所述获取单元，用于获取第一网络对应的目标流量；

所述处理单元，用于对所述目标流量进行探测，确定所述目标流量中是否包括异常流量；所述目标流量为从所述第一网络发送至第二网络的数据流量，所述异常流量为被攻击的流量；

所述发送单元，用于在确定所述目标流量中包括所述异常流量的情况下，将所述目标流量发送至目标流量清洗中心；所述目标流量清洗中心与第三网络存在对应关系，所述第一网络、所述第二网络和所述第三网络为不同的局域网；

所述处理单元，还用于所述目标流量清洗中心通过流量清洗算法对所述目标流量进行流量清洗处理，去除所述目标流量中包括的所述异常流量，得到清洗后的流量；

所述发送单元，还用于所述目标流量清洗中心将所述清洗后的流量发送至所述第二网络，实现将所述清洗后的流量回注到网络中。

8.根据权利要求7所述的跨域流量回注装置，其特征在于，所述发送单元，具体用于将所述目标流量发送至所述第一网络对应的第一路由器；所述第一路由器用于对所述目标流量进行处理，并确定所述目标流量的传输路径；

所述处理单元，还用于所述第一路由器生成目标报文头，所述目标报文头中包括有所述目标流量的传输路径；

所述发送单元，还用于所述第一路由器根据确定的所述目标流量的传输路径，将所述目标报文头和所述目标流量发送至所述目标流量清洗中心；所述目标流量清洗中心为多个流量清洗中心中所述目标流量的传输路径指示的一个流量清洗中心。

9.根据权利要求8所述的跨域流量回注装置，其特征在于，所述发送单元，具体用于所述第一路由器根据所述目标流量的传输路径，将所述目标报文头和所述目标流量发送至所述目标流量清洗中心对应的第二路由器；所述第二路由器用于所述目标流量的中转；

所述处理单元，还用于所述第二路由器解析所述目标报文头，获取所述目标流量的传输路径；

所述发送单元，还用于根据所述目标流量的传输路径，将所述目标流量发送至所述目标流量清洗中心。

10.根据权利要求9所述的跨域流量回注装置，其特征在于，所述处理单元，具体用于所述第二路由器解析所述目标报文头，确定第一路径，所述第一路径用于指示所述目标流量在所述第二路由器和所述目标流量清洗中心之间的传输接口；

所述处理单元，还用于所述第二路由器剥离所述目标流量对应的第一报文头，并根据所述第一路径确定第二报文头，以及将所述第二报文头添加至所述目标流量；所述第一报文头用于指示所述目标流量从所述第一网络发送至所述第二网络的初始路径；

所述发送单元，还用于所述第二路由器根据所述第二报文头指示的传输接口，将所述目标流量发送至所述目标流量清洗中心。

11.根据权利要求10所述的跨域流量回注装置，其特征在于，所述发送单元，具体用于所述目标流量清洗中心根据所述第二报文头指示的传输接口，将所述清洗后的流量发送至所述第二路由器；

所述处理单元，还用于所述第二路由器剥离所述清洗后的流量对应的所述第二报文头，并重新将所述第一报文头添加至所述清洗后的流量；

所述处理单元，还用于所述第二路由器根据所述清洗后的流量的传输路径，确定第二路径，所述第二路径用于指示所述清洗后的流量在所述第二路由器和所述第二网络之间的传输接口；

所述发送单元，还用于所述第二路由器根据所述第二路径，将所述清洗后的流量发送至所述第二网络。

12.根据权利要求11所述的跨域流量回注装置，其特征在于，所述发送单元，具体用于所述第二路由器根据所述第二路径，将所述清洗后的流量发送至所述第二网络对应的第三路由器；所述第三路由器用于接收所述清洗后的流量；

所述处理单元，还用于所述第三路由器剥离所述目标报文头，获取所述第二路径；

所述发送单元，还用于根据所述第二路径将所述清洗后的流量发送至所述第二网络。

13.一种存储一个或多个程序的计算机可读存储介质，其特征在于，所述一个或多个程序包括指令，所述指令当被计算机执行时使所述计算机执行如权利要求1-6中任一项所述的一种跨域流量回注方法。

14.一种电子设备，其特征在于，包括：处理器以及存储器；其中，所述存储器用于存储一个或多个程序，所述一个或多个程序包括计算机执行指令，当所述电子设备运行时，处理器执行所述存储器存储的所述计算机执行指令，以使所述电子设备执行权利要求1-6中任一项所述的一种跨域流量回注方法。

Images