CN116708293B - 基于内存数据库的高并发路由封堵系统及方法 - Google Patents

基于内存数据库的高并发路由封堵系统及方法 Download PDF

Info

Publication number
CN116708293B
CN116708293B CN202310982630.2A CN202310982630A CN116708293B CN 116708293 B CN116708293 B CN 116708293B CN 202310982630 A CN202310982630 A CN 202310982630A CN 116708293 B CN116708293 B CN 116708293B
Authority
CN
China
Prior art keywords
plugging
routing
memory database
module
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310982630.2A
Other languages
English (en)
Other versions
CN116708293A (zh
Inventor
骆小龙
金大为
魏杰
陈晓莉
林建洪
邱辉
艾舒欣
林享洪
章亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Provincial Water Resources Information Promotion Center
Zhejiang Ponshine Information Technology Co ltd
Original Assignee
Zhejiang Provincial Water Resources Information Promotion Center
Zhejiang Ponshine Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Provincial Water Resources Information Promotion Center, Zhejiang Ponshine Information Technology Co ltd filed Critical Zhejiang Provincial Water Resources Information Promotion Center
Priority to CN202310982630.2A priority Critical patent/CN116708293B/zh
Publication of CN116708293A publication Critical patent/CN116708293A/zh
Application granted granted Critical
Publication of CN116708293B publication Critical patent/CN116708293B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2282Tablespace storage structures; Management thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于网络安全技术领域,具体涉及基于内存数据库的高并发路由封堵系统及方法。系统包括内存数据库、一键封堵平台和路由模块;所述一键封堵平台和路由模块均包括任务处理模块和加解密模块;内存数据库,用于将全部数据内容存放在内存中;所述内存数据库读取下发的封堵任务和写入的状态数据与内存实时同步;加解密模块,用于确认双方身份。本发明具有能够实现一键封堵平台与路由模块的完美对接,达到封堵平台和路由转发节点的配置状态实时同步的特点。

Description

基于内存数据库的高并发路由封堵系统及方法
技术领域
本发明属于网络安全技术领域,具体涉及基于内存数据库的高并发路由封堵系统及方法。
背景技术
目前,传统的路由系统设计是需要保存2份配置文件:一份是启动配置文件(startup-config)用于设备冷启动时的初始配置,一般以文本文件形式保存在设备flash存储中,另一份是运行配置文件(running-config),是设备当前运行时的配置保存在设备内存中,如果在运行时执行过配置更改而又没有将运行配置写入到启动配置文件,此时遇到设备停机,尚未保存的运行配置就会丢失,从而导致网络安全问题。其次路由器系统在运行时的多种表(路由表,转发表,bgp邻居表等)都会在保存在内存中因此无法持久保存,这不利于与一键封堵平台的状态同步,数据分析。
另外,传统的一键封堵平台需要通过SSH或者API方式与路由模块下发封堵指令,指令中包含控制信息和封堵IP数据,在高并发时封堵指令数据包会非常庞大,指令传输和解析会有严重的效率问题
因此,设计一种能够实现一键封堵平台与路由模块的完美对接,达到封堵平台和路由转发节点的配置状态实时同步的基于内存数据库的高并发路由封堵系统及方法,就显得十分重要。
发明内容
本发明是为了克服现有技术中,现有传统的一键封堵平台需要通过SSH或者API方式与路由模块下发封堵指令,在高并发时封堵指令数据包会非常庞大,导致指令传输和解析存在严重的效率问题,提供了一种能够实现一键封堵平台与路由模块的完美对接,达到封堵平台和路由转发节点的配置状态实时同步的基于内存数据库的高并发路由封堵系统及方法。
为了达到上述发明目的,本发明采用以下技术方案:
基于内存数据库的高并发路由封堵系统,包括内存数据库、一键封堵平台和路由模块;所述一键封堵平台和路由模块均包括任务处理模块和加解密模块;
所述一键封堵平台中的任务处理模块,用于提供API接口接收web用户手动下发和来自态势感知平台自动下发的封堵任务;用于与路由模块中的任务处理模块交互控制指令;用于负责将控制指令中的详细数据写入内存数据库,并将内存数据库中的实时路由数据同步到实时同步模块;
所述路由模块中的任务处理模块,用于与一键封堵平台的任务处理模块交互控制指令;用于负责读取内存数据库中具体指令相关的封堵IP数据,并传递给BGP模块分发到外部BGP对等体;用于负责将路由模块实时路由表,BGP路由数据库同步到内存数据库中,并以ACK通告方式通知一键封堵平台;
所述内存数据库,用于将全部数据内容存放在内存中;所述内存数据库读取下发的封堵任务和写入的状态数据与内存实时同步;
所述加解密模块,用于确认双方身份。
作为优选,所述控制指令包括:下发封堵路由,解除封堵路由,模块间存活检测机制和状态通知。
作为优选,还包括持久数据库;所述持久数据库为关系型数据库,用于使数据保存具有持久性。
作为优选,所述实时同步模块,用于根据规则将内存数据库中的有效数据写入到持久数据库,完成路由模块、内存数据库和持久数据库之间的实时同步。
作为优选,所述BGP模块,用于与外部核心路由节点建立和保持BGP邻接关系,并将路由模块中的任务处理模块接收到的封堵黑洞路由,分发至外部BGP对等体。
作为优选,所述加解密模块均采用非对称加密。
作为优选,所述一键封堵平台中的每条封堵指令均包括一个包含时间戳的唯一指令ID,且单条封堵指令只包含单次任务。
作为优选,所述一键封堵平台和路由模块均通过长连接方式与内存数据库保持连接。
本发明还提供了基于内存数据库的高并发路由封堵方法,包括如下步骤;
S1,一键封堵平台接收封堵任务,封堵内容包括攻击IP地址以及IP地址段;
S2,对封堵内容中的攻击IP地址及IP地址段做单host拆分计算,并与白名单以及已封堵数据库比对;若为白名单或已封堵数据库内地址,则返回相关提示并结束流程;若为有效封堵任务则进入下一步骤S3;其中,白名单包括禁止封堵的IP;
S3,一键封堵平台中的任务处理模块将封堵任务指令通过API下发到路由模块中的任务处理模块,并将封堵IP数据写入内存数据库,等待路由模块回复确认ACK;
S4,路由模块接收到封堵指令后根据指令ID查询内存数据库,读取封堵IP数据,将配置数据载入内存生效,生成BGP路由表后向内存数据库写入实时状态表,向一键封堵平台中的任务处理模块返回确认ACK;
S5,BGP模块将BGP路由表以BGP update消息分发至外部BGP对等体;
S6,当步骤S4中路由模块写入路由状态表到内存数据库,并返回一键封堵平台封堵指令确认ACK后,一键封堵平台即可读取内存数据库中路由模块实时状态表进行分析,确认封堵任务执行成功,无需再次发送查询指令,同时封堵流程结束。
本发明与现有技术相比,有益效果是:(1)本发明通过使用一种新型的内存数据库API机制,实现了一键封堵平台与路由模块的完美对接;当用户下发IP封堵任务时,一键封堵平台将任务数据写入到内存数据库中,并通过API向路由节点推送配置变更消息,路由节点收到变更消息后读取内存数据库数据,开始对比分析配置差异并生成增量数据提交到路由进程,路由进程通过BGP协议将黑洞封堵路由分发至核心路由,确认状态后返回给一键封堵平台,从而实现封堵平台和路由转发节点的配置状态实时同步;(2)本发明中内存数据库作为一键封堵平台和路由模块的中间层可以实现控制指令和指令数据的分离,因此在超高并发封堵任务执行场景,封堵指令仍可以保持很小的数据包尺寸,路由模块在收到封堵指令时不需要经过复杂的解析就可以直接读取内存数据库中由一键封堵平台强大的算力计算解析后的封堵数据配置,这极大的降低了路由模块对硬件性能的依赖,也简化了路由模块的功能。
附图说明
图1为本发明中基于内存数据库的高并发路由封堵系统的一种原理框图;
图2为本发明中内存数据库与路由模块的一种交互示意图;
图3为本发明中一键封堵平台与路由模块之间采用的两种通道交互的一种示意图;
图4为本发明中控制指令包的一种结构示意图;
图5为本发明中控制指令type id 分类的一种示意图;
图6为本发明中数据指令包的一种结构示意图;
图7为本发明中非对称加解密的一种流程示意图;
图8为本发明实施例提供的非对称加解密的一种流程示意图;
图9为本发明实施例所提供的基于内存数据库的高并发路由封堵方法的一种流程图。
具体实施方式
为了更清楚地说明本发明实施例,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
如图1所示的基于内存数据库的高并发路由封堵系统,包括内存数据库、一键封堵平台和路由模块;所述一键封堵平台和路由模块均包括任务处理模块和加解密模块。
基于内存数据库的高并发路由封堵系统还包括持久数据库;所述持久数据库为关系型数据库,用于使数据保存具有持久性。持久数据库在设备停机等场景仍能保证一键封堵平台所有业务数据和路由模块配置数据完整不丢失。
其中,任务处理模块存在于一键封堵平台和路由模块中,是本发明的核心模块。
一键封堵平台中的任务处理模块主要功能是:
1.提供API接口用于接收web用户手动下发和来自态势感知平台自动下发的封堵任务;
2.与路由模块的任务处理模块交互控制指令,主要包括下发封堵路由,解除封堵路由,模块间keepalive,状态通知等;
3.负责将控制指令中的详细数据写入内存数据库,并将内存数据库中的实时路由数据同步到实时同步模块;
实时同步模块根据规则将内存数据库中的有效数据写入到持久数据库,完成路由模块、内存数据库和持久数据库之间的实时同步。
路由模块中的任务处理模块主要功能是:
1.与一键封堵平台的任务处理模块交互控制指令,主要包括接收封堵路由,解除封堵路由,模块间keepalive,状态确认通知等;
2.负责读取内存数据库中具体指令相关的封堵IP数据,并传递给BGP模块分发到外部BGP对等体;
3.负责将路由模块实时路由表,BGP路由数据库同步到内存数据库中,并以ACK通告方式通知一键封堵平台。ACK (Acknowledgement),即确认字符,在数据通信中,接收站发给发送站的一种传输类控制字符,表示发来的数据已确认接收无误。
路由模块中还包括BGP模块,BGP模块主要用于与外部核心路由节点建立和保持BGP邻接关系,并将路由模块中的任务处理模块接收到的封堵黑洞路由,分发至外部BGP对等体。
本发明引入内存数据库之后,路由模块将是无状态的,如图2所示,具体体现为:路由模块冷启动后自动连接内存数据库,读取设备配置信息,将配置载入到内存执行同步数据到BGP模块与外部BGP对等体建立邻接关系,并分发黑洞封堵路由。任务处理模块还会将路由模块在运行中的详细数据表写入到内存数据库,并发送状态信息同步指令到一键封堵平台处理模块完成后续数据持久化,智能分析等任务。图2中路由任务处理模块即表示路由模块中的任务处理模块。
本发明的内存数据库是一种将全部内容存放在内存中,而非传统数据库那样存放在外部存储器中的数据库。与内存具有相近的读取和写入速度,因此读取下发的封堵任务和写入状态数据几乎能与内存实时同步,不会造成数据延迟。
如图3所示,一键封堵平台与路由模块之间采用两种通道,一种是通过指令通道进行直接交互,另一种是利用内存数据库作为一键封堵平台和路由模块的中间层来实现控制指令和指令数据的分离,因此在超高并发封堵任务执行场景,封堵指令仍可以保持很小的数据包尺寸,路由模块在收到封堵指令时不需要经过复杂的解析就可以直接读取内存数据库中由一键封堵平台强大的算力计算解析后的封堵数据配置,这极大的降低了路由模块对硬件性能的依赖,也简化了路由模块的功能。
一键封堵平台每条封堵指令都会有一个包含时间戳的唯一指令ID,单条指令只包含单次任务,每次封堵下发时除了会向内存数据库中写入当前指令的封堵数据,也会同时写入当前指令成功执行后路由模块的实时配置,用于路由模块在进程重启等场景可以快速载入配置,快速恢复。一键封堵平台会将内存数据库中的数据异步存储到持久数据库中。
基于控制指令和数据指令的分离设计,控制指令可以得到尽可能的精简,这使得控制指令的下发传输非常快速,配合使用固定的type id可以进一步优化路由模块接收处理流程,使得整个控制指令下发非常高效。封堵IP数据格式采用json编码。
如图4所示,控制指令包的结构包括统一资源定位符url,是基于http的API定位标志符、用户身份验证的令牌token、标志符id、指令类型标志符type id。
其中,指令类型标志符type id包括以下几类,如图5所示,类别0-7依次为问好消息hello、存活保持消息keepalive、新增操作add、删除操作delete、错误消息error、字段保留,当前无意义reserved、确认消息ack、字段保留,当前无意义reserved。其中,类别5和7相同。
如图6所示,数据指令包的结构包括统一资源定位符url,是基于http的API定位标志符、用户身份验证的令牌token、标志符id和载荷数据data。
一键封堵平台和路由模块都以长连接方式与内存数据库保持连接,以保持数据同步的高时效性。与常规数据库一样,对内存数据库操作也有4种操作,包括增、删、改、查。
另外,加解密模块存在与一键封堵和路由模块中,用于确认双方身份,保证数据传输安全不受第三方窃取,篡改。加解密系统中核心采用的是非对称加密,私钥是本设计的核心,其采用的是具有我国自主知识产权的国密2(SM2)密码算法,秘钥长度256位,相对于业界普遍使用的RSA算法,在相同的密码强度下,具有更低的资源开销,更高的效率。非对称加密方法的原理如图7所示,明文通过公钥加密获得密文,密文再通过私钥解密重新获得明文。
此外,在非对称加密算法中,一组私钥和公钥组成一个证书,每个证书都由CA签发。系统部署时,一键封堵平台和路由模块均预装可信CA根证书公钥,并根据规划申请域名格式证书,此域名作为路由模块以及一键封堵系统的唯一识别,存在于指令url中,并且系统内不重复。域名解析系统会记录域名和相关模块的IP地址对应关系,提供各模块查询服务。
在实际应用中,证书申请的流程如图8所示,用户使用证书请求文件(csr)向根证书管理机构发起证书申请,根证书管理机构在核对用户证书请求文件无误后,使用根证书管理机构的私钥签名,颁发用户证书。
另外,结合实际应用,如图9所示,本发明还提供了基于内存数据库的高并发路由封堵方法,包括如下步骤;
1.一键封堵平台接收来自用户手动输入或态势感知平台的封堵任务,封堵内容包括攻击IP地址以及IP地址段,例如:120.13.1.0/24;
2.对封堵内容中的攻击IP地址及IP地址段做单host拆分计算共计253个host地址(即120.13.1.1-120.13.1.254,其中已去除1个网络地址和1个广播地址),并与白名单以及已封堵数据库比对;若为白名单或已封堵数据库内地址,则返回相关提示并结束流程;若为有效封堵任务则进入下一步骤;其中,白名单包括禁止封堵的IP;
3.(本次示例253个地址均未在白名单或已封堵数据库中)一键封堵平台中的任务处理模块将封堵任务指令(新增封堵)通过API下发到路由模块中的任务处理模块,并将封堵IP数据执行地址汇总后将地址段120.13.1.0/24写入内存数据库,等待路由模块回复确认ACK;
4.路由模块接收到封堵指令后根据指令ID查询内存数据库,读取封堵IP数据(新增黑洞路由120.13.1.0/24),将配置数据载入内存生效,生成BGP路由表后向内存数据库写入实时状态表(目标地址120.13.1.0/24和下一跳地址黑洞),向一键封堵平台中的任务处理模块返回确认ACK;
5.BGP模块将BGP路由表更新(及更新地址段120.13.1.0/24)以BGP update消息分发至外部BGP对等体;
6.当步骤4中路由模块写入路由状态表到内存数据库,并返回一键封堵平台封堵指令确认ACK后,一键封堵平台即可读取内存数据库中路由模块实时状态表(目标地址120.13.1.0/24和下一跳地址黑洞),进行分析,确认封堵任务执行成功,无需再次发送查询指令,同时封堵流程结束。
本发明通过使用一种新型的内存数据库API机制,实现了一键封堵平台与路由模块BGP的完美对接。当用户下发IP封堵任务时,一键封堵平台将任务数据写入到内存数据库中,并通过API向路由节点推送配置变更消息,路由节点收到变更消息后读取内存数据库数据,开始对比分析配置差异生成增量数据提交到路由进程,路由进程通过BGP协议将黑洞封堵路由分发至核心路由,确认状态后返回给一键封堵平台,从而实现封堵平台和路由转发节点的配置状态实时同步。
以上所述仅是对本发明的优选实施例及原理进行了详细说明,对本领域的普通技术人员而言,依据本发明提供的思想,在具体实施方式上会有改变之处,而这些改变也应视为本发明的保护范围。

Claims (9)

1.基于内存数据库的高并发路由封堵系统,其特征在于,包括内存数据库、一键封堵平台和路由模块;所述一键封堵平台和路由模块均包括任务处理模块和加解密模块;
所述一键封堵平台中的任务处理模块,用于提供API接口接收web用户手动下发和来自态势感知平台自动下发的封堵任务;用于与路由模块中的任务处理模块交互控制指令;用于负责将控制指令中的详细数据写入内存数据库,并将内存数据库中的实时路由数据同步到实时同步模块;
所述路由模块中的任务处理模块,用于与一键封堵平台的任务处理模块交互控制指令;用于负责读取内存数据库中具体指令相关的封堵IP数据,并传递给BGP模块分发到外部BGP对等体;用于负责将路由模块实时路由表,BGP路由数据库同步到内存数据库中,并以ACK通告方式通知一键封堵平台;
所述内存数据库,用于将全部数据内容存放在内存数据库中的内存中;所述内存数据库读取下发的封堵任务和写入的状态数据与内存数据库中的内存实时同步;
所述加解密模块,用于确认双方身份。
2.根据权利要求1所述的基于内存数据库的高并发路由封堵系统,其特征在于,所述控制指令包括:下发封堵路由,解除封堵路由,模块间存活检测机制和状态通知。
3.根据权利要求1所述的基于内存数据库的高并发路由封堵系统,其特征在于,还包括持久数据库;所述持久数据库为关系型数据库,用于使数据保存具有持久性。
4.根据权利要求3所述的基于内存数据库的高并发路由封堵系统,其特征在于,所述实时同步模块,用于根据规则将内存数据库中的有效数据写入到持久数据库,完成路由模块、内存数据库和持久数据库之间的实时同步。
5.根据权利要求1所述的基于内存数据库的高并发路由封堵系统,其特征在于,所述BGP模块,用于与外部核心路由节点建立和保持BGP邻接关系,并将路由模块中的任务处理模块接收到的封堵黑洞路由,分发至外部BGP对等体。
6.根据权利要求1所述的基于内存数据库的高并发路由封堵系统,其特征在于,所述加解密模块均采用非对称加密。
7.根据权利要求1所述的基于内存数据库的高并发路由封堵系统,其特征在于,所述一键封堵平台中的每条封堵指令均包括一个包含时间戳的唯一指令ID,且单条封堵指令只包含单次任务。
8.根据权利要求1所述的基于内存数据库的高并发路由封堵系统,其特征在于,所述一键封堵平台和路由模块均通过长连接方式与内存数据库保持连接。
9.基于内存数据库的高并发路由封堵方法,应用于权利要求1所述的基于内存数据库的高并发路由封堵系统,其特征在于,所述基于内存数据库的高并发路由封堵方法包括如下步骤;
S1,一键封堵平台接收封堵任务,封堵内容包括攻击IP地址以及IP地址段;
S2,对封堵内容中的攻击IP地址及IP地址段做单host拆分计算,并与白名单以及已封堵数据库比对;若为白名单或已封堵数据库内地址,则返回相关提示并结束流程;若为有效封堵任务则进入下一步骤S3;其中,白名单包括禁止封堵的IP;
S3,一键封堵平台中的任务处理模块将封堵任务指令通过API下发到路由模块中的任务处理模块,并将封堵IP数据写入内存数据库,等待路由模块回复确认ACK;
S4,路由模块接收到封堵指令后根据指令ID查询内存数据库,读取封堵IP数据,将配置数据载入内存生效,生成BGP路由表后向内存数据库写入实时状态表,向一键封堵平台中的任务处理模块返回确认ACK;
S5,BGP模块将BGP路由表以BGP update消息分发至外部BGP对等体;
S6,当步骤S4中路由模块写入实时状态表到内存数据库,并返回一键封堵平台封堵指令确认ACK后,一键封堵平台即可读取内存数据库中路由模块的实时状态表进行分析,确认封堵任务执行成功,无需再次发送查询指令,同时封堵流程结束。
CN202310982630.2A 2023-08-07 2023-08-07 基于内存数据库的高并发路由封堵系统及方法 Active CN116708293B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310982630.2A CN116708293B (zh) 2023-08-07 2023-08-07 基于内存数据库的高并发路由封堵系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310982630.2A CN116708293B (zh) 2023-08-07 2023-08-07 基于内存数据库的高并发路由封堵系统及方法

Publications (2)

Publication Number Publication Date
CN116708293A CN116708293A (zh) 2023-09-05
CN116708293B true CN116708293B (zh) 2023-10-31

Family

ID=87831567

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310982630.2A Active CN116708293B (zh) 2023-08-07 2023-08-07 基于内存数据库的高并发路由封堵系统及方法

Country Status (1)

Country Link
CN (1) CN116708293B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102447641A (zh) * 2012-02-09 2012-05-09 苏州市职业大学 一种用于计算机机房的流量控制系统
CN111835791A (zh) * 2020-07-30 2020-10-27 哈尔滨工业大学 一种bgp安全事件快速检测系统
CN113595925A (zh) * 2021-07-06 2021-11-02 中企云链(北京)金融信息服务有限公司 一种智能网关动态限流实现方法
CN113965355A (zh) * 2021-09-27 2022-01-21 中盈优创资讯科技有限公司 一种基于soc的非法ip省内网络封堵方法及装置
CN115277251A (zh) * 2022-09-23 2022-11-01 浙江鹏信信息科技股份有限公司 基于frr软件路由集群的ip封堵方法、系统及介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7873993B2 (en) * 2005-11-09 2011-01-18 Cisco Technology, Inc. Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102447641A (zh) * 2012-02-09 2012-05-09 苏州市职业大学 一种用于计算机机房的流量控制系统
CN111835791A (zh) * 2020-07-30 2020-10-27 哈尔滨工业大学 一种bgp安全事件快速检测系统
CN113595925A (zh) * 2021-07-06 2021-11-02 中企云链(北京)金融信息服务有限公司 一种智能网关动态限流实现方法
CN113965355A (zh) * 2021-09-27 2022-01-21 中盈优创资讯科技有限公司 一种基于soc的非法ip省内网络封堵方法及装置
CN115277251A (zh) * 2022-09-23 2022-11-01 浙江鹏信信息科技股份有限公司 基于frr软件路由集群的ip封堵方法、系统及介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BGP路由协议在不同域间的安全研究;毛柯平;;电脑迷(第01期);全文 *

Also Published As

Publication number Publication date
CN116708293A (zh) 2023-09-05

Similar Documents

Publication Publication Date Title
US7978631B1 (en) Method and apparatus for encoding and mapping of virtual addresses for clusters
CN101473622B (zh) 用于数据网络上的通信的带外鉴别方法和系统
US8996626B2 (en) Terminal and intermediate node in content oriented networking environment and communication method of terminal and intermediate node
US7533184B2 (en) Peer-to-peer name resolution wire protocol and message format data structure for use therein
CN106549933B (zh) 区块链的数据传输系统及方法
US11303431B2 (en) Method and system for performing SSL handshake
EP3211852A1 (en) Ssh protocol-based session parsing method and system
CN107135266B (zh) Http代理框架安全数据传输方法
JP2008271476A (ja) 暗号通信処理方法及び暗号通信処理装置
CN109257392B (zh) 一种命令处理方法、装置、服务器和存储介质
CN1917512B (zh) 一种建立对等直连通道的方法
CN111786778A (zh) 一种密钥更新的方法和装置
CN106027555B (zh) 一种采用sdn技术改善内容分发网络安全性的方法及系统
US10680930B2 (en) Method and apparatus for communication in virtual network
KR100964350B1 (ko) IPv6 환경에서의 SEND와 IPSec 협업 기법 및시스템
CN116708293B (zh) 基于内存数据库的高并发路由封堵系统及方法
WO2019128468A1 (zh) 一种认证方法、设备及系统
CN114157435B (zh) 一种基于区块链技术的文档处理方法、装置和客户端
CN112291592B (zh) 基于控制面协议的安全视频通信方法、装置、设备及介质
US11582674B2 (en) Communication device, communication method and data structure
JP4013920B2 (ja) 通信システム、通信装置及びその動作制御方法並びにプログラム
CN101640888A (zh) 快速重路由资源预留认证方法、装置及系统
US9264294B2 (en) HAIPE peer discovery using BGP
CN113923046B (zh) 一种分布式防火墙安全通信的实现方法及系统
WO2023061370A1 (zh) 基于中继集群的通信

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant