TW201810108A - 資料處理方法、裝置及系統 - Google Patents

資料處理方法、裝置及系統 Download PDF

Info

Publication number
TW201810108A
TW201810108A TW106114532A TW106114532A TW201810108A TW 201810108 A TW201810108 A TW 201810108A TW 106114532 A TW106114532 A TW 106114532A TW 106114532 A TW106114532 A TW 106114532A TW 201810108 A TW201810108 A TW 201810108A
Authority
TW
Taiwan
Prior art keywords
target
address
cleaning
message
domain name
Prior art date
Application number
TW106114532A
Other languages
English (en)
Other versions
TWI730090B (zh
Inventor
戈建勇
馬樂樂
宋陽陽
Original Assignee
阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 阿里巴巴集團服務有限公司 filed Critical 阿里巴巴集團服務有限公司
Publication of TW201810108A publication Critical patent/TW201810108A/zh
Application granted granted Critical
Publication of TWI730090B publication Critical patent/TWI730090B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1033Signalling gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1033Signalling gateways
    • H04L65/104Signalling gateways in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Multimedia (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申請提供了一種資料處理方法、裝置及系統,其中系統包括一種資料處理系統,包括:終端、網路設備、清洗系統和至少一個設有安全閘道的網站伺服器;所述清洗系統,用於接收所述網路設備發送的目標資料報文,對所述目標資料報文進行清洗,並將清洗後的正常報文發送至目標網站伺服器。本申請使得訪問目標網站伺服器的大量資料報文不再經過網路設備與安全閘道之間的網路鏈路,而是流經網路設備與清洗系統之間的網路鏈路,再由清洗設備將清洗後的正常報文轉發至目標網站伺服器。因此,本申請可以在不更改網路設備與安全閘道之間互聯網頻寬的前提下,解決攻擊設備向目標網站伺服器發起的DDoS攻擊的問題。

Description

資料處理方法、裝置及系統
本申請係關於通信技術領域,尤其關於一種資料處理方法、裝置及系統。
伴隨著科學技術的不斷進步,互聯網領域迅速發展。用戶經常使用互聯網訪問各大網站。如圖1所示,為用戶訪問網站的網路系統。參見圖1,網路系統包括:用於服務用戶的終端100、網路設備200、多個設置有安全閘道300的網站伺服器400。終端100發送資料報文會到達網路設備200,並由網路設備200轉發至設置有安全閘道300的網站伺服器400。
隨著網路攻擊逐漸增多,訪問網站伺服器400的既有正常終端又有攻擊終端。所以,目標網站伺服器400接收的資料報文中,既可能有正常終端發送的正常報文,也可能有攻擊終端發送的攻擊報文。為了保護目標網站伺服器400免於攻擊,所以利用安全閘道300對資料報文進行處理,以便僅允許正常報文發送至網站伺服器400。
目前主流網路攻擊為分散式拒絕服務攻擊(Distributed Denial of Service,DDoS)。DDoS攻擊原理為借助大量傀 儡機向網站伺服器400發送大量資料報文,目的在於使網站伺服器400無資源來處理大量資料報文而崩潰。所以,在網路系統中,當攻擊設備欲向網站伺服器400發起DDoS攻擊時,勢必會在網路設備200上聚集有向安全閘道300發送的大量資料報文。
但是,由於網站伺服器400對應的企業、購買的網路設備200與安全閘道300之間的互聯網頻寬較窄,僅可以承受正常數量的資料報文;攻擊終端發起DDoS攻擊產生的大量資料報文已經遠遠超出企業購買的互聯網頻寬的傳輸能力。所以,大量資料報文無法傳輸至安全閘道300,也無法被安全閘道300進行處理。
因此,當攻擊設備發起DDoS攻擊時,目前的網路系統無法處理DDoS攻擊。所以,現在需要一種新型網路系統,以便在不更改網路設備與安全閘道之間互聯網頻寬的前提下,解決攻擊設備向網站伺服器發起的DDoS攻擊的問題。
本申請提供了一種資料處理方法、裝置及系統,本申請可以在不更改網路設備與安全閘道之間互聯網頻寬的前提下,解決攻擊設備向網站伺服器發起的DDoS攻擊的問題。
為了實現上述目的,本申請提供以下技術手段:一種資料處理系統,包括: 終端、網路設備、清洗系統和至少一個設有安全閘道的網站伺服器;其中,所述終端與所述網路設備相連,所述清洗系統一端連接所述網路設備,另一端連接設有閘道的網站伺服器;所述清洗系統,用於接收所述網路設備發送的目標資料報文,對所述目標資料報文進行清洗,並將清洗後的正常報文發送至目標網站伺服器。
較佳的,所述清洗系統包括多個清洗設備。
一種資料處理方法,包括:接收網路設備發送的目標資料報文;其中,由網路設備接收終端發送的目標資料報文;並將所述目標資料報文轉發至清洗系統;對所述目標資料報文進行清洗;將清洗後的正常報文發送至設置有安全閘道的目標網站伺服器。
較佳的,所述目標資料報文包括目標域名;則所述將清洗後的正常報文發送至設置有安全閘道的目標網站伺服器,包括:依據域名與IP地址的第一對應關係,查找與所述目標域名對應的目標IP地址;將所述正常報文發送至與所述目標IP地址對應的目標網站伺服器。
較佳的,目標域名與目標IP地址的對應關係的構建過程,包括: 在接收所述網路設備發送的資料報文之前,獲取所述安全閘道發送的配置資訊;其中,所述配置資訊包括所述目標網站伺服器的所述目標域名和所述目標IP地址;構建所述目標域名與所述目標IP地址的對應關係。
較佳的,在對所述目標資料報文進行清洗之後,還包括:生成攻擊防護日誌;其中,所述防護日誌包括攻擊報文的攻擊時間和攻擊報文資料量。
將所述攻擊防護日誌發送至所述安全閘道。
較佳的,還包括:接收所述目標網站伺服器發送的包含終端IP地址的回饋報文;其中,所述回饋報文為所述目標網站伺服器對所述資料報文進行處理後獲得的;將所述回饋報文發送至所述網路設備。
一種資料處理方法,包括:接收終端發送的目標資料報文;將所述目標資料報文轉發至清洗系統;其中,接收網路設備發送的目標資料報文;其中,所述目標資料報文包括目標域名;對所述目標資料報文進行清洗;將清洗後的正常報文發送至設置有安全閘道的目標網站伺服器。
較佳的,所述將所述目標資料報文轉發至清洗系統包括:依據域名與IP地址的第二對應關係,確定與所述目標域名對應的清洗IP地址,其中,所述網路設備儲存有 所述目標域名與清洗IP地址的對應關係,所述清洗IP地址為清洗系統中目標清洗設備的IP地址;將所述資料報文轉發至與所述清洗IP地址對應的目標清洗設備。
較佳的,還包括:接收所述清洗系統發送的包含終端IP地址的回饋報文;依據所述終端IP地址,將所述回饋報文發送至所述終端。
一種資料處理裝置,包括:第一接收單元,用於接收網路設備發送的目標資料報文;其中,由網路設備接收終端發送的目標資料報文;並將所述目標資料報文轉發至清洗系統;清洗單元,用於對所述目標資料報文進行清洗;第一發送單元,用於將清洗後的正常報文發送至設置有安全閘道的目標網站伺服器。
較佳的,所述目標資料報文包括目標域名;則所述第一發送單元,包括:查找單元,用於依據域名與IP地址的第一對應關係,查找與所述目標域名對應的目標IP地址;第二發送單元,用於將所述正常報文發送至與所述目標IP地址對應的目標網站伺服器。
其中,目標域名與目標IP地址的對應關係的構建過程,具體包括:在接收所述網路設備發送的資料報文之 前,獲取所述安全閘道發送的配置資訊;其中,所述配置資訊包括所述目標網站伺服器的所述目標域名和所述目標IP地址;構建所述目標域名與所述目標IP地址的對應關係。
較佳的,在對所述目標資料報文進行清洗之後,還包括:生成單元,用於生成攻擊防護日誌;其中,所述防護日誌包括攻擊報文的攻擊時間和攻擊報文資料量。
第三發送單元,用於將所述攻擊防護日誌發送至所述安全閘道。
較佳的,還包括:第二接收單元,用於接收所述目標網站伺服器發送的包含終端IP地址的回饋報文;其中,所述回饋報文為所述目標網站伺服器對所述資料報文進行處理後獲得的;第四發送單元,用於將所述回饋報文發送至所述網路設備,並由所述網路設備依據所述終端IP地址發送至所述終端。
一種資料處理裝置,包括:第三接收單元,用於接收終端發送的目標資料報文;轉發單元,用於將所述目標資料報文轉發至清洗系統;其中,接收網路設備發送的目標資料報文;其中,所述目標資料報文包括目標域名;對所述目標資料報文進行清洗;將清洗後的正常報文發送至設置有安全閘道的目標網站伺服器。
較佳的,所述轉發單元包括:確定單元,用於依據域名與IP地址的第二對應關係,確定與所述目標域名對應的清洗IP地址,其中,所述網路設備儲存有所述目標域名與清洗IP地址的對應關係,所述清洗IP地址為清洗系統中目標清洗設備的IP地址;轉發資料報文單元,用於將所述資料報文轉發至與所述清洗IP地址對應的目標清洗設備。
較佳的,還包括:第四接收單元,用於接收所述清洗系統發送的包含終端IP地址的回饋報文;其中,所述回饋報文為所述網站伺服器對所述資料報文進行處理後獲得的,並透過所述安全閘道發送至所述清洗系統的;回饋單元,用於依據所述終端IP地址,將所述回饋報文發送至所述終端。
由以上內容,可以看出本申請具有以下有益效果:本申請提供的一種資料處理系統中增加清洗系統,因此,本申請使得訪問目標網站伺服器的大量資料報文不再經過網路設備與安全閘道之間的第一網路鏈路,而是流經網路設備與清洗系統之間的第二網路鏈路,由於第二網路鏈路的互聯網頻寬遠遠大於第一網路鏈路的互聯網頻寬,所以,清洗系統可以接收大量資料報文。然後,再由清洗設備將清洗後的正常報文轉發至目標網站伺服器。
因此,本申請可以在不更改網路設備與安全閘道之間 互聯網頻寬的前提下,解決攻擊設備向目標網站伺服器發起的DDoS攻擊的問題。
100‧‧‧終端
200‧‧‧網路設備
300‧‧‧安全閘道
400‧‧‧網站伺服器
500‧‧‧清洗系統
111‧‧‧第一接收單元
112‧‧‧清洗單元
113‧‧‧第一發送單元
121‧‧‧查找單元
122‧‧‧第二發送單元
131‧‧‧生成單元
132‧‧‧第三發送單元
141‧‧‧第二接收單元
142‧‧‧第四發送單元
151‧‧‧第三接收單元
152‧‧‧轉發單元
161‧‧‧確定單元
162‧‧‧轉發資料報文單元
171‧‧‧第四接收單元
172‧‧‧回饋單元
為了更清楚地說明本申請實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1為現有技術中資料處理系統的結構示意圖;圖2為本申請實施例公開的資料處理系統的結構示意圖;圖3為本申請實施例公開的資料處理方法的流程圖;圖4為本申請實施例公開的又一資料處理方法的流程圖;圖5為本申請實施例公開的又一資料處理方法的流程圖;圖6為本申請實施例公開的又一資料處理方法的流程圖;圖7為本申請實施例公開的又一資料處理方法的流程圖;圖8為本申請實施例公開的又一資料處理方法的流程圖; 圖9為本申請實施例公開的又一資料處理方法的流程圖;圖10為本申請實施例公開的又一資料處理方法的流程圖;圖11為本申請實施例公開的資料處理裝置的結構示意圖;圖12為本申請實施例公開的又一資料處理裝置的結構示意圖;圖13為本申請實施例公開的又一資料處理裝置的結構示意圖;圖14為本申請實施例公開的又一資料處理裝置的結構示意圖;圖15為本申請實施例公開的又一資料處理裝置的結構示意圖;圖16為本申請實施例公開的又一資料處理裝置的結構示意圖;圖17為本申請實施例公開的又一資料處理裝置的結構示意圖。
下面將結合本申請實施例中的附圖,對本申請實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本申請一部分實施例,而不是全部的實施例。基於本申請中的實施例,本領域普通技術人員在沒有做出 創造性勞動前提下所獲得的所有其他實施例,都屬於本申請保護的範圍。
為了方便本領域技術人員理解本申請的詳細內容,首先對本申請中使用的技術術語進行解釋:網路設備:可以連接互聯網的設備;例如,閘道、路由等。
資料報文:網路中交換與傳輸的資料單元,即網站一次性要發送的資料塊。資料報文包含將要發送的完整的資料資訊,其長短很不一致,長度不限且可變。
正常報文:由正常終端發送的、不會對接收方造成網路攻擊的資料報文。
攻擊報文:由攻擊終端發送的、對接收方造成網路攻擊的資料報文。
清洗設備:設置有清洗攻擊報文的軟體程式的網路設備。
為了清楚說明本申請的應用場景,首先說明一下資料處理系統。如圖2所示,所述資料處理系統包括:終端100、與所述終端100相連的網路設備200、與所述網路設備200相連的清洗系統500、與所述清洗系統500相連的多個設置有安全閘道300的網站伺服器400。其中,清洗系統500中包括一個或多個清洗設備。為了清楚表明清洗系統500採用清洗設備1、清洗設備2……清洗設備N表示;其中N為非零自然數。
其中,所述清洗系統500,用於接收所述網路設備發 送的目標資料報文,對所述目標資料報文進行清洗,並將清洗後的正常報文發送至目標網站伺服器。
為了便於說明,將圖1中網路設備200與安全閘道300之間網路鏈路稱為第一網路鏈路,將圖2中網路設備200與清洗系統500之間的網路鏈路稱為第二網路鏈路。
由於企業所購買第一網路鏈路的互聯網頻寬較窄(例如,1G),僅可以滿足正常數量的資料報文通行,無法滿足DDoS攻擊時的大量資料報文通行。為此,本申請申請人設計增加清洗系統500,由於清洗系統500專門用於進行DDoS清洗,所以清洗系統500對應的企業購買的互聯網頻寬較寬(例如,100G),所以可以滿足DDoS攻擊時的大量資料報文通行。
其中所述清洗系統,用於接收所述網路設備發送的目標資料報文,對所述目標資料報文進行清洗,並將清洗後的正常報文發送至目標網站伺服器。
在增加清洗系統500之後,網路設備200上的資料報文可以不必直接經過第一網路鏈路傳輸至安全閘道300,而是可以經過第二網路鏈路傳輸至清洗系統500,經清洗系統500清洗後獲取正常報文。再將正常報文轉發至安全閘道300,並由安全閘道300傳輸至網站伺服器400。
因此,攻擊終端產生的大量資料報文不再經過第一網路鏈路,而是經過第二網路鏈路達到清洗系統500,相對於傳統的大量資料報文無法進行清洗而言,本申請使得大量資料報文可以到達清洗系統500進行清洗,從而將清洗 後的正常報文發送至設置有安全閘道300的網站伺服器400。
資料處理系統中包含多個包含安全閘道的網站伺服器,針對每個包含安全閘道的網站伺服器而言,本申請的處理過程是一致的,因此,本申請僅以包含安全閘道的目標網站伺服器為例,進行詳細介紹,其它包含安全閘道的網站伺服器的處理過程可以參見包含安全閘道的目標網站伺服器的處理過程。
在詳細介紹本申請的具體實施方式之前,首先介紹一下本申請的預先執行過程。
(1)在網路設備中儲存目標域名新對應關係。
為了滿足對多個網站伺服器的提供資料報文清洗服務,清洗系統中包含有一個或多個清洗設備。清洗系統可以在一個或多個清洗設備中隨機選擇一個清洗設備,作為代替安全閘道進行DDoS清洗的目標清洗設備。網路設備內儲存有各個網站伺服器的域名與IP地址的對應關係,該對應關係決定互聯網在進行域名解析後資料報文的去向。
以目標網站伺服器為例,在本申請之前,網路設備儲存的目標網站伺服器的目標域名和目標網站伺服器的目標IP地址的對應關係。這樣,網路設備在接收包含目標域名的資料報文後,可以直接將資料報文發送至目標IP地址對應的設置有安全閘道的目標網站伺服器。
但是,本申請為了控制資料報文在具有DDoS攻擊時 不再經過網路設備與安全閘道之間的第一網路鏈路,而是經過網路設備與清洗系統之間的第二網路鏈路,所以需要在網路設備中儲存目標網站伺服器的目標域名的新對應關係。即儲存目標域名與清洗系統中目標清洗設備的清洗IP地址的對應關係。這樣,在具有DDoS攻擊時,網路設備可以在接收包含目標域名的資料報文後,不再將資料報文發送至安全閘道,而是將資料報文發送至目標清洗設備。
(2)在目標清洗設備中添加目標域名與目標IP地址的對應關係。
目標清洗設備在接收包含目標域名的資料報文後,對資料報文進行處理後可以獲得正常報文。為了便於目標清洗設備得知正常報文的最終去向,在目標清洗設備中儲存目標域名和目標IP地址的對應關係。這樣,目標清洗設備在獲得正常報文之後,可以將正常報文轉發至與目標IP地址對應的目標網站伺服器。
如圖3所示,在目標清洗設備中添加目標域名與目標IP地址的對應關係具體可以包括以下步驟:
步驟S301:在接收所述網路設備發送的資料報文之前,獲取所述安全閘道發送的配置資訊;其中,所述配置資訊包括所述目標網站伺服器的所述目標域名和所述目標IP地址。
為了便於清洗系統與安全閘道之間通信,在清洗系統與安全閘道之間設置有第一API介面。安全閘道可以通過第一API介面向清洗系統的目標清洗設備發送配置資訊。 配置資訊中可以包括目標網站伺服器的目標域名和目標IP地址。
步驟S302:構建所述目標域名與所述目標IP地址的對應關係。
目標清洗設備在接收目標網站伺服器的目標域名和目標IP地址之後,可以構建目標域名與所述目標IP地址的對應關係。
步驟S303:儲存所述目標域名與所述目標IP地址的對應關係。
在構建目標域名與所述目標IP地址的對應關係之後,便儲存目標域名與所述目標IP地址的對應關係,以便後續轉發正常報文時使用。
(3)在安全閘道中儲存目標清洗設備的清洗IP地址。
清洗系統在確定代替安全閘道的目標清洗設備之後,目標清洗設備可以向安全閘道發送清洗IP地址。安全閘道在接收並儲存目標清洗設備的清洗IP地址,以便後續安全閘道向目標清洗設備發送回饋報文時使用。
在介紹完成預先準備過程之後,介紹本申請的詳細工作過程。如圖4所示,本申請一種資料處理方法,應用於圖2所示的資料處理系統的網路設備;具體包括以下步驟:
步驟S401:接收終端發送的目標資料報文。其中,所述目標資料報文包括目標域名。
終端的目的為向目標網站伺服器發送資料報文,所以,資料報文中包含有目標網站伺服器的目標域名。所有終端向目標網站伺服器發送的資料報文均會經過網路設備,所以網路設備可以接收包含目標域名的資料報文。
步驟S402:將所述目標資料報文轉發至清洗系統。
如圖5所示,本步驟具體包括以下步驟:
步驟S501:依據域名與IP地址的第二對應關係,確定與所述目標域名對應的清洗IP地址。其中,所述網路設備儲存有所述目標域名與清洗IP地址的對應關係,所述清洗IP地址為清洗系統中目標清洗設備的IP地址。
透過前述預先準備工作可知,網路設備儲存有目標域名與目標清洗設備的清洗IP地址的對應關係。所以在本步驟中,網路設備可以根據目標域名在域名與IP地址的第二對應關係進行查找,並確定與目標域名對應的清洗IP地址。
步驟S502:將所述資料報文轉發至與所述清洗IP地址對應的目標清洗設備。其中,所述資料報文由所述目標清洗設備進行清洗並獲取清洗後的正常報文之後,按預先儲存的所述目標域名與目標IP地址的對應關係,將所述正常報文發送至與所述目標IP地址對應的目標網站伺服器。
網路設備根據與目標域名對應的清洗IP地址,將包含目標域名的資料報文轉發至與所述清洗系統中與清洗IP地址對應的目標清洗設備。後續由目標清洗設備進行處 理。
由於網路設備儲存有目標域名與清洗IP地址的對應關係,所以,網路設備在發現DDoS攻擊時,可以更改包含目標域名的資料報文的網路鏈路,使得資料報文不再經過第一網路鏈路,而是經過第二網路鏈路。
在介紹完網路設備的處理過程之後,下面介紹清洗系統的執行過程。如圖6所示,本申請提供一種資料處理方法,應用於圖2所示的資料處理系統的清洗系統。具體包括以下步驟:
步驟S601:接收網路設備發送的目標資料報文。
不同的清洗設備具有不同的IP地址,所以,清洗系統中與所述清洗IP地址對應的目標清洗設備,接收網路設備發送的資料報文。
步驟S602:對所述目標資料報文進行清洗。
目標清洗設備中預先儲存有清洗策略,目標清洗設備便按照清洗策略進行清洗。清洗的目的在於過濾資料報文中的攻擊報文,剩餘正常報文。至於具體的清洗策略不是本申請的保護重點,在此不再贅述。
步驟S603:將清洗後的正常報文發送至設置有安全閘道的目標網站伺服器。
如圖7所示,本步驟具體包括以下步驟:
步驟S701:依據域名與IP地址的第一對應關係,查找與目標域名對應的目標IP地址。其中,所述目標資料報文包括目標域名。
由前述準備工作可知,目標清洗設備中預先儲存有目標網站伺服器的目標域名與目標IP地址的對應關係。
步驟S702:將所述正常報文發送至與所述目標IP地址對應的目標網站伺服器。
由於終端發送的資料報文旨在發送至目標網站伺服器,所以,在目標清洗設備在獲得正常資料報文之後,需要根據目標域名與目標IP地址的對應關係,將正常報文發送至與目標IP地址對應的目標網站伺服器。
透過上述技術內容可以發現:本申請具有以下有益效果:本申請提供的一種資料處理系統中增加清洗系統,因此,本申請使得訪問目標網站伺服器的大量資料報文不再經過網路設備與安全閘道之間的第一網路鏈路,而是流經網路設備與清洗系統之間的第二網路鏈路,由於第二網路鏈路的互聯網頻寬遠遠大於第一網路鏈路的互聯網頻寬,所以,清洗系統可以接收大量資料報文。然後,再由清洗設備將清洗後的正常報文轉發至目標網站伺服器。
因此,本申請可以在不更改網路設備與安全閘道之間互聯網頻寬的前提下,解決攻擊設備向目標網站伺服器發起的DDoS攻擊的問題。
為了便於目標網站伺服器的安全閘道瞭解攻擊資訊,目標清洗設備還可以執行下述過程。如圖8所示,具體包括以下步驟:
步驟S801:生成攻擊防護日誌;其中,所述防護日 誌包括攻擊報文的攻擊時間和攻擊報文資料量。
目標清洗設備在對所述資料報文進行清洗後,從而過濾掉一部分攻擊報文。並將攻擊報文的攻擊時間、攻擊報文的攻擊數量以及攻擊報文的類型等資訊生成攻擊防護日誌。
步驟S802:將所述攻擊防護日誌發送至所述安全閘道。
為了便於目標清洗設備與安全閘道之間傳輸攻擊防護日誌,在目標清洗設備與安全閘道之間設置第二API介面。目標清洗設備可以通過第二API介面向安全閘道發送攻擊防護日誌。
安全閘道在接收攻擊防護日誌後,可以顯示攻擊防護日誌,以便管控安全閘道的技術人員可以瞭解攻擊目標網站伺服器的攻擊報文的相關資訊,繼而可以做出相應的漏洞修補或者程式改進。
可以理解的是,目標清洗設備還可以執行發送回饋報文的過程。如圖9所示,具體包括以下步驟:
步驟S901:接收所述目標網站伺服器發送的包含終端IP地址的回饋報文;其中,所述回饋報文為所述目標網站伺服器對所述資料報文進行處理後獲得的。
在圖6所示的實施例中,目標網站伺服器在接收正常報文之後,可以對正常報文進行處理並生成回饋報文。可以理解的是,正常報文中五元組資訊中源地址為終端IP地址,目的地址為目標網站伺服器的目標IP地址。在生 成回饋報文時由於發送方向變更,所以回饋報文中五元組資訊中源地址為目標網站伺服器的目標IP地址,目的地址為終端IP地址。
透過前述的準備過程可知,安全閘道中儲存有目標清洗設備的清洗IP地址,所以,可以將回饋報文發送至與清洗IP地址對應的目標清洗設備。
步驟S902:將所述回饋報文發送至所述網路設備。
目標清洗設備依據回饋報文中攜帶的終端IP地址,將回饋報文發送至網路設備。
下面介紹網路設備在接收回饋報文之後的處理過程,如圖10所示,具體包括以下步驟:
步驟S1001:接收所述清洗系統發送的包含終端IP地址的回饋報文;其中,所述回饋報文為所述目標網站伺服器對所述資料報文進行處理後獲得的。
步驟S1002:依據所述終端IP地址,將所述回饋報文發送至所述終端。
網路設備在接收回饋報文之後,可以根據終端IP地址將回饋報文發送至終端,從而完成一次終端與目標網站伺服器之間的資料交互過程。
如圖11所示,本申請提供一種資料處理裝置,應用於資料處理系統的清洗系統。包括:第一接收單元111,用於接收網路設備發送的目標資料報文;其中,由網路設備接收終端發送的目標資料報文;並將所述目標資料報文轉發至清洗系統。
清洗單元112,用於對所述目標資料報文進行清洗。
第一發送單元113,用於將清洗後的正常報文發送至設置有安全閘道的目標網站伺服器。
其中,目標資料報文包括目標域名。如圖12所示,所述第一發送單元113具體包括:查找單元121,用於依據域名與IP地址的第一對應關係,查找與所述目標域名對應的目標IP地址;第二發送單元122,用於將所述正常報文發送至與所述目標IP地址對應的目標網站伺服器。
其中,目標域名與目標IP地址的對應關係的構建過程,具體包括:在接收所述網路設備發送的資料報文之前,獲取所述安全閘道發送的配置資訊;其中,所述配置資訊包括所述目標網站伺服器的所述目標域名和所述目標IP地址;構建所述目標域名與所述目標IP地址的對應關係。
如圖13所示,所述資料處理裝置還包括:生成單元131,用於生成攻擊防護日誌;其中,所述防護日誌包括攻擊報文的攻擊時間和攻擊報文資料量。
第三發送單元132,用於將所述攻擊防護日誌發送至所述安全閘道。攻擊防護日誌可由安全閘道進行顯示。
如圖14所示,所述資料處理裝置還包括:第二接收單元141,用於接收所述目標網站伺服器發送的包含終端IP地址的回饋報文;其中,所述回饋報文為所述目標網站伺服器對所述資料報文進行處理後獲得 的。
第四發送單元142,用於將所述回饋報文發送至所述網路設備,並由所述網路設備依據所述終端IP地址發送至所述終端。
如圖15所示,本申請又提供一種資料處理裝置,應用於資料處理系統的網路設備,具體包括:第三接收單元151,用於接收終端發送的目標資料報文。
轉發單元152,用於將所述目標資料報文轉發至清洗系統;其中,接收網路設備發送的目標資料報文;其中,所述目標資料報文包括目標域名;對所述目標資料報文進行清洗;將清洗後的正常報文發送至設置有安全閘道的目標網站伺服器。
如圖16所示,轉發單元152,具體包括:確定單元161,用於依據域名與IP地址的第二對應關係,確定與所述目標域名對應的清洗IP地址,其中,所述網路設備儲存有所述目標域名與清洗IP地址的對應關係,所述清洗IP地址為清洗系統中目標清洗設備的IP地址;轉發資料報文單元162,用於將所述資料報文轉發至與所述清洗IP地址對應的目標清洗設備。
如圖17所示,所述資料處理裝置,還包括:第四接收單元171,用於接收所述清洗系統發送的包含終端IP地址的回饋報文;其中,所述回饋報文為所述 網站伺服器對所述資料報文進行處理後獲得的,並通過所述安全閘道發送至所述清洗系統的;回饋單元172,用於依據所述終端IP地址,將所述回饋報文發送至所述終端。
本實施例方法所述的功能如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個計算設備可讀取儲存媒體中。基於這樣的理解,本申請實施例對現有技術做出貢獻的部分或者該技術方案的部分可以以軟體產品的形式體現出來,該軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台計算設備(可以是個人電腦,伺服器,行動計算裝置或者網路設備等)執行本申請各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:USB隨身碟、移動硬碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、磁碟或者光碟等各種可以儲存程式碼的媒體。
本說明書中各個實施例採用遞進的方式描述,每個實施例重點說明的都是與其它實施例的不同之處,各個實施例之間相同或相似部分互相參見即可。
對所公開的實施例的上述說明,使本領域專業技術人員能夠實現或使用本申請。對這些實施例的多種修改對本領域的專業技術人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本申請的精神或範圍的情況下,在其它實施例中實現。因此,本申請將不會被限制於本文 所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的範圍。
100‧‧‧終端
200‧‧‧網路設備
300‧‧‧安全閘道
400‧‧‧網站伺服器
500‧‧‧清洗系統

Claims (17)

  1. 一種資料處理系統,其特徵在於,包括:終端、網路設備、清洗系統和至少一個設有安全閘道的網站伺服器;其中,該終端與該網路設備相連,該清洗系統一端連接該網路設備,另一端連接設有閘道的網站伺服器;該清洗系統,用於接收該網路設備發送的目標資料報文,對該目標資料報文進行清洗,並將清洗後的正常報文發送至目標網站伺服器。
  2. 如申請專利範圍第1項所述的系統,其中,該清洗系統包括多個清洗設備。
  3. 一種資料處理方法,其特徵在於,包括:接收網路設備發送的目標資料報文;對該目標資料報文進行清洗;將清洗後的正常報文發送至設置有安全閘道的目標網站伺服器。
  4. 如申請專利範圍第3項所述的方法,其中,該目標資料報文包括目標域名;則所述將清洗後的正常報文發送至設置有安全閘道的目標網站伺服器,包括:依據域名與IP地址的第一對應關係,查找與該目標 域名對應的目標IP地址;將該正常報文發送至與該目標IP地址對應的目標網站伺服器。
  5. 如申請專利範圍第4項所述的方法,其中,目標域名與目標IP地址的對應關係的構建過程,包括:在接收該網路設備發送的資料報文之前,獲取該安全閘道發送的配置資訊;其中,該配置資訊包括該目標網站伺服器的該目標域名和該目標IP地址;構建該目標域名與該目標IP地址的對應關係。
  6. 如申請專利範圍第5項所述的方法,其中,在對該目標資料報文進行清洗之後,還包括:生成攻擊防護日誌;將該攻擊防護日誌發送至該安全閘道。
  7. 如申請專利範圍第3項所述的方法,其中,還包括:接收該目標網站伺服器發送的包含終端IP地址的回饋報文;其中,該回饋報文為該目標網站伺服器對該資料報文進行處理後獲得的;將該回饋報文發送至該網路設備。
  8. 一種資料處理方法,其特徵在於,包括:接收終端發送的目標資料報文; 將該目標資料報文轉發至清洗系統。
  9. 如申請專利範圍第8項所述的方法,其中,所述將該目標資料報文轉發至清洗系統包括:依據域名與IP地址的第二對應關係,確定與該目標域名對應的清洗IP地址,其中,該網路設備儲存有該目標域名與清洗IP地址的對應關係,該清洗IP地址為清洗系統中目標清洗設備的IP地址;將該資料報文轉發至與該清洗IP地址對應的目標清洗設備。
  10. 如申請專利範圍第8項所述的方法,其中,還包括:接收該清洗系統發送的包含終端IP地址的回饋報文;依據該終端IP地址,將該回饋報文發送至該終端。
  11. 一種資料處理裝置,其特徵在於,包括:第一接收單元,用於接收網路設備發送的目標資料報文;清洗單元,用於對該目標資料報文進行清洗;第一發送單元,用於將清洗後的正常報文發送至設置有安全閘道的目標網站伺服器。
  12. 如申請專利範圍第11項所述的裝置,其中,該目標 資料報文包括目標域名;則該第一發送單元,包括:查找單元,用於依據域名與IP地址的第一對應關係,查找與該目標域名對應的目標IP地址;第二發送單元,用於將該正常報文發送至與該目標IP地址對應的目標網站伺服器;其中,目標域名與目標IP地址的對應關係的構建過程,具體包括:在接收該網路設備發送的資料報文之前,獲取該安全閘道發送的配置資訊;其中,該配置資訊包括該目標網站伺服器的該目標域名和該目標IP地址;構建該目標域名與該目標IP地址的對應關係。
  13. 如申請專利範圍第11項所述的裝置,其中,在對該目標資料報文進行清洗之後,還包括:生成單元,用於生成攻擊防護日誌;第三發送單元,用於將該攻擊防護日誌發送至該安全閘道。
  14. 如申請專利範圍第11項所述的裝置,其中,還包括:第二接收單元,用於接收該目標網站伺服器發送的包含終端IP地址的回饋報文;其中,該回饋報文為該目標網站伺服器對該資料報文進行處理後獲得的;第四發送單元,用於將該回饋報文發送至該網路設備。
  15. 一種資料處理裝置,其特徵在於,包括:第三接收單元,用於接收終端發送的目標資料報文;轉發單元,用於將該目標資料報文轉發至清洗系統。
  16. 如申請專利範圍第15項所述的裝置,其中,該轉發單元包括:確定單元,用於依據域名與IP地址的第二對應關係,確定與該目標域名對應的清洗IP地址,其中,該網路設備儲存有該目標域名與清洗IP地址的對應關係,該清洗IP地址為清洗系統中目標清洗設備的IP地址;轉發資料報文單元,用於將該資料報文轉發至與該清洗IP地址對應的目標清洗設備。
  17. 如申請專利範圍第15項所述的裝置,其中,還包括:第四接收單元,用於接收該清洗系統發送的包含終端IP地址的回饋報文;回饋單元,用於依據該終端IP地址,將該回饋報文發送至該終端。
TW106114532A 2016-05-06 2017-05-02 資料處理方法、裝置及系統 TWI730090B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610298594.8A CN107347056A (zh) 2016-05-06 2016-05-06 一种数据处理方法、装置及系统
??201610298594.8 2016-05-06
CN201610298594.8 2016-06-05

Publications (2)

Publication Number Publication Date
TW201810108A true TW201810108A (zh) 2018-03-16
TWI730090B TWI730090B (zh) 2021-06-11

Family

ID=60202737

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106114532A TWI730090B (zh) 2016-05-06 2017-05-02 資料處理方法、裝置及系統

Country Status (4)

Country Link
US (1) US20190068635A1 (zh)
CN (1) CN107347056A (zh)
TW (1) TWI730090B (zh)
WO (1) WO2017190623A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109995714B (zh) * 2017-12-29 2021-10-29 中移(杭州)信息技术有限公司 一种处置流量的方法、装置和系统
CN111355649A (zh) * 2018-12-20 2020-06-30 阿里巴巴集团控股有限公司 流量回注方法、装置和系统
CN114257566A (zh) * 2020-09-11 2022-03-29 北京金山云网络技术有限公司 域名访问方法、装置和电子设备

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
CN101599146A (zh) * 2009-07-13 2009-12-09 东莞市龙光电子科技有限公司 一种模具制造信息的管理方法及系统
US8613073B2 (en) * 2009-10-16 2013-12-17 Tekelec, Inc. Methods, systems, and computer readable media for providing diameter signaling router with firewall functionality
WO2011067782A1 (en) * 2009-12-02 2011-06-09 Novatium Solutions (P) Ltd Mechanism for adaptively choosing utility computing applications based on network characteristics and extending support for additional local applications
CN102195843B (zh) * 2010-03-02 2014-06-11 中国移动通信集团公司 一种流量控制系统和方法
CN102413105A (zh) * 2010-09-25 2012-04-11 杭州华三通信技术有限公司 防范cc攻击的方法和装置
US9160711B1 (en) * 2013-06-11 2015-10-13 Bank Of America Corporation Internet cleaning and edge delivery
CN103795798B (zh) * 2014-02-11 2017-05-03 南京泰格金卡科技有限公司 一种手机考勤方法
CN103812965A (zh) * 2014-02-25 2014-05-21 北京极科极客科技有限公司 基于路由器的域名分类处理方法和装置
CN112615818B (zh) * 2015-03-24 2021-12-03 华为技术有限公司 基于sdn的ddos攻击防护方法、装置及系统

Also Published As

Publication number Publication date
WO2017190623A1 (zh) 2017-11-09
TWI730090B (zh) 2021-06-11
US20190068635A1 (en) 2019-02-28
CN107347056A (zh) 2017-11-14

Similar Documents

Publication Publication Date Title
US9621407B2 (en) Apparatus and method for pattern hiding and traffic hopping
Wolinsky et al. Dissent in numbers: Making strong anonymity scale
US9237168B2 (en) Transport layer security traffic control using service name identification
CN109756501B (zh) 一种基于http协议的高隐匿网络代理方法及系统
JP2018507639A (ja) グローバル仮想ネットワークについてのシステム及び方法
Dixon et al. Network traffic obfuscation and automated internet censorship
Ling et al. Protocol-level hidden server discovery
CN104137491A (zh) 通过服务网关管理服务的方法
EP2056559A1 (en) Method and system for network simulation
US10498618B2 (en) Attributing network address translation device processed traffic to individual hosts
Ellard et al. Rebound: Decoy routing on asymmetric routes via error messages
JP2020500374A5 (zh)
TWI730090B (zh) 資料處理方法、裝置及系統
Parsons Deep Packet Inspection in Perspective: Tracing its lineage and surveillance potentials
Frolov et al. Conjure: Summoning proxies from unused address space
US9055113B2 (en) Method and system for monitoring flows in network traffic
CN108737407A (zh) 一种劫持网络流量的方法及装置
Rodrigues et al. Evaluating a blockchain-based cooperative defense
US20190020678A1 (en) Distributed denial of service mitigation for web conferencing
CN104735174B (zh) 一种http透明代理的实现方法及装置
Nguyen et al. Moving Target Defense‐Based Denial‐of‐Service Mitigation in Cloud Environments: A Survey
Moghaddam et al. Anonymizing masses: Practical light-weight anonymity at the network level
CN106060155B (zh) P2p资源共享的方法及装置
Li et al. Digital forensics on Tencent QQ-instant messaging service in China
Messier Learning Kali Linux: security testing, penetration testing, and ethical hacking