TW201828661A - 流量處理方法、設備和系統 - Google Patents

流量處理方法、設備和系統 Download PDF

Info

Publication number
TW201828661A
TW201828661A TW106101946A TW106101946A TW201828661A TW 201828661 A TW201828661 A TW 201828661A TW 106101946 A TW106101946 A TW 106101946A TW 106101946 A TW106101946 A TW 106101946A TW 201828661 A TW201828661 A TW 201828661A
Authority
TW
Taiwan
Prior art keywords
defense
traffic
dns
destination address
advanced
Prior art date
Application number
TW106101946A
Other languages
English (en)
Inventor
李陽
董寶強
趙洪日
張毅
Original Assignee
阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 阿里巴巴集團服務有限公司 filed Critical 阿里巴巴集團服務有限公司
Priority to TW106101946A priority Critical patent/TW201828661A/zh
Publication of TW201828661A publication Critical patent/TW201828661A/zh

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本發明公開了一種流量處理方法,設備和系統,應用於包括初級防禦設備和高級防禦設備的系統中,其中所述高級防禦設備的流量清洗能力高於所述初級防禦設備的清洗能力,該方法包括:管控設備監控用於清洗使用者流量的初級防禦設備的負載是否大於第一閾值;若監控結果為是,所述管控設備將所述初級防禦設備處理的流量轉移至高級防禦設備進行清洗;所述管控設備控制清洗完成的流量轉移至業務處理設備進行處理,以此可以根據具體的情況來選擇不同的防禦設備進行流量清洗,降低了使用成本,同時,這一系列的操作是在使用者無感知的情況下進行的,不需要使用者進行額外的操作,以此透過動態調度防禦設備的方式,提高了使用者的體驗。

Description

流量處理方法、設備和系統
本發明涉及通訊技術領域,特別涉及一種流量處理方法、設備和系統。
如圖1所示,為DDoS(Distributed Denial of Service,分散式阻斷服務)攻擊的示意圖,攻擊者利用殭屍發動DDoS攻擊,攻擊導致業務伺服器資源被耗盡,從而拒絕正常使用者的服務;針對DDoS攻擊,目前已有的防禦方案包括:
一、DDoS流量清洗,這是目前最常用的防禦DDoS方法,透過DDoS檢測設備發現DDoS攻擊並預警,當發現DDoS攻擊時通知旁路的流量清洗設備牽引被攻擊目的IP的流量,清洗攻擊流量,回注正常流量。
二、在運營商網路發佈黑洞路由,也即當攻擊流量超過業務方的承受範圍時,為了不影響同一機房的其他業務,業務方有時會透過在運營商網路中發佈黑洞路由的方式遮罩被攻擊IP的存取,在骨幹網丟棄所有的DDoS流量。
但是進行DDoS流量清洗時,初級的防禦能力比較低,為了防禦更高級別的DDoS攻擊,必須不斷升級清洗設備和頻寬容量,帶來成本的大幅攀升;且目前階段清洗設備無法作為百分百的清洗,只要牽引必定帶來誤殺和漏殺,對正常業務存取造成一定影響;而發佈黑洞路由透過黑洞路由遮罩IP存取的結果相當於攻擊得逞了,即使透過DNS(Domain Name System,網域名稱系統)等方式更改業務的存取IP,也會在一段時間內導致部分業務完全不可用。
由上述可以知道,現有基地台中的上述目前的主流防禦方案並不能完全解決目前遇到的DDoS問題。
針對現有技術中防禦DDoS時,無法解決高成本以及效率不高,從而影響使用者的正常業務的缺陷,本發明提出了一種流量處理方法,應用於包括初級防禦設備和高級防禦設備的系統中,其中所述高級防禦設備的流量清洗能力高於所述初級防禦設備的清洗能力,該方法包括:管控設備監控用於清洗使用者流量的初級防禦設備的負載是否大於第一閾值;若監控結果為是,所述管控設備將所述初級防禦設備處理的流量轉移至高級防禦設備進行清洗;所述管控設備控制清洗完成的流量轉移至業務處理設備進行處理。
可選的,所述管控設備將所述初級防禦設備處理的流量轉移至高級防禦設備進行清洗,具體包括:所述管控設備查找高級防禦設備;所述管控設備為高級防禦設備分配第一高防IP,其中,所述第一高防IP不同於所述初級防禦設備的初防IP;所述管控設備將增強DNS設備解析的目的位址修改為第一高防IP,以便所述增強DNS設備基於修改後的目的位址將使用者的流量轉移至第一高防IP對應的高級防禦設備進行清洗。
可選的,所述管控設備將增強DNS設備解析的目的位址修改為第一高防IP,以便所述增強DNS設備基於修改後的目的位址將使用者的流量轉移至高級防禦設備,之後還包括:所述管控設備監控進行流量清洗的高級防禦設備的負載是否超過第二閾值;若監控結果為是,所述管控設備創建第二高防IP,其中所述第二高防IP不同於初級防禦設備的初防IP以及第一高防IP;所述管控設備將增強DNS設備解析的目的位址修改為第二高防IP,以便所述增強DNS設備基於修改後的目的位址將使用者的流量轉移至第二高防IP對應的高級防禦設備進行清洗。
本發明還提出了一種流量處理方法,其特徵在於,包 括增強DNS設備接收來自使用者終端的DNS請求;所述增強DNS設備基於自身儲存的包含DNS請求與目的位址的對應關係的索引表來解析所述DNS請求,並將解析得到的目的位址回傳給使用者。
可選的,所述增強DNS設備接收來自使用者終端的DNS請求,具體包括:所述增強DNS設備接收使用者DNS轉發的來自使用者終端的DNS請求。
可選的,所述索引表中的目的位址是可以修改的;該方法進一步包括:所述增強DNS設備接收管控設備的更新消息,所述更新消息中攜帶所述管控設備設置的更新IP,所述更新消息用於將索引表中的目的位址修改為所述更新IP;所述增強DNS設備在接收到來自使用者終端的DNS請求時,基於最新修改後的索引表執行功能變數名稱解析,並將解析出的最新修改後的目的位址回傳給使用者終端。
本發明還提出了一種管控設備,其特徵在於,包括:監控模組,用於監控用於清洗使用者流量的初級防禦設備的負載是否大於第一閾值;轉移模組,用於當初級防禦設備的負載大於第一閾值時,將所述初級防禦設備處理的流量轉移至高級防禦設備進行清洗; 處理模組,用於控制清洗完成的流量轉移至業務處理設備進行處理。
可選的,所述轉移模組,具體用於:查找高級防禦設備;為高級防禦設備分配第一高防IP,其中,所述第一高防IP不同於所述初級防禦設備的初防IP;將增強DNS設備解析的目的位址修改為第一高防IP,以便所述增強DNS設備基於修改後的目的位址將使用者的流量轉移至第一高防IP對應的高級防禦設備進行清洗。
可選的,還包括:操作模組,用於監控進行流量清洗的高級防禦設備的負載是否超過第二閾值;當監控結果為是時,創建第二高防IP,其中所述第二高防IP不同於初級防禦設備的初防IP以及第一高防IP;將增強DNS設備解析的目的位址修改為第二高防IP,以便所述增強DNS設備基於修改後的目的位址將使用者的流量轉移至第二高防IP對應的高級防禦設備進行清洗。
本發明還提出了一種增強DNS設備,其特徵在於,包括:接收模組,用於接收來自使用者終端的DNS請求;解析模組,用於基於自身儲存的包含DNS請求與目的位址的對應關係的索引表來解析所述DNS請求,並將 解析得到的目的位址回傳給使用者。
可選的,所述接收模組,具體用於:接收使用者DNS轉發的來自使用者終端的DNS請求。
可選的,所述索引表中的目的位址是可以修改的;所述解析模組還用於:接收管控設備的更新消息,所述更新消息中攜帶所述管控設備設置的更新IP,所述更新消息用於將索引表中的目的位址修改為所述更新IP;在接收到來自使用者終端的DNS請求時,基於最新修改後的索引表執行功能變數名稱解析,並將解析出的最新修改後的目的位址回傳給使用者終端。
本發明還提出了一種流量處理系統,應用於包括初級防禦設備和高級防禦設備的系統中,其中所述高級防禦設備的流量清洗能力高於所述初級防禦設備的清洗能力,該系統包括:管控設備,用於監控用於清洗使用者流量的初級防禦設備的負載是否大於第一閾值;當監控結果為是時,將所述初級防禦設備處理的流量轉移至高級防禦設備進行清洗;控制清洗完成的流量轉移至業務處理設備進行處理;增強DNS設備,用於接收來自使用者終端的DNS請求;基於自身儲存的包含DNS請求與目的位址的對應關係的索引表來解析所述DNS請求,並將解析得到的目的位址回傳給使用者。
與現有技術相比,本發明中的方案,首先使得使用者的流量透過初級防禦設備進行流量清洗,同時即時監控初級防禦設備的負載情況,並當初級防禦設備負載過高時,切換到高級防禦設備進行流量清洗,以此根據具體的情況來選擇不同的防禦設備進行流量清洗,降低了使用成本,同時,這一系列的操作是在使用者無感知的情況下進行的,不需要使用者進行額外的操作,以此透過動態調度防禦設備的方式,提高了使用者的體驗。
201~203‧‧‧步驟
301~301‧‧‧步驟
401‧‧‧監控模組
402‧‧‧轉移模組
403‧‧‧處理模組
501‧‧‧接收模組
502‧‧‧解析模組
601‧‧‧管控設備
602‧‧‧增強DNS設備
圖1為DDoS攻擊的示意圖;圖2為本發明實施例提出的一種流量處理方法的流程示意圖;圖3為本發明實施例提出的一種流量處理方法的流程示意圖;圖4為本發明實施例提出的一種管控設備的結構示意圖;圖5為本發明實施例提出的一種增強DNS設備的結構示意圖;圖6為本發明實施例提出的一種流量處理系統的結構示意圖。
如先前技術所述,現有技術中的防禦方式無法實現很 好的防禦效果,使用成本過高,效果不好,導致使用者體驗不高,為此本發明實施例中提出了一種流量處理方法,應用於包括初級防禦設備和高級防禦設備的系統中,其中高級防禦設備的流量清洗能力高於初級防禦設備的清洗能力,如圖2所示,該方法包括:
步驟201、管控設備監控用於清洗使用者流量的初級防禦設備的負載是否大於第一閾值。
具體的,在檢測到存在非法流量的時候,首先啟動初級防禦設備,對非法流量進行清洗,其中初級防禦設備可以是IDC(Internet Data Center,網際網路資料中心)設備,由於其並非是專門的流量清洗設備,還需要承擔其他的功能,因此其清洗非法流量的能力較低,但使用成本較低,可以應對非法流量較小的情況,管控設備即時監控初級防禦設備的負載,具體的,其負載取決於初級防禦設備本身的流量清洗能力,當前接收到的流量,可以預設一個閾值,例如為90%,當初級防禦設備接收到的流量所需要的清洗能力達到其本身的流量清洗能力的90%,確定其負載大於第一閾值,當然,具體的還可以基於其他的情況或者因素來對負載以及第一閾值進行設置,在此不再進行贅敘。
監控會有兩個結果,當負載大於第一閾值時,執行步驟202,若負載不大於第一閾值,則可以將經過初級防禦設備清洗後的流量轉移至業務處理設備來完成相應的服務。
步驟202、若監控結果為是,管控設備將初級防禦設備處理的流量轉移至高級防禦設備進行清洗。
其中,具體的轉移過程可以包括:管控設備查找高級防禦設備;管控設備為高級防禦設備分配第一高防IP,其中,所述第一高防IP不同於所述初級防禦設備的初防IP,以便增強DNS設備基於修改後的目的位址將使用者的流量轉移至第一高防IP對應的高級防禦設備進行清洗。
具體的,在本發明中,設置有增強DNS設備,該增強DNS設備解析得到的目的位址是可以更改的,在確定初級防禦設備的負載大於第一閾值,也即初級防禦設備無法很好地完成流量清洗時,首先查找高級防禦設備,該高級防禦設備是專門用於流量清洗的,其處理能力,效率以及準確性都比初級防禦設備高,並為查找到的高級防禦設備(例如為高級防禦設備1)分配第一高防IP,例如為IP2,具體的可以透過管控設備向增強DNS設備發送更新消息,該更新消息中攜帶IP2,用以將增強DNS設備解析的目的位址修改為IP2,該IP2不同於初級防禦設備的初防IP,並將增強DNS設備解析的目的位址修改為IP2,具體的,例如增強DNS設備中儲存有索引表,索引表中儲存有DNS請求與解析的目的位址的對應關係,在此情況下,管控設備向增強DNS設備發送重新解析的命令,增強DNS設備重新解析,解析得到的目的位址將會變為修改後的目的位址,也即IP2,從而將原本在初級防禦設 備進行流量清洗的流量轉移至高級防禦設備(例如為高級防禦設備1),進行流量清洗。
在將流量轉移至高級防禦設備進行清洗,而事實上,雖然高級防禦設備的處理能力比初級防禦設備的處理能力高很多,但也不是無限的,相比較於攻擊流量,很可能還是不夠的,因此考慮到這種情況,在將流量轉移至高級防禦設備進行清洗之後,還可以執行以下步驟:管控設備監控進行流量清洗的高級防禦設備的負載是否超過第二閾值;若監控結果為是,管控設備創建第二高防IP,其中第二高防IP不同於初級防禦設備的初防IP以及第一高防IP;管控設備將增強DNS設備解析的目的位址修改為第二高防IP;以便增強DNS設備基於修改後的目的位址將使用者的流量轉移至第二高防IP對應的高級防禦設備進行清洗。
具體的,例如高級防禦設備1的負載超過第二閾值,與初級防禦設備相似的,其負載的評估以及第二閾值的設置可以基於具體的情況設置,在此不再進行贅敘,管控設備會一直即時監控進行流量處理的高級防禦設備,例如當確定高級防禦設備1的負載超過第二閾值時,則創建一個新的高防IP,也即第二高防IP,例如為IP3,該第二高防IP不同於初級防禦設備的初防IP以及第一高防IP,同樣可以透過更新消息來攜帶IP3,以便將增強DNS設備解析的目的位址修改為IP3,並觸發增強DNS設備重新進行功能變數名稱解析,從而將流量轉移至IP3對應的高級防禦 設備,其中IP3對於的高級防禦設備可以是高級防禦設備1,也即不更換具體的高級防禦設備硬體,只是更改其IP,也可以查找一個新的高級防禦設備,例如為高級防禦設備2,再將IP3分配給高級防禦設備2,也即更換高級防禦設備,也更換IP位址,在進行IP位址更換後,其原有的針對未更換前的IP的攻擊流量將不再有攻擊作用,相應的,對於發起攻擊者而言,其要想繼續攻擊,其攻擊成本將變得很大,當然再加上更換高級防禦設備,難度會更大,其攻擊成功將更高,從而達到了防禦的目的。
步驟203、管控設備控制清洗完成的流量轉移至業務處理設備進行處理。
不管是經過初級防禦設備還是高級防禦設備進行流量清洗後,控制清洗完成的流量轉移至業務處理設備進行處理,從而實現相應的服務。
以上是基於管控設備的角度來對本發明進行說明,為了對本發明進行進一步的說明,本發明實施例還公開了一種流量處理方法,如圖3所示,包括步驟301、增強DNS設備接收來自使用者終端的DNS請求;具體的,增強DNS設備接收來自使用者終端的DNS請求,具體包括:增強DNS設備接收使用者DNS轉發的來自使用者終端的DNS請求。
在一個具體的應用場景中,當使用者在使用者終端輸 入功能變數名稱時,也即發送NDS請求,先發送給使用者DNS(Domain Name System,網域名稱系統),由於使用者DNS解析的目的位址是無法更換的,因此將接收到的NDS請求發送給增強DNS設備,本發明中提出的增強DNS設備解析的目的位址是可以更改的,以此在不對現有的架構進行變動的情況下,透過增強DNS設備實現了功能上的拓展。
步驟302、增強DNS設備基於自身儲存的包含DNS請求與目的位址的對應關係的索引表來解析DNS請求,並將解析得到的目的位址回傳給使用者終端。
具體的,將解析出的目的位址回傳給使用者終端,就可以將使用者終端的使用者流量引導至解析出的目的位址對應的防禦設備(初級防禦設備或高級防禦設備,以及是哪個高級防禦設備,具體取決於解析出的目的位址)進行清洗;而具體的實現中,增強DNS設備中儲存有索引表;索引表中儲存DNS請求與目的位址的對應關係;增強DNS設備解析DNS請求,並將解析得到的目的位址回傳給使用者終端,具體包括:增強DNS設備基於自身儲存的索引表解析DNS請求,獲取與DNS請求對應的目的位址回傳給使用者終端。
由於索引表中的目的位址是可以修改的;該方法進一步包括:所述增強DNS設備接收管控設備的更新消息,所述 更新消息中攜帶所述管控設備設置的更新IP,所述更新消息用於將索引表中的目的位址修改為所述更新IP;所述增強DNS設備在接收到來自使用者終端的DNS請求時,基於最新修改後的索引表執行功能變數名稱解析,並將解析出的最新修改後的目的位址回傳給使用者終端。
具體的,在執行功能變數名稱解析時,有可能索引表中的目的位址進行了修改,也可能沒有進行修改;當還未進行修改時,最新修改後的索引表就一直是原索引表(也即初始建立的索引表),因此當進行功能變數名稱解析時,解析出的最新修改後的目的位址也即原目的位址;而當進行修改後,有可能修改有多次,此時透過最新修改的索引表來執行功能變數名稱解析,例如有兩次修改,第一次修改的時間是2015年5月1日13時12分13秒,第二次修改的時間則是2015年5月2日13時15分23秒,很明顯的,第二次修改的時間是最新的,因此以第二次修改後的索引表進行功能變數名稱解析,當然也可以以別的方式來對最新進行標識,例如還可以每修改一次,就將標識修改次數的數值加1,後續直接找最大數值對應索引表即可,只要能標識最新修改的索引表即可。
本發明實施例還提出了一種管控設備,如圖4所示,包括:監控模組401,用於監控用於清洗使用者流量的初級防禦設備的負載是否大於第一閾值; 轉移模組402,用於當初級防禦設備的負載大於第一閾值時,將所述初級防禦設備處理的流量轉移至高級防禦設備進行清洗;處理模組403,用於控制清洗完成的流量轉移至業務處理設備進行處理。
所述轉移模組402,具體用於:查找高級防禦設備;為高級防禦設備分配第一高防IP,其中,所述第一高防IP不同於所述初級防禦設備的初防IP;將增強DNS設備解析的目的位址修改為第一高防IP,以便所述增強DNS設備基於修改後的目的位址將使用者的流量轉移至第一高防IP對應的高級防禦設備進行清洗。
具體的,該管控設備,還包括:操作模組,用於監控進行流量清洗的高級防禦設備的負載是否超過第二閾值;當監控結果為是時,創建第二高防IP,其中所述第二高防IP不同於初級防禦設備的初防IP以及第一高防IP;將增強DNS設備解析的目的位址修改為第二高防IP,以便所述增強DNS設備基於修改後的目的位址將使用者的流量轉移至第二高防IP對應的高級防禦設備進行清洗。
本發明實施例還公開了一種增強DNS設備,如圖5所示,包括: 接收模組501,用於接收來自使用者終端的DNS請求;解析模組502,用於基於自身儲存的包含DNS請求與目的位址的對應關係的索引表來解析所述DNS請求,並將解析得到的目的位址回傳給使用者終端。
所述接收模組501,具體用於:接收使用者DNS轉發的來自使用者終端的DNS請求。
具體的,所述增強DNS設備中儲存有索引表;所述索引表中儲存DNS請求與目的位址的對應關係;所述索引表中的目的位址是可以修改的;所述解析模組502還用於:接收管控設備的更新消息,所述更新消息中攜帶所述管控設備設置的更新IP,所述更新消息用於將索引表中的目的位址修改為所述更新IP;在接收到來自使用者終端的DNS請求時,基於最新修改後的索引表執行功能變數名稱解析,並將解析出的最新修改後的目的位址回傳給使用者終端。
本發明實施例還公開了一種流量處理系統,應用於包括初級防禦設備和高級防禦設備的系統中,其中所述高級防禦設備的流量清洗能力高於所述初級防禦設備的清洗能力,如圖6所示,該系統包括:管控設備601,用於監控用於清洗使用者流量的初級防禦設備的負載是否大於第一閾值;當監控結果為是時, 將所述初級防禦設備處理的流量轉移至高級防禦設備進行清洗;控制清洗完成的流量轉移至業務處理設備進行處理;增強DNS設備602,用於接收來自使用者終端的DNS請求;基於自身儲存的包含DNS請求與目的位址的對應關係的索引表來解析所述DNS請求,並將解析得到的目的位址回傳給使用者。
與現有技術相比,本發明中的方案,首先使得使用者的流量透過初級防禦設備進行流量清洗,同時即時監控初級防禦設備的負載情況,並當初級防禦設備負載過高時,切換到高級防禦設備進行流量清洗,以此可以根據具體的情況來選擇不同的防禦設備進行流量清洗,降低了使用成本,同時,這一系列的操作是在使用者無感知的情況下進行的,不需要使用者進行額外的操作,以此透過動態調度防禦設備的方式,提高了使用者的體驗。
透過以上的實施方式的描述,本領域具有通常知識者可以清楚地瞭解到本發明可以透過硬體實現,也可以借助軟體加必要的通用硬體平臺的方式來實現。基於這樣的理解,本發明的技術方案可以以軟體產品的形式體現出來,該軟體產品可以儲存在一個非易失性儲存媒體(可以是CD-ROM,USB,行動硬碟等)中,包括若干指令用以使得一台電腦設備(可以是個人電腦,伺服器,或者網路設備等)執行本發明各個實施場景所述的方法。
本領域具有通常知識者可以理解圖式只是一個優選實 施場景的示意圖,圖式中的模組或流程並不一定是實施本發明所必須的。
本領域具有通常知識者可以理解實施場景中的裝置中的模組可以按照實施場景描述進行分佈於實施場景的裝置中,也可以進行相應變化位於不同於本實施場景的一個或多個裝置中。上述實施場景的模組可以合併為一個模組,也可以進一步拆分成多個子模組。
上述本發明序號僅僅為了描述,不代表實施場景的優劣。
以上公開的僅為本發明的幾個具體實施場景,但是,本發明並非局限於此,任何本領域具有通常知識者能思之的變化都應落入本發明的保護範圍。

Claims (13)

  1. 一種流量處理方法,其特徵在於,應用於包括初級防禦設備和高級防禦設備的系統中,其中該高級防禦設備的流量清洗能力高於該初級防禦設備的清洗能力,該方法包括:管控設備監控用於清洗使用者流量的初級防禦設備的負載是否大於第一閾值;若監控結果為是,該管控設備將該初級防禦設備處理的流量轉移至高級防禦設備進行清洗;該管控設備控制清洗完成的流量轉移至業務處理設備進行處理。
  2. 如申請專利範圍第1項所述的方法,其中,該管控設備將該初級防禦設備處理的流量轉移至高級防禦設備進行清洗,具體包括:該管控設備查找高級防禦設備;該管控設備為高級防禦設備分配第一高防IP,其中,該第一高防IP不同於該初級防禦設備的初防IP;該管控設備將增強DNS設備解析的目的位址修改為第一高防IP,以便該增強DNS設備基於修改後的目的位址將使用者的流量轉移至第一高防IP對應的高級防禦設備進行清洗。
  3. 如申請專利範圍第2項所述的方法,其中,該管控設備將增強DNS設備解析的目的位址修改為第一高防IP,以便該增強DNS設備基於修改後的目的位址將使用 者的流量轉移至高級防禦設備,之後還包括:該管控設備監控進行流量清洗的高級防禦設備的負載是否超過第二閾值;若監控結果為是,該管控設備創建第二高防IP,其中該第二高防IP不同於初級防禦設備的初防IP以及第一高防IP;該管控設備將增強DNS設備解析的目的位址修改為第二高防IP,以便該增強DNS設備基於修改後的目的位址將使用者的流量轉移至第二高防IP對應的高級防禦設備進行清洗。
  4. 一種流量處理方法,其特徵在於,包括增強DNS設備接收來自使用者終端的DNS請求;該增強DNS設備基於自身儲存的包含DNS請求與目的位址的對應關係的索引表來解析該DNS請求,並將解析得到的目的位址回傳給使用者終端。
  5. 如申請專利範圍第4項所述的方法,其中,該增強DNS設備接收來自使用者終端的DNS請求,具體包括:該增強DNS設備接收使用者DNS轉發的來自使用者終端的DNS請求。
  6. 如申請專利範圍第4項所述的方法,其中,該索引表中的目的位址是可以修改的;該方法進一步包括:該增強DNS設備接收管控設備的更新消息,該更新消息中攜帶該管控設備設置的更新IP,該更新消息用於將索引表中的目的位址修改為該更新IP; 該增強DNS設備在接收到來自使用者終端的DNS請求時,基於最新修改後的索引表執行功能變數名稱解析,並將解析出的最新修改後的目的位址回傳給使用者終端。
  7. 一種管控設備,其特徵在於,包括:監控模組,用於監控用於清洗使用者流量的初級防禦設備的負載是否大於第一閾值;轉移模組,用於當初級防禦設備的負載大於第一閾值時,將該初級防禦設備處理的流量轉移至高級防禦設備進行清洗;處理模組,用於控制清洗完成的流量轉移至業務處理設備進行處理。
  8. 如申請專利範圍第7項所述的設備,其中,該轉移模組,具體用於:查找高級防禦設備;為高級防禦設備分配第一高防IP,其中,該第一高防IP不同於該初級防禦設備的初防IP;將增強DNS設備解析的目的位址修改為第一高防IP,以便該增強DNS設備基於修改後的目的位址將使用者的流量轉移至第一高防IP對應的高級防禦設備進行清洗。
  9. 如申請專利範圍第8項所述的設備,其中,還包括:操作模組,用於監控進行流量清洗的高級防禦設備的負載是否超過第二閾值; 當監控結果為是時,創建第二高防IP,其中該第二高防IP不同於初級防禦設備的初防IP以及第一高防IP;將增強DNS設備解析的目的位址修改為第二高防IP,以便該增強DNS設備基於修改後的目的位址將使用者的流量轉移至第二高防IP對應的高級防禦設備進行清洗。
  10. 一種增強DNS設備,其特徵在於,包括:接收模組,用於接收來自使用者終端的DNS請求;解析模組,用於基於自身儲存的包含DNS請求與目的位址的對應關係的索引表來解析該DNS請求,並將解析得到的目的位址回傳給使用者終端。
  11. 如申請專利範圍第10項所述的設備,其中,該接收模組,具體用於:接收使用者DNS轉發的來自使用者終端的DNS請求。
  12. 如申請專利範圍第10項所述的設備,其中,該索引表中的目的位址是可以修改的;該解析模組還用於:接收管控設備的更新消息,該更新消息中攜帶該管控設備設置的更新IP,該更新消息用於將索引表中的目的位址修改為該更新IP;在接收到來自使用者終端的DNS請求時,基於最新修改後的索引表執行功能變數名稱解析,並將解析出的最新修改後的目的位址回傳給使用者終端。
  13. 一種流量處理系統,其特徵在於,應用於包括初 級防禦設備和高級防禦設備的系統中,其中該高級防禦設備的流量清洗能力高於該初級防禦設備的清洗能力,該系統包括:管控設備,用於監控用於清洗使用者流量的初級防禦設備的負載是否大於第一閾值;當監控結果為是時,將該初級防禦設備處理的流量轉移至高級防禦設備進行清洗;控制清洗完成的流量轉移至業務處理設備進行處理;增強DNS設備,用於接收來自使用者終端的DNS請求;基於自身儲存的包含DNS請求與目的位址的對應關係的索引表來解析該DNS請求,並將解析得到的目的位址回傳給使用者。
TW106101946A 2017-01-19 2017-01-19 流量處理方法、設備和系統 TW201828661A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW106101946A TW201828661A (zh) 2017-01-19 2017-01-19 流量處理方法、設備和系統

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW106101946A TW201828661A (zh) 2017-01-19 2017-01-19 流量處理方法、設備和系統

Publications (1)

Publication Number Publication Date
TW201828661A true TW201828661A (zh) 2018-08-01

Family

ID=63960262

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106101946A TW201828661A (zh) 2017-01-19 2017-01-19 流量處理方法、設備和系統

Country Status (1)

Country Link
TW (1) TW201828661A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257566A (zh) * 2020-09-11 2022-03-29 北京金山云网络技术有限公司 域名访问方法、装置和电子设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257566A (zh) * 2020-09-11 2022-03-29 北京金山云网络技术有限公司 域名访问方法、装置和电子设备

Similar Documents

Publication Publication Date Title
WO2017041656A1 (zh) 一种流量处理方法、设备和系统
US9634943B2 (en) Transparent provisioning of services over a network
Zou et al. Routing worm: A fast, selective attack worm based on ip address information
CN104468624B (zh) Sdn控制器、路由/交换设备及网络防御方法
Choi Implementation of content-oriented networking architecture (CONA): a focus on DDoS countermeasure
US10382397B2 (en) Mitigating neighbor discovery-based denial of service attacks
US20150058976A1 (en) Method and apparatus for mitigating distributed denial of service attacks
US20110154477A1 (en) Dynamic content-based routing
US20130198845A1 (en) Monitoring a wireless network for a distributed denial of service attack
CN109587167B (zh) 一种报文处理的方法和装置
US10516694B1 (en) Hierarchical mitigation of denial of service attacks on communication networks
US11671405B2 (en) Dynamic filter generation and distribution within computer networks
CN106254152B (zh) 一种流量控制策略处理方法和装置
CN107690004B (zh) 地址解析协议报文的处理方法及装置
US9270593B2 (en) Prediction based methods for fast routing of IP flows using communication/network processors
US20230367875A1 (en) Method for processing traffic in protection device, and protection device
TW201828661A (zh) 流量處理方法、設備和系統
CN102752266A (zh) 访问控制方法及其设备
Fujinoki Dynamic binary user-splits to protect cloud servers from ddos attacks
Sanjeetha et al. Mitigation of controller induced DDoS attack on primary server in high traffic scenarios of software defined networks
Aleesa et al. A proposed technique to detect DDoS attack on IPv6 web applications
US20160021062A1 (en) Attack Defense Processing Method and Protection Device
Zou et al. Advanced routing worm and its security challenges
Ge et al. Context-aware service chaining framework for over-the-top applications in 5G networks
Favaro et al. Reducing SDN/openflow control plane overhead with blackhole mechanism