TWI727059B - 處理網路流量的方法及裝置 - Google Patents

處理網路流量的方法及裝置 Download PDF

Info

Publication number
TWI727059B
TWI727059B TW106120791A TW106120791A TWI727059B TW I727059 B TWI727059 B TW I727059B TW 106120791 A TW106120791 A TW 106120791A TW 106120791 A TW106120791 A TW 106120791A TW I727059 B TWI727059 B TW I727059B
Authority
TW
Taiwan
Prior art keywords
traffic
public network
access address
network
access
Prior art date
Application number
TW106120791A
Other languages
English (en)
Other versions
TW201804765A (zh
Inventor
胡閩
喬會來
賈炯
陳逸
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201804765A publication Critical patent/TW201804765A/zh
Application granted granted Critical
Publication of TWI727059B publication Critical patent/TWI727059B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0829Packet loss
    • H04L43/0835One way packet loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/60Software-defined switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本發明公開了一種處理網路流量的方法及裝置。其中,該方法包括:確定網路流量發生丟棄;為網路流量分配第一公網訪問地址並生成與第一公網訪問地址對應的轉發路徑,其中,第一公網訪問地址用於接收網路流量,轉發路徑用於將第一公網訪問地址接收到的網路流量轉發至目標主機;通知訪問流量清洗設備向第一公網訪問地址發送網路流量,其中,網路流量按照轉發路徑轉發至目標主機。本發明解決了相關技術在使用專業DDoS雲端防護過程中由於攻擊者發現受保護的目標主機的公網地址進而繞過專業DDoS雲端防護直接對目標主機進行攻擊引起全部網路訪問流量被黑洞屏蔽,由此導致經過專業DDoS雲端防護系統淨化得到的正常回源訪問流量無法對目標主機進行正常訪問的技術問題。

Description

處理網路流量的方法及裝置
本發明係關於互聯網安全領域,具體而言,關於一種處理網路流量的方法及裝置。
分散式拒絕服務(Distributed Denial of Service,簡稱為DDoS)攻擊是指借助於客戶/伺服器技術,將多個電腦聯合起來作為攻擊平台,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。在通常情況下,攻擊者會將DDoS主控程式安裝在一個電腦上,然後在一個設定的時間內,主控程式將與大量代理程式進行通訊,其中,代理程式已經被安裝在網際網路(Internet)內的多台電腦上。代理程式一旦從主控程式接收到指令便可立即發動攻擊。透過利用客戶/伺服器技術,主控程式能夠在幾秒鐘內啟動成百上千次代理程式的運行。
黑洞路由(即一條特殊的靜態路由)是指將所有無關路由吸入其中,使它們有來無回的路由,在通常情況下,是指管理員(admin)主動建立的路由條目。管理員可以將接收到的特定源地址轉向nu110介面(即一個原本不存在的介面),這樣操作的結果在於出於安全因素考慮,將匹 配這條路由的資料包全部丟棄而不指明原因,進而透過充分利用路由器的封包轉發能力,可以使得對系統負載影響非常小。
惡意流量清洗系統(例如:DDoS雲端防護系統)包括流量檢測設備,流量清洗設備和監控管理設備三個部分。流量檢測設備負責檢測網路流量中隱藏的非法攻擊流量,以及在發現攻擊後及時通知並啟動防護設備進行流量的清洗;流量清洗設備負責透過專業的流量淨化產品,將可疑流量從原始網路路徑中重定向到淨化產品上進行惡意流量的識別和剝離,進而將還原出的合法流量回注到原網路中轉發給目標系統,至於其它合法流量的轉發路徑則不受影響;監控管理系統負責對流量清洗系統的設備進行集中管理配置、展現即時流量、警報事件、狀態資訊監控、及時輸出流量分析報告和攻擊防護報告等報表。
雲計算(cloud computing)是基於互聯網的相關服務的增加、使用和交付模式,通常涉及透過互聯網來提供動態易擴展且經常是虛擬化的資源。
軟體定義網路(Software Defined Network,簡稱為SDN),是一種新型網路創新架構,其為網路虛擬化的一種實現方式,SDN的核心思想在於透過將網路設備控制面與資料面分離開來,從而便於實現軟體自訂路由功能。當前雲計算服務商提供的虛擬私有雲(Virtual Private Cloud,簡稱為VPC)網路是SDN思想的一種具體實現方式。在VPC網路中,可以透過虛擬可擴展局域網(Virtual Extensible Local Area Network,簡稱為VXLAN)隧道技術來實現轉發路由的自訂。
當前伴隨著雲計算業務的蓬勃發展,大量用戶已經將業務遷移到公有雲上來進行。但是,當前針對雲用戶的DDoS攻擊不斷增長,因為受制於機房頻寬影響,當攻擊流量超過頻寬可承受範圍時,為了不影響同一機房的其他業務,業務方通常會採用黑洞路由的方式來屏蔽被攻擊互聯網協議(Internal Protocol,簡稱為IP)的訪問,從而導致用戶業務無法訪問。對此,相關技術中提出了如下解決方案: 圖1是根據相關技術的透過單獨建立專業DDoS雲端防護系統來防禦流量型DDoS攻擊的示意圖。如圖1所示,目前,受保護主機可以將自身的網域名稱系統(Domain Name System,簡稱為DNS)解析到專業DDoS雲端防護系統提供的虛擬IP上,這樣,透過第(1)步,用戶訪問流量和攻擊流量可以透過DNS解析到虛擬IP;再透過第(2)步,流量將先經過專業DDoS雲端防護系統,並在DDoS雲端防護系統進行流量清洗後再將正常訪問流量回源到公有雲的主機;然後透過第(3)步,路由器將訪問流量轉發至受保護主機。
然而,上述解決方案會存在如圖2所示的缺陷,圖2是根據相關技術的攻擊者繞過專業雲端DDoS防護直接攻擊受保護主機而導致的受保護主機所承載的業務無法被正常訪問的示意圖。如圖2所示,往往因為各種原因(例如: DNS歷史解析記錄、客戶無意洩露、被掃描等),導致受保護主機的源站IP(即在將正常訪問流量回源時所請求到的IP)被暴露給攻擊者,這樣,透過第(1)步,會導致攻擊者在進行DDoS攻擊時輕易地繞過專業DDoS雲端防護系統,進而直接將DDoS攻擊流量發送至受保護主機,由此導致在第(2)步和第(3)步中,受保護主機所在機房無法承受流量型DDoS攻擊而對受保護主機進行黑洞屏蔽,這樣當正常訪問流量從專業DDoS雲端防護系統回源到受保護主機時被丟棄,從而導致第(4)步,攻擊者在進行DDoS攻擊時正常用戶無法訪問受保護主機。
針對上述的問題,目前尚未提出有效的解決方案。
本發明實施例提供了一種處理網路流量的方法及裝置,以至少解決相關技術在使用專業DDoS雲端防護過程中由於攻擊者發現受保護的目標主機的公網地址進而繞過專業DDoS雲端防護直接對目標主機進行攻擊引起全部網路訪問流量被黑洞屏蔽,由此導致經過專業DDoS雲端防護系統淨化得到的正常回源訪問流量無法對目標主機進行正常訪問的技術問題。
根據本發明實施例的一個態樣,提供了一種處理網路流量的系統,包括:軟體定義網路(SDN),用於在確定從訪問流量清洗設備發送至目標主機的網路流量發生丟棄的情況下,為網 路流量分配第一公網訪問地址並生成與第一公網訪問地址對應的轉發路徑,通知訪問流量清洗設備向第一公網訪問地址發送網路流量,以及向訪問流量清洗設備發送第一通知訊息,其中,網路流量按照轉發路徑轉發至目標主機,第一通知訊息用於通知訪問流量清洗設備將網路流量的訪問地址由第二公網訪問地址替換為第一公網訪問地址;控制設備,用於向SDN發送第二通知訊息,其中,第二通知訊息用於表示在控制設備判斷出發送至第二公網訪問地址的訪問流量超出預設閾值的情況下,控制路由轉發設備將發送至第二公網訪問地址的訪問流量進行丟棄;路由轉發設備,用於接收來自於SDN的轉發路徑,並按照轉發路徑將網路流量發送至目標主機。
根據本發明實施例的另一態樣,還提供了一種處理網路流量的方法,該方法應用於訪問流量清洗設備向目標主機發送網路流量,其中,訪問流量清洗設備用於從接收到的訪問流量中濾除異常流量,得到網路流量,該方法包括:SDN確定網路流量發生丟棄;SDN為網路流量分配第一公網訪問地址並生成與第一公網訪問地址對應的轉發路徑,其中,第一公網訪問地址用於接收網路流量,轉發路徑用於將第一公網訪問地址接收到的網路流量轉發至目標主機;SDN通知訪問流量清洗設備向第一公網訪問地址發送網路流量,其中,網路流量按照轉發路徑轉發至目標主機。
可選地,SDN確定網路流量發生丟棄包括:SDN接收 來自於控制設備的第一通知訊息,其中,第一通知訊息用於表示在控制設備判斷出發送至第二公網訪問地址的訪問流量超出預設閾值的情況下,控制路由轉發設備將發送至第二公網訪問地址的訪問流量進行丟棄;SDN根據第一通知訊息確定網路流量發生丟棄。
可選地,SDN為網路流量分配第一公網訪問地址並根據第一公網訪問地址生成轉發路徑包括:SDN利用自身的控制平面為網路流量分配第一公網訪問地址並通知給自身的資料轉發平面;SDN利用資料轉發平面在第一公網訪問地址與目標主機的私網地址之間生成轉發路徑。
可選地,SDN通知訪問流量清洗設備向第一公網訪問地址發送網路流量包括:SDN向訪問流量清洗設備發送第二通知訊息,其中,第二通知訊息用於通知訪問流量清洗設備將網路流量的訪問地址由第二公網訪問地址替換為第一公網訪問地址。
可選地,在SDN通知訪問流量清洗設備向第一公網訪問地址發送網路流量之後,還包括:SDN利用資料轉發平面將轉發路徑下發至路由轉發設備;SDN指示路由轉發設備按照轉發路徑將網路流量發送至目標主機。
根據本發明實施例的再一態樣,還提供了另一種處理網路流量的方法,該方法應用於訪問流量清洗設備向目標主機發送網路流量,其中,訪問流量清洗設備用於從接收到的訪問流量中濾除異常流量,得到網路流量,該方法包括:確定網路流量發生丟棄;為網路流量分配第一公網訪 問地址並生成與第一公網訪問地址對應的轉發路徑,其中,第一公網訪問地址用於接收網路流量,轉發路徑用於將第一公網訪問地址接收到的網路流量轉發至目標主機;通知訪問流量清洗設備向第一公網訪問地址發送網路流量,其中,網路流量按照轉發路徑轉發至目標主機。
根據本發明實施例的再一態樣,還提供了另一種處理網路流量的方法,該方法應用於訪問流量清洗設備向目標主機發送網路流量,其中,訪問流量清洗設備用於從接收到的訪問流量中濾除異常流量,得到網路流量,該方法包括:訪問流量清洗設備接收軟體定義網路SDN下發的第一公網訪問地址,其中,第一公網訪問地址用於接收網路流量;訪問流量清洗設備按照第一公網訪問地址發送網路流量。
可選地,在訪問流量清洗設備接收SDN下發的第一公網訪問地址之前,還包括:訪問流量清洗設備獲取控制設備分配的第二公網訪問地址;訪問流量清洗設備按照第二公網訪問地址發送網路流量。
可選地,在訪問流量清洗設備接收SDN下發的第一公網訪問地址之後,還包括:訪問流量清洗設備將網路流量的目的地址由第二公網訪問地址替換為第一公網訪問地址。
根據本發明實施例的再一態樣,還提供了一種處理網路流量的裝置,該裝置應用於SDN,該裝置包括:確定模組,用於確定網路流量發生丟棄;處理模組,用於為網路 流量分配第一公網訪問地址並生成與第一公網訪問地址對應的轉發路徑,其中,第一公網訪問地址用於接收網路流量,轉發路徑用於將第一公網訪問地址接收到的網路流量轉發至目標主機;通知模組,用於通知訪問流量清洗設備向第一公網訪問地址發送網路流量,其中,網路流量按照轉發路徑轉發至目標主機。
可選地,確定模組包括:接收單元,用於接收來自於控制設備的第一通知訊息,其中,第一通知訊息用於表示在控制設備判斷出發送至第二公網訪問地址的訪問流量超出預設閾值的情況下,控制路由轉發設備將發送至第二公網訪問地址的訪問流量進行丟棄;確定單元,用於根據第一通知訊息確定網路流量發生丟棄。
可選地,處理模組包括:第一處理單元,用於利用自身的控制平面為網路流量分配第一公網訪問地址並通知給自身的資料轉發平面;第二處理單元,用於利用資料轉發平面在第一公網訪問地址與目標主機的私網地址之間生成轉發路徑。
可選地,通知模組,用於向訪問流量清洗設備發送第二通知訊息,其中,第二通知訊息用於通知訪問流量清洗設備將網路流量的訪問地址由第二公網訪問地址替換為第一公網訪問地址。
可選地,上述裝置還包括:下發模組,用於利用資料轉發平面將轉發路徑下發至路由轉發設備;指示模組,用於指示路由轉發設備按照轉發路徑將網路流量發送至目標 主機。
根據本發明實施例的再一態樣,還提供了另一種處理網路流量的裝置,該裝置應用於訪問流量清洗設備,該裝置包括:接收模組,用於接收軟體定義網路SDN下發的第一公網訪問地址,其中,第一公網訪問地址用於接收網路流量;處理模組,用於按照第一公網訪問地址發送網路流量。
可選地,上述裝置還包括:獲取模組,用於獲取控制設備分配的第二公網訪問地址;發送模組,用於訪問流量清洗設備按照第二公網訪問地址發送網路流量。
可選地,上述裝置還包括:替換模組,用於將網路流量的目的地址由第二公網訪問地址替換為第一公網訪問地址。
在本發明實施例中,採用在SDN確定從訪問流量清洗設備發送至目標主機的網路流量發生丟棄(例如:經由黑洞路由進行轉發)的情況下,為網路流量分配第一公網訪問地址並生成與第一公網訪問地址對應的轉發路徑的方式,透過通知訪問流量清洗設備向第一公網訪問地址發送網路流量,以達到網路流量按照轉發路徑轉發至目標主機的目的,從而實現了由訪問流量清洗設備發送的網路流量不會因攻擊者發現受保護的目標主機的公網地址進而繞過專業DDoS雲端防護直接對目標主機進行攻擊而被黑洞屏蔽,由此能夠對目標主機進行正常的業務訪問的技術效果,進而解決了相關技術在使用專業DDoS雲端防護過程 中由於攻擊者發現受保護的目標主機的公網地址進而繞過專業DDoS雲端防護直接對目標主機進行攻擊引起全部網路訪問流量被黑洞屏蔽,由此導致經過專業DDoS雲端防護系統淨化得到的正常回源訪問流量無法對目標主機進行正常訪問的技術問題。
10‧‧‧確定模組
20‧‧‧處理模組
30‧‧‧通知模組
100‧‧‧接收單元
102‧‧‧確定單元
200‧‧‧第一處理單元
202‧‧‧第二處理單元
40‧‧‧下發模組
50‧‧‧指示模組
80‧‧‧接收模組
82‧‧‧處理模組
84‧‧‧獲取模組
86‧‧‧發送模組
88‧‧‧替換模組
300‧‧‧軟體定義網路(SDN)
302‧‧‧控制設備
304‧‧‧路由轉發設備
此處所說明的附圖用來提供對本發明的進一步理解,構成本申請的一部分,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在附圖中:圖1是根據相關技術的透過單獨建立專業DDoS雲端防護系統來防禦流量型DDoS攻擊的示意圖;圖2是根據相關技術的攻擊者繞過專業雲端DDoS防護直接攻擊受保護主機而導致的受保護主機所承載的業務無法被正常訪問的示意圖;圖3a是根據本發明實施例的處理網路流量的系統的結構示意圖;圖3b是根據本發明實施例的處理網路流量的系統的資訊交互示意圖;圖4是根據本發明實施例的一種處理網路流量的方法的流程圖;圖5是根據本發明實施例的另一種處理網路流量的方法的流程圖; 圖6是根據本發明實施例的一種處理網路流量的裝置的結構框圖;圖7是根據本發明較佳實施例的一種處理網路流量的裝置的結構框圖;圖8是根據本發明實施例的另一種處理網路流量的裝置的結構框圖;圖9是根據本發明較佳實施例的另一種處理網路流量的裝置的結構框圖。
為了使本技術領域的人員更好地理解本發明方案,下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分的實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本發明保護的範圍。
需要說明的是,本發明的說明書和申請專利範圍及上述附圖中的術語“第一”、“第二”等是用於區別類似的對象,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本發明的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一 系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
實施例1
根據本發明實施例,還提供了一種處理網路流量的系統的實施例。圖3a是根據本發明實施例的處理網路流量的系統的結構示意圖。圖3b是根據本發明實施例的處理網路流量的系統的資訊交互示意圖。如圖3a和3b所示,該系統可以包括:SDN 300,用於在確定從訪問流量清洗設備發送至目標主機的網路流量(例如:經過清洗的回源流量)發生丟棄的情況下,為網路流量分配第一公網訪問地址並生成與第一公網訪問地址對應的轉發路徑,通知訪問流量清洗設備向第一公網訪問地址發送網路流量,以及向訪問流量清洗設備發送第二通知訊息,其中,網路流量按照轉發路徑轉發至目標主機,第二通知訊息用於通知訪問流量清洗設備將網路流量的訪問地址由第二公網訪問地址替換為第一公網訪問地址;控制設備302,用於向SDN發送第一通知訊息,其中,第一通知訊息用於表示在控制設備判斷出發送至第二公網訪問地址的訪問流量超出預設閾值的情況下,控制路由轉發設備將發送至第二公網訪問地址的訪問流量進行丟棄;路由轉發設備304,用於接收來自於SDN的轉發路徑,並按照轉發路徑將網路流量轉發至目標 主機。
具體地,訪問流量的處理過程可以包括以下步驟:第(1)-(3)步,在使用訪問流量清洗設備過程中,惡意攻擊者如果能夠發現受保護的目標主機所暴露的公網地址,那麼便可以直接對受保護的目標主機的公網地址發送DDoS攻擊。受保護的目標主機的公網地址在遭受大流量惡意攻擊後,該公網地址便會遭受黑洞封禁,繼而從訪問流量清洗設備發送至受保護的目標主機的正常訪問回源流量也會同惡意攻擊者發送的惡意攻擊流量一併經由黑洞路由進行轉發而遭受丟棄,由此造成對目標主機的正常業務訪問受到影響。
第(4)步,在受保護的目標主機所在局域網內未加入SDN之前,透過網路地址轉譯功能將公網訪問地址轉換預先為受保護的目標主機分配的私網地址的操作是由控制設備透過向路由轉發設備下發控制命令來完成的,即,控制設備向路由轉發設備下發公網訪問地址以及確定網路訪問流量在到達公網訪問地址後,便透過公網訪問地址與受保護的目標主機的私網地址之間的一一映射關係,生成轉發路徑,進而將發送至該公網訪問地址的網路訪問流量轉發至受保護的目標主機。然而,在受保護的目標主機所在局域網內加入SDN之後,透過網路地址轉譯功能將公網訪問地址轉換預先為受保護的目標主機分配的私網地址的操作將不再由控制設備透過向路由轉發設備下發控制命令來完成。此時,控制設備主要負責對發送至該控制設備向路 由轉發設備下發的轉發路徑中的公網訪問地址的網路訪問流量進行流量監控,如果發送至公網訪問地址的網路訪問流量大於預設閾值,那麼控制設備將會對公網訪問地址執行黑洞封禁,以控制路由轉發設備將發送至公網訪問地址的網路訪問流量經由黑洞路由進行轉發。
第(5)步,控制設備還會向SDN發送通知訊息,用於表示控制設備已經對公網訪問地址執行黑洞封禁,至此,透過網路地址轉譯功能將公網訪問地址轉換預先為受保護的目標主機分配的私網地址的操作將不再由控制設備透過向路由轉發設備下發控制命令來完成,而轉由SDN來完成。
第(6)步,在確定發生上述公網地址遭受黑洞封禁事件的情況下,SDN為了能夠確保從訪問流量清洗設備發送至受保護的目標主機的正常訪問回源流量不會同惡意攻擊者發送的惡意攻擊流量一併遭受丟棄,而是正常轉發至目標主機,於是SDN便會為回源流量單獨分配一個公網訪問地址,由此,從訪問流量清洗設備發送至受保護的目標主機的正常訪問回源流量不會再與惡意攻擊者發送的惡意攻擊流量發送至同一個已經遭受黑洞封禁的公網地址,而是另外發送至新分配的公網訪問地址。
SDN為回源流量單獨分配一個公網訪問地址的過程如下:可以先利用SDN的控制平面為回源流量分配與上述由控制設備下發的公網訪問地址不同的公網訪問地址,並將新分配的公網訪問地址通知給SDN的資料轉發平面;然後 再利用SDN的資料轉發平面使用新分配的公網訪問地址進行轉發策略變更,將原先的從原先的公網訪問地址至受保護的目標主機之間的轉發路徑變更為從新分配的公網訪問地址至受保護的目標主機之問的轉發路徑,即訪問新分配的公網訪問地址的回源流量將會被轉發到受保護的目標主機上。
在利用SDN的資料轉發平面使用第一公網訪問地址進行轉發策略變更,將原先的從公網訪問地址至受保護的目標主機之間的轉發路徑變更為從新分配的公網訪問地址至受保護的目標主機之間的轉發路徑之後,SDN可以利用資料轉發平面將轉發路徑下發至路由轉發設備。此時,在路由轉發設備上除了存在從原先的公網訪問地址至受保護的目標主機之間的轉發路徑之外,還存在從新分配的公網訪問地址至受保護的目標主機之間的轉發路徑。
第(7)步,最終,在上述控制設備與SDN的共同控制下,路由轉發設備在接收到訪問原先的公網訪問地址的網路訪問流量後,直接透過黑洞路由進行丟棄;在接收到訪問新分配的公網訪問地址的回源流量後,將回源流量轉發至受保護的目標主機。
第(8)步,SDN還需要向訪問流量清洗設備發送通知訊息,以通知訪問流量清洗設備將回源流量的訪問地址由原先的公網訪問地址替換為新分配的公網訪問地址。在訪問流量清洗設備未接收到SDN發送的通知訊息之前,從訪問流量清洗設備發送至受保護的目標主機的正常訪問回 源流量由於同惡意攻擊者發送的惡意攻擊流量均發送至遭受黑洞封禁的原先的公網地址,故而經由黑洞路由進行轉發而遭受丟棄。而在訪問流量清洗設備接收到SDN發送的通知訊息後,訪問流量清洗設備會將回源流量的訪問地址由原先的公網訪問地址替換為新分配的公網訪問地址,進而將回源流量發送至新分配的公網訪問地址並經由從新分配的公網訪問地址至受保護的目標主機之間的轉發路徑轉發到受保護的目標主機上,從而有效地保障了在經過訪問流量清洗設備清洗後的正常訪問回源流量路徑暢通,使受保護的目標主機上的業務可以被正常訪問。
在上述運行環境下,本申請提供了如圖4所示的處理網路流量的方法。該方法應用於訪問流量清洗設備向目標主機發送網路流量,其中,訪問流量清洗設備用於從接收到的訪問流量中濾除異常流量,得到網路流量,圖4是根據本發明實施例的一種處理網路流量的方法的流程圖。如圖4所示,該方法可以包括以下處理步驟:步驟S42:確定網路流量發生丟棄;步驟S44:為網路流量分配第一公網訪問地址並生成與第一公網訪問地址對應的轉發路徑,其中,第一公網訪問地址用於接收網路流量,轉發路徑用於將第一公網訪問地址接收到的網路流量轉發至目標主機;步驟S46:通知訪問流量清洗設備向第一公網訪問地址發送網路流量,其中,網路流量按照轉發路徑轉發至目標主機。
在較佳實施過程中,上述方法可以應用於但不限於SDN中,為此,上述步驟S42-步驟S46可以進一步包括:步驟S42:SDN確定網路流量發生丟棄;步驟S44:SDN為網路流量分配第一公網訪問地址並生成與第一公網訪問地址對應的轉發路徑,其中,第一公網訪問地址用於接收網路流量,轉發路徑用於將第一公網訪問地址接收到的網路流量轉發至目標主機;在使用訪問流量清洗設備(例如:安裝專業DDoS雲端防護系統的設備)過程中,惡意攻擊者如果能夠發現受保護的目標主機所暴露的公網地址,那麼便可以直接對受保護的目標主機的公網地址發送惡意攻擊(例如:進行DDoS攻擊)。受保護的目標主機的公網地址在遭受大流量惡意攻擊後,該公網地址便會遭受黑洞封禁,即,從專業DDoS雲端防護系統發送至受保護的目標主機的正常訪問回源流量也會同惡意攻擊者發送的惡意攻擊流量一併經由黑洞路由進行轉發而遭受丟棄,由此造成對目標主機的正常業務訪問受到影響。在確定發生上述公網地址遭受黑洞封禁事件的情況下,SDN為了能夠確保從專業DDoS雲端防護系統發送至受保護的目標主機的正常訪問回源流量不會同惡意攻擊者發送的惡意攻擊流量一併遭受丟棄,而是正常轉發至目標主機,於是SDN便會為回源流量單獨分配一個公網訪問地址(即上述第一公網訪問地址),由此,從專業DDoS雲端防護系統發送至受保護的目標主機的正常訪問回源流量不會再與惡意攻擊者發送的惡意攻擊 流量發送至同一個已經遭受黑洞封禁的公網地址,而是另外發送至第一公網訪問地址,然後再透過SDN新生成的與第一公網訪問地址對應的轉發路徑將正常訪問回源流量轉發至目標主機從而實現對目標主機上業務的訪問。
步驟S46:SDN通知訪問流量清洗設備向第一公網訪問地址發送網路流量,其中,網路流量按照轉發路徑轉發至目標主機。
基於上述分析,從專業DDoS雲端防護系統發送至受保護的目標主機的正常訪問回源流量由於同惡意攻擊者發送的惡意攻擊流量均發送至遭受黑洞封禁的公網地址,故而經由黑洞路由進行轉發而遭受丟棄。為此將正常訪問回源流量轉發至目標主機從而實現對目標主機上業務的訪問,SDN需要將為回源流量單獨分配的第一公網訪問地址通知給訪問流量清洗設備,以使訪問流量清洗設備向第一公網訪問地址發送回源流量,該回源流量再經由轉發路徑轉發至目標主機。
可選地,在步驟S42中,SDN確定網路流量發生丟棄可以包括以下執行步驟:步驟S421:SDN接收來自於控制設備的第一通知訊息,其中,第一通知訊息用於表示在控制設備判斷出發送至第二公網訪問地址的訪問流量超出預設閾值的情況下,控制路由轉發設備將發送至第二公網訪問地址的訪問流量進行丟棄;步驟S422:SDN根據第一通知訊息確定網路流量發生 丟棄。
在受保護的目標主機本地所在的局域網內的各個主機均使用同一個公網訪問地址,並採用該公網訪問地址作為互聯網訪問的身份標識。而在上述局域網內,為了能夠將受保護的目標主機與其他位於該局域網內的多個主機相區分,則又會為受保護的目標主機再分配一個私網地址。然而,由於為受保護的目標主機分配的私網地址並不能進行互聯網訪問,因此,從上述局域網外部主機發送的正常訪問流量或惡意訪問流量都僅能發送至上述公網訪問地址,然後再透過網路地址轉譯功能將公網訪問地址轉換預先為受保護的目標主機分配的私網地址。
上述透過網路地址轉譯功能將公網訪問地址轉換預先為受保護的目標主機分配的私網地址的操作,在受保護的目標主機所在局域網內未加入SDN之前,是由控制設備透過向路由轉發設備下發控制命令來完成的,即,控制設備向路由轉發設備下發第二公網訪問地址以及確定網路訪問流量在到達第二公網訪問地址後,便透過第二公網訪問地址與受保護的目標主機的私網地址之間的一一映射關係,生成轉發路徑,進而將發送至第二公網訪問地址的網路訪問流量轉發至受保護的目標主機。
在該較佳實施例中,透過網路地址轉譯功能將公網訪問地址轉換預先為受保護的目標主機分配的私網地址的操作,在受保護的目標主機所在局域網內加入SDN之後,將不再是由控制設備透過向路由轉發設備下發控制命令來完 成的。此時,控制設備主要負責對發送至第二公網訪問地址的網路訪問流量進行流量監控,如果發送至第二公網訪問地址的網路訪問流量大於預設閾值,那麼控制設備將會對第二公網訪問地址執行黑洞封禁,以控制路由轉發設備將發送至第二公網訪問地址的網路訪問流量經由黑洞路由進行轉發。另外,控制設備還會向SDN發送通知訊息,用於表示控制設備已經對第二公網訪問地址執行黑洞封禁,至此,透過網路地址轉譯功能將公網訪問地址轉換預先為受保護的目標主機分配的私網地址的操作將不再由控制設備透過向路由轉發設備下發控制命令來完成,而轉由SDN來完成。
可選地,在步驟S44中,SDN為網路流量分配第一公網訪問地址並根據第一公網訪問地址生成轉發路徑可以包括以下執行步驟:步驟S440:SDN利用自身的控制平面為網路流量分配第一公網訪問地址並通知給自身的資料轉發平面;步驟S442:SDN利用資料轉發平面在第一公網訪問地址與目標主機的私網地址之間生成轉發路徑。
在SDN架構中,控制平面是邏輯集中的,其可以透過特定協定將控制資訊下發至底層的資料轉發平面去執行。在該較佳實施例中,可以先利用SDN的控制平面為回源流量分配與上述第二公網訪問地址不同的第一公網訪問地址,並將第一公網訪問地址通知給SDN的資料轉發平面;然後再利用SDN的資料轉發平面使用第一公網訪問地址進 行轉發策略變更,將原先的從第二公網訪問地址至受保護的目標主機之間的轉發路徑變更為從第一公網訪問地址至受保護的目標主機之間的轉發路徑,即訪問第一公網訪問地址的回源流量將會被轉發到受保護的目標主機上。
可選地,在步驟S46,SDN通知訪問流量清洗設備向第一公網訪問地址發送網路流量之後,還可以包括以下執行步驟:步驟S47:SDN利用資料轉發平面將轉發路徑下發至路由轉發設備;步驟S48:SDN指示路由轉發設備按照轉發路徑將網路流量發送至目標主機。
在利用SDN的資料轉發平面使用第一公網訪問地址進行轉發策略變更,將原先的從第二公網訪問地址至受保護的目標主機之間的轉發路徑變更為從第一公網訪問地址至受保護的目標主機之間的轉發路徑之後,SDN可以利用資料轉發平面將轉發路徑下發至路由轉發設備。此時,在路由轉發設備上除了存在從第二公網訪問地址至受保護的目標主機之間的轉發路徑之外,還存在從第一公網訪問地址至受保護的目標主機之間的轉發路徑。最終,在上述控制設備與SDN的共同控制下,路由轉發設備在接收到訪問第二公網訪問地址的網路訪問流量後,直接透過黑洞路由進行丟棄;在接收到訪問第一公網訪問地址的回源流量後,將回源流量轉發至受保護的目標主機。
在較佳實施過程中,上述步驟S46,SDN通知訪問流 量清洗設備向第一公網訪問地址發送網路流量可以進一步包括:步驟S460:SDN向訪問流量清洗設備發送第二通知訊息,其中,第二通知訊息用於通知訪問流量清洗設備將網路流量的訪問地址由第二公網訪問地址替換為第一公網訪問地址。
在訪問流量清洗設備未接收到SDN發送的第二通知訊息之前,從訪問流量清洗設備發送至受保護的目標主機的正常訪問回源流量由於同惡意攻擊者發送的惡意攻擊流量均發送至遭受黑洞封禁的第二公網地址,故而經由黑洞路由進行轉發而遭受丟棄。而在訪問流量清洗設備接收到SDN發送的第二通知訊息後,訪問流量清洗設備會將回源流量的訪問地址由第二公網訪問地址替換為第一公網訪問地址,進而將回源流量發送至第一公網訪問地址並經由從第一公網訪問地址至受保護的目標主機之間的轉發路徑轉發到受保護的目標主機上。
在上述運行環境下,本申請還提供了如圖5所示的處理網路流量的方法。該方法可以應用於但不限於訪問流量清洗設備中,圖5是根據本發明實施例的另一種處理網路流量的方法的流程圖。如圖5所示,該方法可以包括以下處理步驟:步驟S52:訪問流量清洗設備接收軟體定義網路SDN下發的第一公網訪問地址,其中,第一公網訪問地址用於接收網路流量; 步驟S54:訪問流量清洗設備按照第一公網訪問地址發送網路流量。
在受保護的目標主機本地所在的局域網內的各個主機均使用同一個公網訪問地址,並採用該公網訪問地址作為互聯網訪問的身份標識。而在上述局域網內,為了能夠將受保護的目標主機與其他位於該局域網內的多個主機相區分,則又會為受保護的目標主機再分配一個私網地址。然而,由於為受保護的目標主機分配的私網地址並不能進行互聯網訪問,因此,從上述局域網外部主機發送的正常訪問流量或惡意訪問流量都僅能發送至上述公網訪問地址,然後再透過網路地址轉譯功能將公網訪問地址轉換預先為受保護的目標主機分配的私網地址。
在該較佳實施例中,在受保護的目標主機所在局域網內加入SDN之後,控制設備主要負責對發送至現有的公網訪問地址的網路訪問流量進行流量監控,如果發送至該公網訪問地址的網路訪問流量大於預設閾值,那麼控制設備將會對該公網訪問地址執行黑洞封禁,以控制路由轉發設備將發送至該公網訪問地址的網路訪問流量經由黑洞路由進行轉發。另外,控制設備還會向SDN發送通知訊息,用於表示控制設備已經對現有的公網訪問地址執行黑洞封禁,至此,透過網路地址轉譯功能將公網訪問地址轉換預先為受保護的目標主機分配的私網地址的操作將不再由控制設備透過向路由轉發設備下發控制命令來完成,而轉由SDN來完成。
SDN可以先利用其控制平面為回源流量分配與現有的公網訪問地址不同的第一公網訪問地址,並將第一公網訪問地址通知給SDN的資料轉發平面;然後再利用其資料轉發平面使用第一公網訪問地址進行轉發策略變更,將從現有的公網訪問地址至受保護的目標主機之間的轉發路徑變更為從第一公網訪問地址至受保護的目標主機之間的轉發路徑,即訪問第一公網訪問地址的回源流量將會被轉發到受保護的目標主機上。
在利用SDN的資料轉發平面使用第一公網訪問地址進行轉發策略變更,將原先的從第二公網訪問地址至受保護的目標主機之間的轉發路徑變更為從第一公網訪問地址至受保護的目標主機之間的轉發路徑之後,SDN可以利用資料轉發平面將轉發路徑下發至路由轉發設備。此時,在路由轉發設備上除了存在從第二公網訪問地址至受保護的目標主機之間的轉發路徑之外,還存在從第一公網訪問地址至受保護的目標主機之間的轉發路徑。最終,在上述控制設備與SDN的共同控制下,路由轉發設備在接收到訪問第二公網訪問地址的網路訪問流量後,直接透過黑洞路由進行丟棄;在接收到訪問第一公網訪問地址的回源流量後,將回源流量轉發至受保護的目標主機。
可選地,在步驟S52,訪問流量清洗設備接收SDN下發的第一公網訪問地址之前,還可以包括以下執行步驟:步驟S50:訪問流量清洗設備獲取控制設備分配的第二公網訪問地址; 步驟S51:訪問流量清洗設備按照第二公網訪問地址發送網路流量。
在受保護的目標主機所在局域網內未加入SDN之前,上述透過網路地址轉譯功能將公網訪問地址轉換預先為受保護的目標主機分配的私網地址的操作,是由控制設備透過向路由轉發設備下發控制命令來完成的,即,控制設備向路由轉發設備下發第二公網訪問地址以及確定網路訪問流量在到達第二公網訪問地址後,便透過第二公網訪問地址與受保護的目標主機的私網地址之間的一一映射關係,生成轉發路徑,進而將發送至第二公網訪問地址的網路訪問流量轉發至受保護的目標主機。此外,控制設備還負責對發送至第二公網訪問地址的網路訪問流量進行流量監控,如果發送至第二公網訪問地址的網路訪問流量大於預設閾值,那麼控制設備將會對第二公網訪問地址執行黑洞封禁,以控制路由轉發設備將發送至第二公網訪問地址的網路訪問流量經由黑洞路由進行轉發。
可選地,在步驟S52,訪問流量清洗設備接收SDN下發的第一公網訪問地址之後,還可以包括以下執行步驟:步驟S53:訪問流量清洗設備將網路流量的目的地址由第二公網訪問地址替換為第一公網訪問地址。
需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本發明並不受所描述的動作順序的限制,因為依據本發明,某些步驟可以採用其他順序或者同 時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬於較佳實施例,所涉及的動作和模組並不一定是本發明所必須的。
透過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的處理回源流量的方法可借助軟體加必需的通用硬體平台的方式來實現,當然也可以透過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,電腦,伺服器,或者網路設備等)執行本發明各個實施例所述的方法。
實施例2
根據本發明實施例,還提供了一種用於實施上述處理網路流量的方法的裝置實施例。圖6是根據本發明實施例的一種處理網路流量的裝置的結構框圖。如圖6所示,該裝置應用於SDN,該裝置可以包括:確定模組10,用於確定網路流量發生丟棄;處理模組20,用於為網路流量分配第一公網訪問地址並生成與第一公網訪問地址對應的轉發路徑,其中,第一公網訪問地址用於接收網路流量,轉發路徑用於將第一公網訪問地址接收到的網路流量轉發至目標主機;通知模組30,用於通知訪問流量清洗設備向第一 公網訪問地址發送網路流量,其中,網路流量按照轉發路徑轉發至目標主機。
可選地,圖7是根據本發明較佳實施例的一種處理網路流量的裝置的結構框圖。如圖7所示,確定模組10可以包括:接收單元100,用於接收來自於控制設備的第一通知訊息,其中,第一通知訊息用於表示在控制設備判斷出發送至第二公網訪問地址的訪問流量超出預設閾值的情況下,控制路由轉發設備將發送至第二公網訪問地址的訪問流量進行丟棄;確定單元102,用於根據第一通知訊息確定網路流量發生丟棄。
可選地,如圖7所示,處理模組20可以包括:第一處理單元200,用於利用自身的控制平面為網路流量分配第一公網訪問地址並通知給自身的資料轉發平面;第二處理單元202,用於利用資料轉發平面在第一公網訪問地址與目標主機的私網地址之間生成轉發路徑。
可選地,通知模組30,用於向訪問流量清洗設備發送第二通知訊息,其中,第二通知訊息用於通知訪問流量清洗設備將網路流量的訪問地址由第二公網訪問地址替換為第一公網訪問地址。
可選地,如圖7所示,上述裝置還可以包括:下發模組40,用於利用資料轉發平面將轉發路徑下發至路由轉發設備;指示模組50,用於指示路由轉發設備按照轉發路徑將網路流量發送至目標主機。
根據本發明實施例,還提供了另一種用於實施上述處 理網路流量的方法的裝置實施例。圖8是根據本發明實施例的另一種處理網路流量的裝置的結構框圖。如圖8所示,該裝置應用於訪問流量清洗設備,該裝置可以包括:接收模組80,用於接收軟體定義網路SDN下發的第一公網訪問地址,其中,第一公網訪問地址用於接收網路流量;處理模組82,用於按照第一公網訪問地址發送網路流量。
可選地,圖9是根據本發明較佳實施例的另一種處理網路流量的裝置的結構框圖。如圖9所示,上述裝置還包括:獲取模組84,用於獲取控制設備分配的第二公網訪問地址;發送模組86,用於訪問流量清洗設備按照第二公網訪問地址發送網路流量。
可選地,如圖9所示,上述裝置還可以包括:替換模組88,用於將網路流量的目的地址由第二公網訪問地址替換為第一公網訪問地址。
上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。
在本發明的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
在本申請所提供的幾個實施例中,應該理解到,所揭露的技術內容,可透過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或元件可以結合或者可以集成到另一 個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是透過一些介面,單元或模組的間接耦合或通信連接,可以是電性或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本發明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
所述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個電腦可讀取儲存媒體中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台電腦設備(可為個人電腦、伺服器或者網路設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:USB隨身碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、移動硬碟、磁碟或者光碟等各種可以儲存程式碼的媒體。
以上所述僅是本發明的較佳實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護範圍。

Claims (12)

  1. 一種處理網路流量的系統,其特徵在於,包括:軟體定義網路SDN,用於在確定從訪問流量清洗設備發送至目標主機的網路流量發生丟棄的情況下,為該網路流量分配第一公網訪問地址並生成與該第一公網訪問地址對應的轉發路徑,通知該訪問流量清洗設備向該第一公網訪問地址發送該網路流量,以及向該訪問流量清洗設備發送第一通知訊息,其中,該網路流量按照該轉發路徑轉發至該目標主機,該第一通知訊息用於通知該訪問流量清洗設備將該網路流量的訪問地址由第二公網訪問地址替換為該第一公網訪問地址;控制設備,用於向該SDN發送第二通知訊息,其中,該第二通知訊息用於表示在該控制設備判斷出發送至該第二公網訪問地址的訪問流量超出預設閾值的情況下,控制路由轉發設備將發送至該第二公網訪問地址的訪問流量進行丟棄;該路由轉發設備,用於接收來自於該SDN的轉發路徑,並按照該轉發路徑將該網路流量發送至該目標主機。
  2. 一種處理網路流量的方法,其特徵在於,該方法應用於訪問流量清洗設備向目標主機發送網路流量,其中,該訪問流量清洗設備用於從接收到的訪問流量中濾除異常流量,得到該網路流量,該方法包括: 軟體定義網路SDN確定該網路流量發生丟棄;該SDN為該網路流量分配第一公網訪問地址並生成與該第一公網訪問地址對應的轉發路徑,其中,該第一公網訪問地址用於接收該網路流量,該轉發路徑用於將該第一公網訪問地址接收到的該網路流量轉發至該目標主機;該SDN通知該訪問流量清洗設備向該第一公網訪問地址發送該網路流量,其中,該網路流量按照該轉發路徑轉發至該目標主機。
  3. 根據申請專利範圍第2項所述的方法,其中,該SDN確定該網路流量發生丟棄包括:該SDN接收來自於控制設備的第一通知訊息,其中,該第一通知訊息用於表示在該控制設備判斷出發送至第二公網訪問地址的訪問流量超出預設閾值的情況下,控制路由轉發設備將發送至該第二公網訪問地址的訪問流量進行丟棄;該SDN根據該第一通知訊息確定該網路流量發生丟棄。
  4. 根據申請專利範圍第3項所述的方法,其中,該SDN為該網路流量分配該第一公網訪問地址並根據該第一公網訪問地址生成該轉發路徑包括:該SDN利用控制平面為該網路流量分配該第一公網訪問地址並通知給該SDN的資料轉發平面; 該SDN利用該資料轉發平面在該第一公網訪問地址與該目標主機的私網地址之間生成該轉發路徑。
  5. 根據申請專利範圍第3項所述的方法,其中,該SDN通知該訪問流量清洗設備向該第一公網訪問地址發送該網路流量包括:該SDN向該訪問流量清洗設備發送第二通知訊息,其中,該第二通知訊息用於通知該訪問流量清洗設備將該網路流量的訪問地址由該第二公網訪問地址替換為該第一公網訪問地址。
  6. 根據申請專利範圍第4項所述的方法,其中,在該SDN通知該訪問流量清洗設備向該第一公網訪問地址發送該網路流量之後,還包括:該SDN利用該資料轉發平面將該轉發路徑下發至該路由轉發設備;該SDN指示該路由轉發設備按照該轉發路徑將該網路流量發送至該目標主機。
  7. 一種處理網路流量的方法,其特徵在於,該方法應用於訪問流量清洗設備向目標主機發送網路流量,其中,該訪問流量清洗設備用於從接收到的訪問流量中濾除異常流量,得到該網路流量,該方法包括:確定該網路流量發生丟棄; 為該網路流量分配第一公網訪問地址並生成與該第一公網訪問地址對應的轉發路徑,其中,該第一公網訪問地址用於接收該網路流量,該轉發路徑用於將該第一公網訪問地址接收到的該網路流量轉發至該目標主機;通知該訪問流量清洗設備向該第一公網訪問地址發送該網路流量,其中,該網路流量按照該轉發路徑轉發至該目標主機。
  8. 一種處理網路流量的方法,其特徵在於,該方法應用於訪問流量清洗設備向目標主機發送網路流量,其中,該訪問流量清洗設備用於從接收到的訪問流量中濾除異常流量,得到該網路流量,該方法包括:該訪問流量清洗設備接收軟體定義網路SDN下發的第一公網訪問地址,其中,該第一公網訪問地址用於接收該網路流量;該訪問流量清洗設備透過該第一公網訪問地址對應的轉發路徑將該第一公網訪問地址接收到的該網路流量轉發至該目標主機。
  9. 根據申請專利範圍第8項所述的方法,其中,在該訪問流量清洗設備接收該SDN下發的該第一公網訪問地址之前,還包括:該訪問流量清洗設備獲取控制設備分配的第二公網訪問地址; 該訪問流量清洗設備按照該第二公網訪問地址發送該網路流量。
  10. 根據申請專利範圍第9項所述的方法,其中,在該訪問流量清洗設備接收該SDN下發的該第一公網訪問地址之後,還包括:該訪問流量清洗設備將該網路流量的目的地址由該第二公網訪問地址替換為該第一公網訪問地址。
  11. 一種處理網路流量的裝置,其特徵在於,該裝置應用於軟體定義網路SDN,該裝置包括:確定模組,用於確定該網路流量發生丟棄;處理模組,用於為該網路流量分配第一公網訪問地址並生成與該第一公網訪問地址對應的轉發路徑,其中,該第一公網訪問地址用於接收該網路流量,該轉發路徑用於將該第一公網訪問地址接收到的該網路流量轉發至目標主機;通知模組,用於通知訪問流量清洗設備向該第一公網訪問地址發送該網路流量,其中,該網路流量按照該轉發路徑轉發至該目標主機。
  12. 一種處理網路流量的裝置,其特徵在於,該裝置應用於訪問流量清洗設備,該裝置包括:接收模組,用於接收軟體定義網路SDN下發的第一公 網訪問地址,其中,該第一公網訪問地址用於接收該網路流量;處理模組,用於透過該第一公網訪問地址對應的轉發路徑將該第一公網訪問地址接收到的該網路流量轉發至該目標主機。
TW106120791A 2016-07-15 2017-06-21 處理網路流量的方法及裝置 TWI727059B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610561330.7 2016-07-15
??201610561330.7 2016-07-15
CN201610561330.7A CN107623663B (zh) 2016-07-15 2016-07-15 处理网络流量的方法及装置

Publications (2)

Publication Number Publication Date
TW201804765A TW201804765A (zh) 2018-02-01
TWI727059B true TWI727059B (zh) 2021-05-11

Family

ID=60941468

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106120791A TWI727059B (zh) 2016-07-15 2017-06-21 處理網路流量的方法及裝置

Country Status (7)

Country Link
US (1) US10587637B2 (zh)
EP (1) EP3485613B1 (zh)
JP (1) JP6710295B2 (zh)
KR (1) KR102281685B1 (zh)
CN (1) CN107623663B (zh)
TW (1) TWI727059B (zh)
WO (1) WO2018013457A1 (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11968226B1 (en) * 2017-03-16 2024-04-23 Amazon Technologies, Inc. Targeted traffic filtering
CN108199906B (zh) * 2018-02-07 2021-03-30 深圳市风云实业有限公司 一种sdn构架中异常流量处理方法、装置和用户终端
JP6939726B2 (ja) * 2018-07-17 2021-09-22 日本電信電話株式会社 攻撃対処箇所選択装置及び攻撃対処箇所選択方法
CN109413262B (zh) * 2018-09-06 2021-05-07 深圳市梁信科技有限公司 一种无线存储管理系统
US10945806B2 (en) 2018-09-07 2021-03-16 Warsaw Orthopedic, Inc. Surgical guide and methods of use
US10768990B2 (en) 2018-11-01 2020-09-08 International Business Machines Corporation Protecting an application by autonomously limiting processing to a determined hardware capacity
CN109688242B (zh) * 2018-12-27 2022-03-22 深信服科技股份有限公司 一种云防护系统及方法
CN109617932B (zh) * 2019-02-21 2021-07-06 北京百度网讯科技有限公司 用于处理数据的方法和装置
US11700233B2 (en) * 2019-06-04 2023-07-11 Arbor Networks, Inc. Network monitoring with differentiated treatment of authenticated network traffic
US11411843B2 (en) * 2019-08-14 2022-08-09 Verizon Patent And Licensing Inc. Method and system for packet inspection in virtual network service chains
US11477163B2 (en) * 2019-08-26 2022-10-18 At&T Intellectual Property I, L.P. Scrubbed internet protocol domain for enhanced cloud security
CN110620787A (zh) * 2019-09-30 2019-12-27 怀来斯达铭数据有限公司 DDoS攻击的防护方法和系统
US20230229550A1 (en) * 2020-07-02 2023-07-20 Microsoft Technology Licensing, Llc Detecting metrics indicative of operational characteristics of a network and identifying and controlling based on detected anomalies
US11601369B1 (en) * 2021-09-01 2023-03-07 Arbor Networks, Inc. Mitigation of network attacks by prioritizing network traffic
CN114124744B (zh) * 2021-11-24 2023-06-02 绿盟科技集团股份有限公司 一种流量数据展示方法、装置、电子设备及存储介质
CN114448674A (zh) * 2021-12-27 2022-05-06 天翼云科技有限公司 一种分布式流量清洗方法及系统
CN116761213B (zh) * 2023-08-23 2023-11-17 深圳市南方硅谷半导体股份有限公司 一种手机流量的应用方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001067685A2 (en) * 2000-03-03 2001-09-13 Luminous Networks, Inc. Routing switch for dynamically rerouting traffic due to detection of faulty link
US20140109225A1 (en) * 2012-08-07 2014-04-17 Lee Hahn Holloway Identifying a Denial-of-Service Attack in a Cloud-Based Proxy Service
CN104660582A (zh) * 2014-12-17 2015-05-27 南京晓庄学院 DDoS识别、防护和路径优化的软件定义的网络架构
US20150281085A1 (en) * 2014-01-23 2015-10-01 InMon Corp. Method and system of large flow control in communication networks
CN105282169A (zh) * 2015-11-04 2016-01-27 中国电子科技集团公司第四十一研究所 基于SDN控制器阈值的DDoS攻击预警方法及其系统
US9264301B1 (en) * 2012-09-20 2016-02-16 Wiretap Ventures, LLC High availability for software defined networks

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8176186B2 (en) * 2002-10-30 2012-05-08 Riverbed Technology, Inc. Transaction accelerator for client-server communications systems
JP4161989B2 (ja) 2005-07-08 2008-10-08 沖電気工業株式会社 ネットワーク監視システム
US8670316B2 (en) 2006-12-28 2014-03-11 Telecom Italia S.P.A. Method and apparatus to control application messages between client and a server having a private network address
JP2008177714A (ja) 2007-01-17 2008-07-31 Alaxala Networks Corp ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
KR100942456B1 (ko) 2009-07-23 2010-02-12 주식회사 안철수연구소 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
CN102195843B (zh) * 2010-03-02 2014-06-11 中国移动通信集团公司 一种流量控制系统和方法
KR20130109148A (ko) * 2010-09-24 2013-10-07 프라발라 인코포레이티드 멀티 인터페이스 시스템 내의 로컬 네트워크 자원들에 액세스
US8432789B2 (en) * 2010-12-28 2013-04-30 Avaya Inc. Split multi-link trunking (SMLT) hold-down timer for internet protocol (IP) multicast
US9888028B2 (en) * 2013-05-03 2018-02-06 Centurylink Intellectual Property Llc Combination of remote triggered source and destination blackhole filtering
US9172721B2 (en) 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation
JP6324026B2 (ja) 2013-11-07 2018-05-16 三菱電機株式会社 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法
JP6213292B2 (ja) 2014-02-17 2017-10-18 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
US20160036837A1 (en) 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
US9253206B1 (en) 2014-12-18 2016-02-02 Docusign, Inc. Systems and methods for protecting an online service attack against a network-based attack
CN104954367B (zh) * 2015-06-04 2019-02-12 饶小毛 一种互联网全向跨域DDoS攻击防护方法
CN109246128B (zh) * 2015-08-07 2019-09-17 杭州数梦工场科技有限公司 防止链路型DDoS攻击的实现方法和系统
CN105591963B (zh) * 2015-08-27 2018-10-12 新华三技术有限公司 Sdn中报文转发方法和设备
US10116692B2 (en) 2015-09-04 2018-10-30 Arbor Networks, Inc. Scalable DDoS protection of SSL-encrypted services
US9742795B1 (en) * 2015-09-24 2017-08-22 Amazon Technologies, Inc. Mitigating network attacks
CN105516129A (zh) * 2015-12-04 2016-04-20 重庆邮电大学 基于sdn技术实现僵尸网络控制信道阻断的方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001067685A2 (en) * 2000-03-03 2001-09-13 Luminous Networks, Inc. Routing switch for dynamically rerouting traffic due to detection of faulty link
US20140109225A1 (en) * 2012-08-07 2014-04-17 Lee Hahn Holloway Identifying a Denial-of-Service Attack in a Cloud-Based Proxy Service
US9264301B1 (en) * 2012-09-20 2016-02-16 Wiretap Ventures, LLC High availability for software defined networks
US20150281085A1 (en) * 2014-01-23 2015-10-01 InMon Corp. Method and system of large flow control in communication networks
CN104660582A (zh) * 2014-12-17 2015-05-27 南京晓庄学院 DDoS识别、防护和路径优化的软件定义的网络架构
CN105282169A (zh) * 2015-11-04 2016-01-27 中国电子科技集团公司第四十一研究所 基于SDN控制器阈值的DDoS攻击预警方法及其系统

Also Published As

Publication number Publication date
KR20190004350A (ko) 2019-01-11
JP6710295B2 (ja) 2020-06-17
CN107623663A (zh) 2018-01-23
EP3485613A4 (en) 2020-04-08
US10587637B2 (en) 2020-03-10
KR102281685B1 (ko) 2021-07-28
US20180020016A1 (en) 2018-01-18
EP3485613B1 (en) 2021-08-25
WO2018013457A1 (en) 2018-01-18
EP3485613A1 (en) 2019-05-22
TW201804765A (zh) 2018-02-01
JP2019525528A (ja) 2019-09-05
CN107623663B (zh) 2020-12-15

Similar Documents

Publication Publication Date Title
TWI727059B (zh) 處理網路流量的方法及裝置
US10057234B1 (en) Systems and methods for providing network security monitoring
JP6335363B2 (ja) 仮想クラウドインフラストラクチャへの仮想セキュリティ装置アーキテクチャの提供
US10476891B2 (en) Monitoring access of network darkspace
CN105743878B (zh) 使用蜜罐的动态服务处理
EP3226508B1 (en) Attack packet processing method, apparatus, and system
US8955093B2 (en) Cooperative network security inspection
US9240976B1 (en) Systems and methods for providing network security monitoring
EP3449600B1 (en) A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences
JP2022514172A (ja) 相乗的なdnsセキュリティ更新
Choi Implementation of content-oriented networking architecture (CONA): a focus on DDoS countermeasure
EP2713581A1 (en) Virtual honeypot
US20150381660A1 (en) Dynamically Generating a Packet Inspection Policy for a Policy Enforcement Point in a Centralized Management Environment
CN112134891A (zh) 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法
Deka et al. Ddos attacks: Tools, mitigation approaches, and probable impact on private cloud environment
JP2015050717A (ja) コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム
US20160205135A1 (en) Method and system to actively defend network infrastructure
JP6359260B2 (ja) クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
Narwal et al. Game-theory based detection and prevention of DoS attacks on networking node in open stack private cloud
Chatterjee Design and development of a framework to mitigate dos/ddos attacks using iptables firewall
Dobrin et al. DDoS attack identification based on SDN
CN104618469B (zh) 一种基于代理网络架构的局域网访问控制方法及管理机
US20120096548A1 (en) Network attack detection
KR20180115883A (ko) 서버 보안을 위한 트래픽 우회 방법 및 장치
CN116781301A (zh) 跨命名空间的容器安全防护方法、装置、设备及介质