防止链路型DDoS攻击的实现方法和系统转让专利
申请号 : CN201811188693.6
文献号 : CN109246128B
文献日 : 2019-09-17
发明人 : 王鹏
申请人 : 杭州数梦工场科技有限公司
摘要 :
本发明提出一种防止链路型DDoS攻击的实现方法及系统,该方法包括:网络流量监控系统监控通过被保护网络的主出口链路进入被保护网络的网络流量,被保护网络包括:主出口链路和备份链路;在所述网络流量小于预设的告警值时,判断是否达到DDoS攻击标准,并在达到DDoS攻击标准时,通知内网DDoS系统进行引流;在所述网络流量大于或等于预设的告警值时,通知公网DDoS系统进行引流,以使公网DDoS系统与公网DNS联动,将网络流量牵引到公网DDoS系统进行清洗,并将清洗后的网络流量通过备份链路回注回被保护网络。该方法能够结合企业级DDoS产品和运营商DDoS产品的优点,在不限定网络流量的基础上,尽量保证安全性。
权利要求 :
1.一种防止链路型DDoS攻击的实现方法,其特征在于,包括:网络流量监控系统监控通过被保护网络的主出口链路进入被保护网络的网络流量,所述被保护网络包括:主出口链路和备份链路;其中,所述备份链路用于引入公网DDoS系统回注的网络流量,所述主出口链路用于引入正常业务或DDoS攻击产生的网络流量;
网络流量监控系统在所述网络流量小于预设的告警值时,通知所述被保护网络的内网DDoS系统进行引流;
网络流量监控系统在所述网络流量大于或等于预设的告警值时,通知公网DDoS系统进行引流,以使所述公网DDoS系统与公网DNS联动,将网络流量牵引到公网DDoS系统进行清洗,并将清洗后的网络流量通过所述备份链路回注回所述被保护网络;
所述网络流量监控系统通知公网DDoS系统进行引流之后,所述网络流量监控系统对出口设备进行配置,使得配置后的出口设备对主出口链路上的网络流量进行丢弃处理。
2.根据权利要求1所述的方法,其特征在于,在所述网络流量监控系统确定所述网络流量小于预设的告警值之后、通知所述被保护网络的内网DDoS系统进行引流之前,还包括:确定达到DDoS攻击标准。
3.根据权利要求2所述的方法,其特征在于,所述确定达到DDoS攻击标准,包括:根据所述网络流量监控系统内预先配置的DDoS清洗规则,分析所述网络流量是否满足所述DDoS清洗规则中记录的DDoS攻击特征;
若是,则确定达到DDoS攻击标准。
4.根据权利要求1所述的方法,其特征在于,所述网络流量监控系统监控通过被保护网络的主出口链路进入被保护网络的网络流量,包括:网络流量监控系统接收被保护网络的出口设备产生的镜像流量,对所述镜像流量进行监控,得到进入被保护网络的网络流量,其中,镜像流量是出口设备对主出口链路的网络流量进行镜像或分光处理后得到的。
5.根据权利要求4所述的方法,其特征在于,在通知所述被保护网络的内网DDoS系统进行引流之后,所述方法还包括:网络流量监控系统停止对镜像流量的监控。
6.根据权利要求4所述的方法,其特征在于,在通知公网DDoS系统进行引流之后,所述方法还包括:网络流量监控系统停止对镜像流量的监控。
7.根据权利要求5或6所述的方法,其特征在于,所述网络流量监控系统停止对镜像流量的监控,包括:网络流量监控系统向所述出口设备发送指示消息,所述出口设备根据所述指示消息停止镜像或分光处理;或者,网络流量监控系统停止对镜像流量进行分析处理。
8.根据权利要求1-6任一项所述的方法,其特征在于,所述通知所述被保护网络的内网DDoS系统进行引流,包括:网络流量监控系统向所述被保护网络的内网DDoS系统发送启动引流消息;
所述方法还包括:
内网DDoS系统接收网络流量监控系统发送的启动引流消息;
内网DDoS系统接收网络流量监控系统发送的启动引流消息后,对所述被保护网络的出口设备进行引流配置,使得引流配置后的出口设备将主出口链路的网络流量牵引到内网DDoS系统上;
内网DDoS系统对牵引过来的网络流量进行清洗,并将清洗后的网络流量回注到所述出口设备上,使得所述出口设备将回注的网络流量发送到内网服务器上;
内网DDoS系统检查是否存在DDoS攻击,如果预设时间内都没有DDoS攻击,则取消所述出口设备上的引流配置,并通知所述网络流量监控系统重新启动监控。
9.根据权利要求8所述的方法,其特征在于,所述对所述被保护网络的出口设备进行引流配置,包括:向所述出口设备配置BGP。
10.根据权利要求1-6任一项所述的方法,其特征在于,所述通知公网DDoS系统进行引流,包括:网络流量监控系统向公网DDoS系统发送启动引流消息;
所述方法还包括:
公网DDoS系统接收网络流量监控系统发送的启动引流消息;
公网DDoS系统接收网络流量监控系统发送的启动引流消息后,对公网DNS进行引流配置,使得引流配置后的公网DNS将原本要发送到所述被保护网络的网络流量牵引到公网DDoS系统上;
公网DDoS系统对牵引过来的网络流量进行清洗,并将清洗后的网络流量通过所述备份链路回注到所述被保护网络上;
公网DDoS系统检查清洗后的网络流量,如果预设时间内清洗后的网络流量都低于所述预设的告警值,则取消所述公网DNS上的引流配置,并通知所述网络流量监控系统重新启动监控。
11.根据权利要求10所述的方法,其特征在于,所述启动引流消息中包括:被保护的网络的域名,被保护的网络的出口设备的备份链路的IP地址,所述对公网DNS进行引流配置,包括:公网DDoS系统向公网DNS发送配置消息,该配置消息中包含被保护的网络的域名、第一IP地址,使得公网DNS接收到配置消息后,将预先存储的与被保护的域名对应的IP地址更改为所述第一IP地址,其中,所述第一IP地址是预先建立的与被保护的网络的出口设备的备份链路的IP地址关联的IP地址。
12.根据权利要求11所述的方法,其特征在于,所述公网DDoS系统内预先存储一个地址池,所述地址池内存储有不同IP地址之间的关联关系。
说明书 :
防止链路型DDoS攻击的实现方法和系统
技术领域
[0001] 本发明涉及通信技术领域,尤其涉及一种防止链路型DDoS攻击的实现方法和系统。
背景技术
[0002] 分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是指将多个计算机联合起来作为攻击平台,对攻击平台内的一个或多个计算机发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,将代理程序安装在攻击平台内的每个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序收到指令时就发动攻击。
[0003] DDoS攻击类型主要有如下几种:让被攻击对象系统满负荷运行导致其他正常用户无法访问,让被攻击对象系统出现异常导致所有用户均无法访问,让被攻击对象的网络链路带宽出现拥塞导致正常用户访问流量无法进入。其中最后一种可以称为链路型DDoS攻击。为了防止链路型DDoS攻击,需要在链路前部署防DDoS攻击产品对网络攻击流量进行拦截。
[0004] 目前防DDoS攻击产品可以分为企业级DDoS产品和运营商DDoS产品,但是,企业级DDoS产品只能用在网络流量不超过企业出口带宽的场景,运营商DDoS产品存在安全风险。
发明内容
[0005] 本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
[0006] 为此,本发明的一个目的在于提出一种防止链路型DDoS攻击的实现方法,该方法可以结合企业级DDoS产品和运营商DDoS产品的优点,在不限定网络流量的基础上,尽量保证安全性。
[0007] 本发明的另一个目的在于提出一种防止链路型DDoS攻击的实现系统。
[0008] 为达到上述目的,本发明第一方面实施例提出的防止链路型DDoS攻击的实现方法,包括:网络流量监控系统监控通过被保护网络的主出口链路进入被保护网络的网络流量,所述被保护网络包括:主出口链路和备份链路;网络流量监控系统在所述网络流量小于预设的告警值时,判断是否达到DDoS攻击标准,并在达到DDoS攻击标准时,通知所述被保护网络的内网DDoS系统进行引流;网络流量监控系统在所述网络流量大于或等于预设的告警值时,通知公网DDoS系统进行引流,以使所述公网DDoS系统与公网DNS联动,将网络流量牵引到公网DDoS系统进行清洗,并将清洗后的网络流量通过所述备份链路回注回所述被保护网络。
[0009] 本发明第一方面实施例提出的防止链路型DDoS攻击的实现方法,通过在网络流量大于或等于告警值时,由公网DDoS系统进行处理,可以解决企业级DDoS产品不能用于网络流量大于出口带宽的情况,实现在网络流量较大时依然可以处理链路型DDoS攻击;通过在网络流量小于告警值时,由内网DDoS系统进行处理,可以在此场景下不需要运营商DDoS产品的参与,避免安全隐患。从而通过在网络流量不同情况下由不同的DDoS产品进行处理,可以结合企业级DDoS产品和运营商DDoS产品的优点,在不限定网络流量的基础上,尽量保证安全性。
[0010] 为达到上述目的,本发明第二方面实施例提出的防止链路型DDoS攻击的实现系统,所述系统包括网络流量监控系统,所述网络流量监控系统包括:监控模块,用于监控通过被保护网络的主出口链路进入被保护网络的网络流量,所述被保护网络包括:主出口链路和备份链路;第一通知模块,用于在所述网络流量小于预设的告警值时,判断是否达到DDoS攻击标准,并在达到DDoS攻击标准时,通知所述被保护网络的内网DDoS系统进行引流;第二通知模块,用于在所述网络流量大于或等于预设的告警值时,通知公网DDoS系统进行引流,以使所述公网DDoS系统与公网DNS联动,将网络流量牵引到公网DDoS系统进行清洗,并将清洗后的网络流量通过所述备份链路回注回所述被保护网络。
[0011] 本发明第二方面实施例提出的防止链路型DDoS攻击的实现系统,通过在网络流量大于或等于告警值时,由公网DDoS系统进行处理,可以解决企业级DDoS产品不能用于网络流量大于出口带宽的情况,实现在网络流量较大时依然可以处理链路型DDoS攻击,通过在网络流量小于告警值时,由内网DDoS系统进行处理,可以在此场景下不需要运营商DDoS产品的参与,避免安全隐患。从而通过在网络流量不同情况下由不同的DDoS产品进行处理,可以结合企业级DDoS产品和运营商DDoS产品的优点,在不限定网络流量的基础上,尽量保证安全性。
[0012] 本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
[0013] 本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
[0014] 图1是本发明一实施例提出的防止链路型DDoS攻击的实现方法的流程示意图;
[0015] 图2是本发明实施例中防止链路型DDoS攻击的系统的示意图;
[0016] 图3是本发明另一实施例提出的防止链路型DDoS攻击的实现方法的流程示意图;
[0017] 图4是本发明实施例中内网DDoS系统的处理流程示意图;
[0018] 图5是本发明实施例中公网DDoS系统的处理流程示意图;
[0019] 图6是本发明另一实施例提出的防止链路型DDoS攻击的实现系统的结构示意图;
[0020] 图7是本发明另一实施例提出的防止链路型DDoS攻击的实现系统的结构示意图;
[0021] 图8是本发明另一实施例提出的防止链路型DDoS攻击的实现系统的结构示意图。
具体实施方式
[0022] 下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的模块或具有相同或类似功能的模块。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
[0023] 图1是本发明一实施例提出的防止链路型DDoS攻击的实现方法的流程示意图,该方法包括:
[0024] S11:网络流量监控系统监控通过被保护网络的主出口链路进入被保护网络的网络流量。
[0025] 其中,网络流量监控系统可以设置在被保护网络的内部,以被保护网络是企业网为例,参见图2,网络流量监控系统21设置在企业网内部。
[0026] 一些实施例中,参见图3,网络流量监控系统监控通过被保护网络的主出口链路进入被保护网络的网络流量,具体包括:
[0027] S31:网络流程监控系统接收被保护网络的出口设备产生的镜像流量,对所述镜像流量进行监控,得到进入被保护网络的网络流量,其中,镜像流量是出口设备对主出口链路的网络流量进行镜像或分光处理后得到的。
[0028] 例如,参见图2,在企业网内部与公网的接口处设置出口设备22,出口设备包括至少两个出口链路,其中一条链路是备份链路,另外的链路是主出口链路,备份链路用于引入公网DDoS系统回注的网络流量,主出口链路用于引入正常业务或DDoS攻击产生的网络流量。
[0029] 出口设备可以对主出口链路上的网络流量进行镜像或分光处理,得到镜像流量,之后将镜像流量发送给网络流量监控系统。
[0030] 其中,镜像处理和分光处理都可以由一份数据复制成相同的两份数据,两者不同的是,镜像处理支持光口和电口,分光处理仅支持光口。
[0031] S12:网络流量监控系统在所述网络流量小于预设的告警值时,判断是否达到DDoS攻击标准,并在达到DDoS攻击标准时,通知所述被保护网络的内网DDoS系统进行引流。
[0032] 一些实施例中,参见图3,网络流量监控系统接收到出口设备产生的镜像流量后,该方法还可以包括:
[0033] S32:网络流量监控系统判断监控得到的网络流量是否小于预设的告警值,若是,执行33,否则,执行S35。
[0034] 其中,在监控得到网络流量后,可以将网络流量与预设的告警值比对,从而判断出是否小于预设的告警值。
[0035] S33:网络流量监控系统判断是否达到DDoS攻击标准,若是,执行S34,否则,重复执行S31及其后续步骤。
[0036] 其中,网络流量监控系统内可以预先配置DDoS清洗规则,以便根据该DDoS清洗规则判断是否达到DDoS攻击标准。例如,DDoS清洗规则中记录DDoS攻击的特征,通过对网络流量进行分析,如果满足该特征,则确定达到DDoS攻击标准。具体的特征可以采用已有的链路型DDoS攻击的特征。
[0037] S34:网络流量监控系统通知内网DDoS系统进行引流。
[0038] 例如,参见图2,企业网内部可以设置内网DDoS系统23。
[0039] 网络流量监控系统通知内网DDoS系统进行引流时,可以具体是网络流量监控系统向内网DDoS系统发送启动引流消息。
[0040] 一些实施例中,参见图3,在通知所述被保护网络的内网DDoS系统进行引流之后,该方法还可以包括:
[0041] S36:网络流量监控系统停止对镜像流量的监控。
[0042] 其中,网络流量监控系统停止对镜像流量的监控可以具体包括:
[0043] 网络流量监控系统向出口设备发送指示消息,出口设备根据该指示消息停止镜像或分光处理;或者,
[0044] 网络流量监控系统停止对镜像流量进行分析处理。
[0045] S13:网络流量监控系统在所述网络流量大于或等于预设的告警值时,通知公网DDoS系统进行引流,以使所述公网DDoS系统与公网DNS联动,将网络流量牵引到公网DDoS系统进行清洗,并将清洗后的网络流量通过所述备份链路回注回所述被保护网络。
[0046] 一些实施例中,如图3所示,当网络流量大于或等于预设的告警值时,该方法还包括:
[0047] S35:网络流量监控系统通知公网DDoS系统进行引流。
[0048] 例如,参见图2,在企业网外部的公网上可以设置公网DDoS系统24。
[0049] 网络流量监控系统通知公网DDoS系统进行引流时,可以具体是网络流量监控系统向公网DDoS系统发送启动引流消息。
[0050] 一些实施例中,参见图3,在通知公网DDoS系统进行引流之后,该方法还可以包括:
[0051] S36:网络流量监控系统停止对镜像流量的监控。
[0052] 其中,网络流量监控系统停止对镜像流量的监控可以具体包括:
[0053] 网络流量监控系统向出口设备发送指示消息,出口设备根据该指示消息停止镜像或分光处理;或者,
[0054] 网络流量监控系统停止对镜像流量进行分析处理。
[0055] S37:网络流量监控系统对所述出口设备进行配置,使得配置后的出口设备对主出口链路上的网络流量进行丢弃处理。
[0056] 例如,网络流量监控设备为出口设备配置一条黑洞路由,从而主出口链路上的网络流量就会被出口设备全部丢弃。
[0057] 本实施例中,通过在网络流量大于或等于告警值时,由公网DDoS系统进行处理,可以解决企业级DDoS产品不能用于网络流量大于出口带宽的情况,实现在网络流量较大时依然可以处理链路型DDoS攻击,通过在网络流量小于告警值时,由内网DDoS系统进行处理,可以在此场景下不需要运营商DDoS产品的参与,避免安全隐患。从而通过在网络流量不同情况下由不同的DDoS产品进行处理,可以结合企业级DDoS产品和运营商DDoS产品的优点,在不限定网络流量的基础上,尽量保证安全性。
[0058] 在内网DDoS系统或公网DDoS系统接收到启动引流消息后,可以执行相应的处理。
[0059] 图4是本发明实施例中内网DDoS系统的处理流程示意图,该流程包括:
[0060] S41:内网DDoS系统接收网络流量监控系统发送的启动引流消息。
[0061] S42:内网DDoS系统接收网络流量监控系统发送的启动引流消息后,对所述被保护网络的出口设备进行引流配置,使得引流配置后的出口设备将主出口链路的网络流量牵引到内网DDoS系统上。
[0062] 例如,内网DDoS系统向出口设备配置边界网关协议(Border Gateway Protocol,BGP)。出口设备被配置BGP后,会将主出口链路的网络流量发送给内网DDoS系统,实现网络流量的牵引。其中,BGP是已有协议,因此可以采用已有的配置方式完成BGP配置。
[0063] S43:内网DDoS系统对牵引过来的网络流量进行清洗,并将清洗后的网络流量回注到所述出口设备上,使得所述出口设备将回注的网络流量发送到内网服务器上。
[0064] 其中,内网DDoS系统可以采用已有的企业级DDoS产品的清洗策略对网络流量进行清洗。
[0065] 在清洗后,内网DDoS系统可以将清洗后的网络流量再发送给出口设备,实现网络流量的回注。
[0066] 出口设备上可以预先配置路由策略,该路由策略例如包括:当网络流量的源地址是内网DDoS系统时,则目的地址是内网服务器,则通过该路由策略,参见图2,内网DDoS系统23回注到出口设备22的网络流量将被出口设备发送给内网服务器25。通过配置该路由策略,可以避免重复引流导致环路问题。
[0067] S44:内网DDoS系统检查是否存在DDoS攻击,如果预设时间内都没有DDoS攻击,则执行S45,否则,重复执行S43及其后续步骤。
[0068] 其中,内网DDoS系统可以采用已有手段检查是否存在DDoS攻击。
[0069] S45:取消所述出口设备上的引流配置,并通知所述网络流量监控系统重新启动监控。
[0070] 在预设时间内都不存在DDoS攻击时,则内网DDoS系统可以取消对出口设备的BGP配置。
[0071] 另外,如图3所示,网络流量监控系统在通知内网DDoS系统进行引流后,会停止对镜像流量的监控。而当内网DDoS系统取消对出口设备的BGP配置后,可以向网络流量监控系统发送指示消息,该指示消息用于指示网络流量监控系统重新启动监控。
[0072] 本实施例中,内网DDoS系统接收到启动引流消息后,对出口设备进行引流配置,可以实现将网络流量牵引到内网DDoS系统,从而实现内网DDoS系统对网络流量的清洗,防止链路型DDoS攻击。
[0073] 图5是本发明实施例中公网DDoS系统的处理流程示意图,该流程包括:
[0074] S51:公网DDoS系统接收网络流量监控系统发送的启动引流消息。
[0075] S52:公网DDoS系统接收网络流量监控系统发送的启动引流消息后,对公网域名系统(Domain Name System,DNS)进行引流配置,使得引流配置后的公网DNS将原本要发送到所述被保护网络的网络流量牵引到公网DDoS系统上。
[0076] 其中,启动引流消息中可以包括:被保护的网络的域名,被保护的网络的出口设备的备份链路的IP地址。
[0077] 相应的,公网DDoS系统对公网DNS进行引流配置时,可以具体包括:
[0078] 公网DDoS系统向公网DNS发送配置消息,该配置消息中包含被保护的网络的域名、第一IP地址,使得公网DNS接收到配置消息后,将预先存储的与被保护的域名对应的IP地址更改为所述第一IP地址,其中,所述第一IP地址是预先建立的与被保护的网络的出口设备的备份链路的IP地址关联的IP地址。
[0079] 其中,公网DNS内会预先存储域名与IP地址的对应关系,以便根据域名解析出IP地址,再根据IP地址进行网络流量的传输。通常,由于网络流量是需要发送给被保护的网络,且通过被保护的网络的出口设备的主出口链路进行传输,假设被保护的网络的域名是A,主出口链路的IP地址是IP1,则在公网DNS内原本存储的是A与IP1的对应关系。为了实现将网络流量引流到公网DDoS系统上,则需要将原本发送给被保护的网络的网络流量转发给公网DDoS系统,则需要在公网DNS内将A对应的IP地址更改为公网DDoS系统的IP地址。
[0080] 由于公网DDoS系统可以与多个企业网等被保护网络进行通信,公网DDoS系统可以对应不同的被保护网络设置不同的IP地址,因此,公网DDoS系统内可以预先存储一个地址池,该地址池内可以存储不同IP地址之间的关联关系。例如,域名A的被保护网络的出口设备的备份链路的IP地址是IP2,公网DDoS系统内预先存储与IP2关联的IP地址是IP3,则上述的第一IP地址是IP3,公网DDoS系统可以指示公网DNS将与A对应的IP地址从IP1修改为IP3。
[0081] S53:公网DDoS系统对牵引过来的网络流量进行清洗,并将清洗后的网络流量通过备份链路回注到所述被保护网络上。
[0082] 其中,公网DNS进行IP地址修改后,可以将原本发送给被保护网络的网络流量发送给公网DDoS系统,实现了将网络流量牵引到公网DDoS系统上。
[0083] 在将网络流量牵引到公网DDoS系统上,公网DDoS系统可以采用已有的运营商DDoS产品的清洗方式对网络流量进行清洗。
[0084] 在对网络流量进行清洗后,可以将清洗后的网络流量再通过备份链路发送给被保护的网络,实现网络流量的回注。
[0085] 在回注网络流量时,可以具体是将网络流量的目的地址修改为被保护网络的出口设备的备份链路的IP地址,例如,修改为IP2,则根据路由原理,该网络流量可以通过备份链路回注到被保护网络内。
[0086] S54:公网DDoS系统检查清洗后的网络流量,如果预设时间内清洗后的网络流量都低于所述预设的告警值,则执行S55,否则,重复执行S53及其后续步骤。
[0087] 其中,网络流量监控系统发送给公网DDoS系统的启动引流消息中还可以包括:预设的告警值,从而公网DDoS系统通过解析启动引流消息可以获取预设的告警值。
[0088] 在获取预设的告警值后,公网DDoS系统可以比对清洗后的网络流量与预设的告警值的大小,得到判断结果。
[0089] S55:取消所述公网DNS上的引流配置,并通知所述网络流量监控系统重新启动监控。
[0090] 在预设时间内清洗后的网络流量都低于告警值后,公网DDoS系统可以向公网DNS发送指示消息,公网DNS接收到该指示消息后可以将域名对应的IP地址恢复到之前的状态,例如,将A对应的IP地址由IP3恢复到IP1,从而后续的网络流量将通过主出口链路进入被保护网络。
[0091] 另外,如图3所示,网络流量监控系统在通知公网DDoS系统进行引流后,会停止对镜像流量的监控。而当公网DDoS系统取消对公网DNS的引流配置后,可以向网络流量监控系统发送指示消息,该指示消息用于指示网络流量监控系统重新启动监控。
[0092] 本实施例中,公网DDoS系统接收到启动引流消息后,对公网DNS进行引流配置,可以实现将网络流量牵引到公网DDoS系统,从而实现公网DDoS系统对网络流量的清洗,防止链路型DDoS攻击。
[0093] 图6是本发明另一实施例提出的防止链路型DDoS攻击的实现系统的结构示意图,参见图6,该系统可以包括:网络流量监控系统61,该网络流量监控系统61可以包括:
[0094] 监控模块611,用于监控通过被保护网络的主出口链路进入被保护网络的网络流量,所述被保护网络包括:主出口链路和备份链路;
[0095] 其中,网络流量监控系统可以设置在被保护网络的内部,以被保护网络是企业网为例,参见图2,网络流量监控系统设置在企业网内部。
[0096] 一些实施例中,所述监控模块611具体用于:
[0097] 接收被保护网络的出口设备产生的镜像流量,对所述镜像流量进行监控,得到进入被保护网络的网络流量,其中,镜像流量是出口设备对主出口链路的网络流量进行镜像或分光处理后得到的。
[0098] 例如,参见图2,在企业网内部与公网的接口处设置出口设备,出口设备包括至少两个出口链路,其中一条链路是备份链路,另外的链路是主出口链路,备份链路用于引入公网DDoS系统回注的网络流量,主出口链路用于引入正常业务或DDoS攻击产生的网络流量。
[0099] 出口设备可以对主出口链路上的网络流量进行镜像或分光处理,得到镜像流量,之后将镜像流量发送给网络流量监控系统。其中,镜像处理和分光处理都可以由一份数据复制成相同的两份数据,两者不同的是,镜像处理支持光口和电口,分光处理仅支持光口。
[0100] 第一通知模块612,用于在所述网络流量小于预设的告警值时,判断是否达到DDoS攻击标准,并在达到DDoS攻击标准时,通知所述被保护网络的内网DDoS系统进行引流;
[0101] 其中,在监控得到网络流量后,可以将网络流量与预设的告警值比对,从而判断出是否小于预设的告警值。
[0102] 第一通知模块内可以预先配置DDoS清洗规则,以便根据该DDoS清洗规则判断是否达到DDoS攻击标准。例如,DDoS清洗规则中记录DDoS攻击的特征,通过对网络流量进行分析,如果满足该特征,则确定达到DDoS攻击标准。具体的特征可以采用已有的链路型DDoS攻击的特征。
[0103] 第一通知模块通知内网DDoS系统进行引流时,可以具体是第一通知模块向内网DDoS系统发送启动引流消息。
[0104] 第二通知模块613,用于在所述网络流量大于或等于预设的告警值时,通知公网DDoS系统进行引流,以使所述公网DDoS系统与公网DNS联动,将网络流量牵引到公网DDoS系统进行清洗,并将清洗后的网络流量通过所述备份链路回注回所述被保护网络。
[0105] 例如,参见图2,在企业网外部的公网上可以设置公网DDoS系统。
[0106] 第二通知模块通知公网DDoS系统进行引流时,可以具体是第二通知模块系统向公网DDoS系统发送启动引流消息。
[0107] 一些实施例中,参见图7,所述网络流量监控模块61还包括:
[0108] 停止模块614,用于停止对镜像流量的监控。
[0109] 例如,第一通知模块通知内网DDoS系统进行引流后,可以启动停止模块,或者,第二通知模块通知公网DDoS系统进行引流后,可以启动停止模块。
[0110] 其中,停止模块停止对镜像流量的监控可以具体包括:
[0111] 停止模块向出口设备发送指示消息,出口设备根据该指示消息停止镜像或分光处理;或者,
[0112] 停止模块触发监控模块停止对镜像流量进行分析处理。
[0113] 一些实施例中,参见图7,所述网络流量监控模块61还包括:
[0114] 配置模块615,用于对所述出口设备进行配置,使得配置后的出口设备对主出口链路上的网络流量进行丢弃处理。
[0115] 例如,第二通知模块通知公网DDoS系统进行引流后,可以启动配置模块。
[0116] 例如,配置模块为出口设备配置一条黑洞路由,从而主出口链路上的网络流量就会被出口设备全部丢弃。
[0117] 本实施例中,通过在网络流量大于或等于告警值时,由公网DDoS系统进行处理,可以解决企业级DDoS产品不能用于网络流量大于出口带宽的情况,实现在网络流量较大时依然可以处理链路型DDoS攻击,通过在网络流量小于告警值时,由内网DDoS系统进行处理,可以在此场景下不需要运营商DDoS产品的参与,避免安全隐患。从而通过在网络流量不同情况下由不同的DDoS产品进行处理,可以结合企业级DDoS产品和运营商DDoS产品的优点,在不限定网络流量的基础上,尽量保证安全性。
[0118] 一些实施例中,所述第一通知模块用于通知所述被保护网络的内网DDoS系统进行引流,包括:网络流量监控系统向所述被保护网络的内网DDoS系统发送启动引流消息;
[0119] 参见图8,所述系统还包括:内网DDoS系统62,所述内网DDoS系统62包括:
[0120] 第一接收模块621,用于接收网络流量监控系统发送的启动引流消息。
[0121] 第一引流配置模块622,用于在第一接收模块接收网络流量监控系统发送的启动引流消息后,对所述被保护网络的出口设备进行引流配置,使得引流配置后的出口设备将主出口链路的网络流量牵引到内网DDoS系统上;
[0122] 可选的,所述第一引流配置模块用于对所述被保护网络的出口设备进行引流配置,包括:
[0123] 向所述出口设备配置BGP。
[0124] 出口设备被配置BGP后,会将主出口链路的网络流量发送给内网DDoS系统,实现网络流量的牵引。其中,BGP是已有协议,因此可以采用已有的配置方式完成BGP配置。
[0125] 第一清洗模块623,用于对牵引过来的网络流量进行清洗,并将清洗后的网络流量回注到所述出口设备上,使得所述出口设备将回注的网络流量发送到内网服务器上;
[0126] 其中,第一清洗模块可以采用已有的企业级DDoS产品的清洗策略对网络流量进行清洗。
[0127] 在清洗后,第一清洗模块可以将清洗后的网络流量再发送给出口设备,实现网络流量的回注。
[0128] 出口设备上可以预先配置路由策略,该路由策略例如包括:当网络流量的源地址是内网DDoS系统时,则目的地址是内网服务器,则通过该路由策略,参见图2,内网DDoS系统回注到出口设备的网络流量将被出口设备发送给内网服务器。通过配置该路由策略,可以避免重复引流导致环路问题。
[0129] 第一取消模块624,用于检查是否存在DDoS攻击,如果预设时间内都没有DDoS攻击,则取消所述出口设备上的引流配置,并通知所述网络流量监控系统重新启动监控。
[0130] 其中,第一取消模块可以采用已有手段检查是否存在DDoS攻击。
[0131] 在预设时间内都不存在DDoS攻击时,则第一取消模块可以取消对出口设备的BGP配置。
[0132] 另外,如图3所示,网络流量监控系统在通知内网DDoS系统进行引流后,会停止对镜像流量的监控。而当第一取消模块取消对出口设备的BGP配置后,可以向网络流量监控系统发送指示消息,该指示消息用于指示网络流量监控系统重新启动监控。
[0133] 本实施例中,内网DDoS系统接收到启动引流消息后,对出口设备进行引流配置,可以实现将网络流量牵引到内网DDoS系统,从而实现内网DDoS系统对网络流量的清洗,防止链路型DDoS攻击。
[0134] 一些实施例中,所述第二通知模块用于所述通知公网DDoS系统进行引流,包括:网络流量监控系统向公网DDoS系统发送启动引流消息;
[0135] 参见图8,所述系统还包括:公网DDoS系统63,所述公网DDoS系统63包括:
[0136] 第二接收模块631,用于接收网络流量监控系统发送的启动引流消息。
[0137] 第二引流配置模块632,用于在第二接收模块接收网络流量监控系统发送的启动引流消息后,对公网DNS进行引流配置,使得引流配置后的公网DNS将原本要发送到所述被保护网络的网络流量牵引到公网DDoS系统上;
[0138] 其中,启动引流消息中可以包括:被保护的网络的域名,被保护的网络的出口设备的备份链路的IP地址。
[0139] 相应的,所述第二引流配置模块用于对公网DNS进行引流配置,包括:
[0140] 公网DDoS系统向公网DNS发送配置消息,该配置消息中包含被保护的网络的域名、第一IP地址,使得公网DNS接收到配置消息后,将预先存储的与被保护的域名对应的IP地址更改为所述第一IP地址,其中,所述第一IP地址是预先建立的与被保护的网络的出口设备的备份链路的IP地址关联的IP地址。
[0141] 其中,公网DNS内会预先存储域名与IP地址的对应关系,以便根据域名解析出IP地址,再根据IP地址进行网络流量的传输。通常,由于网络流量是需要发送给被保护的网络,且通过被保护的网络的出口设备的主出口链路进行传输,假设被保护的网络的域名是A,主出口链路的IP地址是IP1,则在公网DNS内原本存储的是A与IP1的对应关系。为了实现将网络流量引流到公网DDoS系统上,则需要将原本发送给被保护的网络的网络流量转发给公网DDoS系统,则需要在公网DNS内将A对应的IP地址更改为公网DDoS系统的IP地址。
[0142] 由于公网DDoS系统可以与多个企业网等被保护网络进行通信,公网DDoS系统可以对应不同的被保护网络设置不同的IP地址,因此,公网DDoS系统内可以预先存储一个地址池,该地址池内可以存储不同IP地址之间的关联关系。例如,域名A的被保护网络的出口设备的备份链路的IP地址是IP2,公网DDoS系统内预先存储与IP2关联的IP地址是IP3,则上述的第一IP地址是IP3,公网DDoS系统可以指示公网DNS将与A对应的IP地址从IP1修改为IP3。
[0143] 第二清洗模块633,用于对牵引过来的网络流量进行清洗,并将清洗后的网络流量通过所述备份链路回注到所述被保护网络上;
[0144] 其中,公网DNS进行IP地址修改后,可以将原本发送给被保护网络的网络流量发送给公网DDoS系统,实现了将网络流量牵引到公网DDoS系统上。
[0145] 在将网络流量牵引到公网DDoS系统上,第二清洗模块可以采用已有的运营商DDoS产品的清洗方式对网络流量进行清洗。
[0146] 在对网络流量进行清洗后,可以将清洗后的网络流量再发送给被保护的网络,实现网络流量的回注。
[0147] 在回注网络流量时,可以具体是将网络流量的目的地址修改为被保护网络的出口设备的备份链路的IP地址,例如,修改为IP2,则根据路由原理,该网络流量可以通过备份链路回注到被保护网络内。
[0148] 第二取消模块634,用于检查清洗后的网络流量,如果预设时间内清洗后的网络流量都低于所述预设的告警值,则取消所述公网DNS上的引流配置,并通知所述网络流量监控系统重新启动监控。
[0149] 其中,网络流量监控系统发送给公网DDoS系统的启动引流消息中还可以包括:预设的告警值,从而第二取消模块通过解析启动引流消息可以获取预设的告警值。
[0150] 在获取预设的告警值后,第二取消模块可以比对清洗后的网络流量与预设的告警值的大小,得到判断结果。
[0151] 在预设时间内清洗后的网络流量都低于告警值后,第二取消模块可以向公网DNS发送指示消息,公网DNS接收到该指示消息后可以将域名对应的IP地址恢复到之前的状态,例如,将A对应的IP地址由IP3恢复到IP1,从而后续的网络流量将通过主出口链路进入被保护网络。
[0152] 另外,如图3所示,网络流量监控系统在通知公网DDoS系统进行引流后,会停止对镜像流量的监控。而当第二取消模块取消对公网DNS的引流配置后,可以向网络流量监控系统发送指示消息,该指示消息用于指示网络流量监控系统重新启动监控。
[0153] 本实施例中,公网DDoS系统接收到启动引流消息后,对公网DNS进行引流配置,可以实现将网络流量牵引到公网DDoS系统,从而实现公网DDoS系统对网络流量的清洗,防止链路型DDoS攻击。
[0154] 需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是指至少两个。
[0155] 流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
[0156] 应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
[0157] 本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
[0158] 此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
[0159] 上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0160] 在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0161] 尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。