专利名称:双向在线方式的网吧流量集中式清洗系统及方法
技术领域:
本发明涉及网络安全领域,尤其涉及一种双向在线方式的网吧流量集中式清洗系 统及方法。
背景技术:
随着各个行业信息化水平的不断提高,越来越多企业用户的正常业务运营对于互 联网的依赖性也越来越高。目前由于互联网网络安全环境的日益恶化,使得这类客户的互 联网业务面临着极大的威胁和风险。其中,分布式拒绝服务(DDoS,Distributed Denial of Service)攻击是目前互联 网中存在的最常见、危害性最大的攻击形式之一。DDoS攻击是指借助于客户/服务器技术, 将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击。DDoS攻击由于攻 击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。近几年来由于商业竞争、政治情绪、经济勒索等因素的驱动,DDoS攻击越来越呈现 组织化、规模化、商业化的特点,攻击流量动辄数G、十几G,甚至几十G,攻击频率也大有愈 演愈烈之势,不但给各类企业客户的互联网应用、IT系统服务造成服务提供中断、系统瘫痪 等严重后果,造成重大经济损失;同时也严重威胁到电信运营商的基础设施,严重影响了基 础运营商骨干网络的质量和稳定运营,使得DDoS攻击成为目前互联网中存在的最常见、危 害性最大的安全问题之一。目前常用的DDoS攻击防御方法有两种,一种是末端清洗防护方法,通过在靠近被 保护目标的地方部署专用的流量清洗设备来进行防御,这种方法的特点是单点防御,只能 为本地用户提供清洗防护,而且防御能力有限,在发生大规模攻击后容易造成被保护目标 所在网络的拥塞或瘫痪,对于大规模、超大规模的DDoS攻击则无能为力。另外一种是源端清洗防护方法,通过采用“分布式部署、集中调度、近源清洗”的防 护机制,在攻击流量汇聚前,在靠近攻击源的多个骨干网节点处进行分布式清洗,可用来防 御十几G、几十G甚至上百G的大规模DDoS攻击。但由于该机制主要是在骨干网层面进行 清洗,对于城域网、互联网数据中心(IDC,Internet Data Center)等内部的相互攻击则难 以防御,同时由于清洗系统部署层面较高,难以部署精细化的防护策略;上述两个因素可能 导致造成部分攻击流量避开防护系统,难以为客户提供的精细化DDoS攻击防护。综上所述,如何对大规模DDoS攻击的异常流量进行有效清洗,提升全网的大规模 DDoS攻击防御能力成为本领域亟待解决的技术问题。
发明内容
本发明要解决的一个技术问题是提供一种双向在线方式的网吧流量集中式清洗 系统及方法,能够有效解决现有技术中存在的问题,可达到对大规模DDoS攻击的精细化流 量清洗,取得提高全网的大规模DDoS攻击防御能力的预期技术效果。本发明的一个方面提供了一种双向在线方式的网吧流量集中式清洗系统,该系统包括驻地设备PE,用于牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中心; 接收流量清洗中心清洗后的清洁流量,作为流量清洗中心的出口路由器设备,实现与城域 网之间的路由交换,并将清洁流量回注城域网的出口设备;流量清洗中心,用于接收驻地设 备PE牵引的网吧上下行流量,对经过的上下行流量进行实时的攻击监测,对确认的异常流 量进行清洗,并将清洗后的清洁流量发送给驻地设备PE;城域网的出口设备,用于接收网 吧上下行流量,并将网吧上下行流量发送至驻地设备PE ;以及将驻地设备PE返回的清洁流 量回注到目标客户端所在的网络。本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,驻地设 备PE还用于根据流量清洗中心的处理能力,对各个网吧用户使用DDoS防护进行流量限 制。本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,流量清 洗中心还用于区分正常流量和异常,以及根据异常流量的不同攻击特征,识别攻击类型。本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,流量清 洗中心对Flood类、DoS类攻击直接做识别清洗,对用户数据报文协议UDP、控制信道CC、僵 尸网络的应用层的攻击,结合深度包检测DPI进行识别清洗。本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,该系统 还包括业务路由器SR,以及在驻地设备PE和业务路由器SR之间配置多协议标签交换协 议虚拟专用网络MPLS VPN ;其中MPLS VPN用于将清洗后的清洁流量注入对端的业务路由器SR,务路由器SR用于 接收MPLS VPN注入的清洁流量,并通过相应的VPN路由转发表接口将清洁流量发送至目标 客户端。本发明的另一个方面提供了一种双向在线方式的网吧流量集中式清洗方法,该方 法包括驻地设备PE牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中心;流 量清洗中心接收驻地设备PE牵引的网吧上下行流量,对经过的上下行流量进行实时的攻 击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给驻地设备PE;驻地设 备PE接收流量清洗中心清洗后的清洁流量,并将清洁流量回注城域网的出口设备;城域网 的出口设备将驻地设备PE返回的清洁流量回注到目标客户端所在的网络。本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例中,该方法 还包括在步骤“驻地设备PE牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗 中心”之前,城域网的出口设备接收网吧上下行流量,并将网吧上下行流量发送至驻地设备 PE。本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例中,步骤 “对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗”进一步包括流 量清洗中心对上下行流量区分正常流量和异常,以及根据异常流量的不同攻击特征,识别 攻击类型;以及流量清洗中心对Flood类、DoS类攻击直接做识别清洗,对用户数据报文协 议UDP、控制信道CC、僵尸网络的应用层的攻击,结合深度包检测DPI进行识别清洗。本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例中,步骤 “驻地设备PE接收流量清洗中心清洗后的清洁流量,并将清洁流量回注城域网的出口设备” 进一步包括驻地设备PE接收流量清洗中心清洗后的清洁流量,作为流量清洗中心的出口路由器设备,实现与城域网之间的路由交换,并将清洁流量回注城域网的出口设备;以及驻 地设备PE根据流量清洗中心的处理能力,对各个网吧用户使用DDoS防护进行流量限制。本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例中,步骤 “城域网的出口设备将驻地设备PE返回的清洁流量回注到目标客户端所在的网络”进一步 包括在驻地设备PE和业务路由器SR之间配置多协议标签交换协议虚拟专用网络MPLS VPN ;MPLSVPN将清洗后的清洁流量注入对端的业务路由器SR ;以及业务路由器SR接收 MPLS VPN注入的清洁流量,并通过相应的VPN路由转发表接口将清洁流量发送至目标客户 端。本发明供的双向在线方式的网吧流量集中式清洗系统及方法,解决了现有的DDoS 防护技术所存在的清洗容量和清洗精度等问题,在降低业务规模部署成本的基础上,大大 提升了全网的大规模DDoS攻击防御能力,提高攻击流量的清洗精度。
图1示出本发明实施例提供的一种双向在线方式的网吧流量集中式清洗系统的 结构示意图;图2示出本发明提供的双向在线方式的网吧流量集中式清洗系统的另一个实施 例的结构示意图;图3示出本发明提供的双向在线方式的网吧流量集中式清洗系统的一个具体实 施例的组网结构示意图;图4示出本发明实施例提供的一种双向在线方式的网吧流量集中式清洗方法的 流程图;图5示出本发明提供的双向在线方式的网吧流量集中式清洗系统启动集中清洗 的一个具体实施例的流量流向示意图。
具体实施例方式下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。图1示出本发明实施例提供的一种双向在线方式的网吧流量集中式清洗系统的 结构示意图。如图1所示,双向在线方式的网吧流量集中式清洗系统100包括驻地设备PE 102、流量清洗中心104和城域网的出口设备106,其中驻地设备(PE,Premises Equipment) 102,用于牵引网吧上下行流量,并将网吧上 下行流量发送至流量清洗中心;接收流量清洗中心清洗后的清洁流量,作为流量清洗中心 的出口路由器设备,实现与城域网之间的路由交换,并将清洁流量回注城域网的出口设备。 例如,PE主要功能是终结穿过城域网的承载用户流量的隧道,对网吧上下行流经城域网的 流量进行牵引/导引,同时其还作为流量清洗中心的出口路由器设备,将清洗后的流量馈 入城域网,与城域网进行路由的交换和控制。流量清洗中心104,用于接收驻地设备PE牵引的网吧上下行流量,对经过的上下 行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给 驻地设备PE。例如,流量清洗中心可以是一个专门的DDoS攻击清洗设备或由该专门的DDoS攻击清洗设备构成的设备组,当网吧的上下行流量被“牵引”到该流量清洗中心后,其能够 通过限速或过滤等手段遏制攻击流量,同时保证合法的数据包能继续传送到目标地址。
城域网的出口设备106,用于接收网吧上下行流量,并将网吧上下行流量发送至驻 地设备PE ;以及将驻地设备PE返回的清洁流量回注到目标客户端所在的网络。本发明提供的双向在线方式的网吧流量集中式清洗系统及方法,可以依托运营商 一个或多个骨干网络、目标客户所在城域网,以及DDoS攻击清洗中心来实现。在技术实现 层面,主要涉及流量监测、流量牵引、流量清洗和流量回注等几个环节;具体来说1)流量监测对于网吧流量,由于网吧业务对于实时性要求较高,并且所遭受的 攻击很多持续时间较短,优选采用实时在线清洗的方式;网吧的上下行流量,都是实时经过 清洗中心。清洗设备对于经过的上下行流量,进行实时的攻击监测与识别,一旦确认DDoS 攻击发生,立即进行流量清洗操作。2)流量牵引在城域网内,通过驻地设备PE终结穿过城域网的承载用户流量的隧 道,PE与城域网出口设备建立IBGP关系(内部边界网关协议,Internal Border Gateway Protocol), PE上通告网吧更明细IBGP路由给出口设备,出口设备将下行流量牵引到ΡΕ。 出口设备下连PE接口定义两个子接口,一种是交换IBGP的Global接口,一种是MPLS VPN 接口。其中,采用IBGP接口牵引流量到新PE,MPLS VPN接口负责回注VPN流量,此时出口 设备作为P路由器,从而将网吧上下行流经城域网的流量牵引到清洗中心进行流量清洗。3)流量清洗清洗中心采用Anycast机制(Anycast最初在RFC1546中定义,即在 IP网络上通过一个Anycast地址标识一组提供特定服务的接口,同时服务访问方并不关心 提供服务的具体是哪一个接口,发送到该接口的报文被网络路由到路由协议度量的“最近” 的目标接口上。)进行路由策略的配置,可采用多组Anycast地址,全部或某些清洗中心使 用同一个Loopback IP地址作为对外服务地址,可根据需要实现全网或部分节点的负载分 担,实现全网清洗中心资源的统一调度,在最大程度上降低大规模DDoS攻击流量对骨干网 络造成的冲击或影响。此外,清洗中心区分正常和异常流量,并根据异常流量的不同攻击特征,对传统的 Flood 类(例如 ICMP Flood 攻击、UDP Flood 攻击、SYN Flood 攻击、UDP Flood 攻击)、DoS 类(拒绝服务攻击,Denial Of Service)攻击做识别清洗,以及结合DPI (深度包检测,De印 Packet Inspection)攻击检测增强对UDP(用户数据报文协议,User Datagram Protocol)、 CC(控制信道,Control Channel)、僵尸网络的应用层攻击识别。整个的防护流程基于层层 过滤,并采用关键指纹防护技术(主要是指针对某些有特征的IP攻击包创建指纹,在具体 流量检测过程中,及时发现流量中所存在的这些特征IP包,以提高检测的效率和精度。此 处的指纹主要指针对特征IP包所形成的特定的字符串),深度检测用户流量形成攻击指 纹,匹配动态识别指纹后清洗(动态识别的主要原理是识别之初会根据正常流量环境动态 生成一些数据指标的基线阈值,建立流量模型,一旦出现攻击行为,会基于事先形成的基线 值对异常情况进行初判和预警,这些基线值包括流量相关的、数据包相关的等)。通过这样 的方式完成对复杂攻击流量的识别区分,达到清洗效果。4)流量回注经过流量清洗后,正常流量被重新转发回网络,到达原来的目标地 址。本方案采用MPLS VPN的回注方式利用城域网络及驻地设备PE都支持MPLS VPN(多 协议标签交换协议虚拟专用网络,Multi-Protocol Label Switch Virtual PrivateNetwork)能力,高效简洁地实现“清洁流量”的回送。例如在PE和SR(业务路由器,Service Router)之间配置MPLS VPN,本地网内部发起的流量以及从骨干网进入本地网的流量被清 洗后,清洁流量通过本地网内部的MPLS VPN注入对端的SR路由器,并通过相应的VRF (VPN 路由转发表,VPN Routing Forwarding Table)接口达到目标客户端,从而最终完成了清洁 流量的回注。本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,驻地设 备PE还用于根据流量清洗中心的处理能力,对各个网吧用户使用DDoS防护进行流量限 制。例如,驻地设备PE根据流量清洗中心安全功能模块的处理能力,在该路由器上对各个 网吧DDoS防护使用用户进行流量限制,避免由于单个用户受到超大流量攻击而影响其他 用户的行为。本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,流量清 洗中心还用于区分正常流量和异常,以及根据异常流量的不同攻击特征,识别攻击类型。本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,流量清 洗中心对Flood类、DoS类攻击直接做识别清洗,对用户数据报文协议UDP、控制信道CC、僵 尸网络的应用层的攻击,结合深度包检测DPI进行识别清洗。本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例,解决了现 有的DDoS防护技术所存在的清洗容量和清洗精度等问题,为广大网吧客户端提供了 DDoS 攻击的防护服务,大大提高了网吧运营的安全性和业务延续性;同时也很好的解决了电信 运维部门面临的巨大压力,避免了大流量DDOS攻击给网络带宽造的冲击。图2示出本发明提供的双向在线方式的网吧流量集中式清洗系统的另一个实施 例的结构示意图。如图2所示,双向在线方式的网吧流量集中式清洗系统200主要包括驻地设备 PE 202、流量清洗中心204、城域网的出口设备206和业务路由器SR 208,其中;其中流量监 测子系统202可以是与图1所示驻地设备PE 102、流量清洗中心104和城域网的出口设备 106具有相同或相似的功能模块;为简洁起见,这里不再赘述。如图2所示,双向在线方式的网吧流量集中式清洗系统200还包括业务路由器SR 208,以及在驻地设备PE 202和业务路由器SR 208之间配置的MPLS VPN 210 ;其中MPLS VPN用于将清洗后的清洁流量注入对端的业务路由器SR,业务路由器SR用于接收MPLS VPN 注入的清洁流量,并通过相应的VPN路由转发表接口将清洁流量发送至目标客户端。图3示出本发明提供的双向在线方式的网吧流量集中式清洗系统的一个具体实 施例的组网结构示意图。如图3所示,本发明提供的双向在线方式的网吧流量集中式清洗系统在城域网出 口路由器旁接挂PE设备,PE设备通过两条上行链路分别与两台出口设备连接,同时下行链 路连接流量清洗中心。在SR和PE间建立MPLS VPN,分散在不同SR上的网吧客户端通过 MPLSVPN的方式将网吧流量汇聚到PE设备,统一网吧客户端的流量出口,集中进行安全防 护。在该组网方案中,PE与城域网出口设备建立IBGP关系,PE上通告网吧更明细IBGP 路由给出口设备,出口设备将下行流量牵引到PE。出口设备下连PE接口定义两个子接口, 一种是交换IBGP的Global接口,一种是MPLS VPN接口。其中,采用IBGP接口牵引流量到新PE,MPLS VPN接口负责回注VPN流量,此时出口设备作为P路由器。PE与流量清洗设备 建立EBGP关系,在PE上将网吧对应的子接口或VLAN接口与相应VPN的VRF进行绑定,实 现不同网吧流量通过不同的VPN进行回注。本发明提供的双向在线方式的网吧流量集中式清洗系统的一个实施例中,为目前 组网方式较为简单的网吧提供了有效的DDoS攻击防护手段,提高了其抵抗大规模DDoS攻 击的能力;同时由于采用专用通道实现清洁流量的远程回注,从而有效节省骨干网带宽资 源,避免了对网络资源的占用和浪费。图4示出本发明实施例提供的一种双向在线方式的网吧流量集中式清洗方法的 流程图。如图4所示,双向在线方式的网吧流量集中式清洗方法600包括步骤402,驻地 设备PE牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中心。例如,PE主要功 能是终结穿过城域网的承载用户流量的隧道,对网吧上下行流经城域网的流量进行导引。步骤404,流量清洗中心接收驻地设备PE牵引的网吧上下行流量,对经过的上下 行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给 驻地设备PE。例如,流量清洗中心可以是一个专门的DDoS攻击清洗设备或由该专门的DDoS 攻击清洗设备构成的设备组,当网吧的上下行流量被“牵引”到该流量清洗中心后,其能够 通过限速或过滤等手段遏制攻击流量,同时保证合法的数据包能继续传送到目标地址。步骤406,驻地设备PE接收流量清洗中心清洗后的清洁流量,并将清洁流量回注 城域网的出口设备。例如,驻地设备PE接收流量清洗中心清洗后的清洁流量,作为流量清 洗中心的出口路由器设备,实现与城域网之间的路由交换,并将清洁流量回注城域网的出 口设备步骤408,城域网的出口设备将驻地设备PE返回的清洁流量回注到目标客户端所 在的网络。例如,在驻地设备PE和业务路由器SR之间配置多协议标签交换协议虚拟专用 网络MPLS VPN ;MPLS VPN将清洗后的清洁流量注入对端的业务路由器SR ;以及业务路由器 SR接收MPLS VPN注入的清洁流量,并通过相应的VPN路由转发表接口将清洁流量发送至目 标客户端。本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例,该方法还 包括在步骤“驻地设备PE牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中 心”之前,城域网的出口设备接收网吧上下行流量,并将网吧上下行流量发送至驻地设备 PE。本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例,步骤“对 经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗”进一步包括流量 清洗中心对上下行流量区分正常流量和异常,以及根据异常流量的不同攻击特征,识别攻 击类型;以及流量清洗中心对flood类、DoS类攻击直接做识别清洗,对用户数据报文协议 UDP、控制信道CC、僵尸网络的应用层的攻击,结合深度包检测DPI进行识别清洗。本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例,驻地设备 PE根据流量清洗中心的处理能力,对各个网吧用户使用DDoS防护进行流量限制。本发明提供的双向在线方式的网吧流量集中式清洗方法的一个实施例,解决了现 有的DDoS防护技术所存在的清洗容量和清洗精度等问题,为广大网吧客户端提供了 DDoS攻击的防护服务,大大提高了网吧运营的安全性和业务延续性;同时也很好的解决了电信 运维部门面临的巨大压力,避免了大流量DDOS攻击给网络带宽造的冲击。图5示出本发明提供的双向在线方式的网吧流量集中式清洗系统启动集中清洗 的一个具体实施例的流量流向示意图。本实例将结合电信的城域网对网吧流量的双向在线式集中清洗方案作进一步的 详细描述。由于各地市的网吧分布在城域网各个节点,流量实际上是分散的。因此通过部 署MPLS VPN,将各个不同节点上的网吧数据聚集到一台PE设备节点,然后进行集中的流量清洗。如图5所示,在城域网出口路由器旁挂PE设备,PE设备通过两条万兆(10GE)上 行链路分别与两台出口设备连接,同时下连流量清洗中心的清洗设备。在SR和PE间建立 MPLS VPN,分散在不同SR上的网吧客户通过MPLS VPN的方式将网吧流量汇聚到PE路由器。图5中“ _^ ”所示流向,代表被牵引的网吧正常流量,包括网吧客户端上
行流量和从骨干网下行的流量;《___.,,所示流向,代表被牵引的异常流量,可以是来
自同一城域网的客户端,也可以是来自骨干网的其它客户端;《 ...........^,,所示流向,代
表清洗后回注到目标客户端的流量。清洗中心采用实时在线的方式,无论攻击是否存在异 常攻击流量都把需防护的网吧联盟用户的流量通过MPLS VPN引入清洗中心,检测流量中是 否有异常。从城域网外部进入的数据流量,其目的IP指向网吧的混合数据报文(正常报文 和攻击报文的混杂),将通过主机路由到清洗中心进行流量的监测和清洗,监测和清洗之后 的清洁流量将通过清洗设备转到PE,再通过PE采用MPLS VPN技术回注到每个网吧的出口 路由器上。参考前述本发明示例性的描述,本领域技术人员可以清楚的知晓本发明具有以下 优点1、本发明提供的双向在线方式的网吧流量集中式清洗系统及方法的一个实施例, 解决了现有的DDoS防护技术所存在的清洗容量和清洗精度等问题,为广大网吧客户端提 供了 DDoS攻击的防护服务,大大提高了网吧运营的安全性和业务延续性;同时也很好的解 决了电信运维部门面临的巨大压力,避免了大流量DDOS攻击给网络带宽造的冲击。2、本发明提供的双向在线方式的网吧流量集中式清洗系统及方法的一个实施例, 为目前组网方式较为简单的网吧提供了有效的DDoS攻击防护手段,提高了其抵抗大规模 DDoS攻击的能力;同时由于采用专用通道实现清洁流量的远程回注,从而有效节省骨干网 带宽资源,避免了对网络资源的占用和浪费,提升防护设备的利用效率。本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明 限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描 述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理 解本发明从而设计适于特定用途的带有各种修改的各种实施例。
权利要求
一种双向在线方式的网吧流量集中式清洗系统,其特征在于,所述系统包括驻地设备PE,用于牵引网吧上下行流量,并将所述网吧上下行流量发送至流量清洗中心;接收所述流量清洗中心清洗后的清洁流量,作为流量清洗中心的出口路由器设备,实现与城域网之间的路由交换,并将所述清洁流量回注城域网的出口设备;所述流量清洗中心,用于接收所述驻地设备PE牵引的所述网吧上下行流量,对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给所述驻地设备PE;所述城域网的出口设备,用于接收所述网吧上下行流量,并将所述网吧上下行流量发送至所述驻地设备PE;以及将所述驻地设备PE返回的所述清洁流量回注到目标客户端所在的网络。
2.根据权利要求1所述的系统,其特征在于,所述驻地设备PE还用于根据所述流量 清洗中心的处理能力,对各个网吧用户使用DDoS防护进行流量限制。
3.根据权利要求1所述的系统,其特征在于,所述流量清洗中心还用于区分正常流量 和异常,以及根据所述异常流量的不同攻击特征,识别攻击类型。
4.根据权利要求3所述的系统,其特征在于,所述流量清洗中心对Flood类、DoS类攻 击直接做识别清洗,对用户数据报文协议UDP、控制信道CC、僵尸网络的应用层的攻击,结 合深度包检测DPI进行识别清洗。
5.根据权利要求1所述的系统,其特征在于,所述系统还包括业务路由器SR,以及在 所述驻地设备PE和所述业务路由器SR之间配置多协议标签交换协议虚拟专用网络MPLS VPN ;其中所述MPLS VPN用于将所述清洗后的清洁流量注入对端的业务路由器SR,所述业务路 由器SR用于接收所述MPLS VPN注入的清洁流量,并通过相应的VPN路由转发表接口将所 述清洁流量发送至目标客户端。
6.一种双向在线方式的网吧流量集中式清洗方法,其特征在于,所述方法包括驻地设备PE牵引网吧上下行流量,并将所述网吧上下行流量发送至流量清洗中心;所述流量清洗中心接收所述驻地设备PE牵引的所述网吧上下行流量,对经过的上下 行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给 所述驻地设备PE ;所述驻地设备PE接收所述流量清洗中心清洗后的清洁流量,并将所述清洁流量回注 城域网的出口设备;所述城域网的出口设备将所述驻地设备PE返回的所述清洁流量回注到目标客户端所 在的网络。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括在步骤“驻地设备PE牵引网吧上下行流量,并将所述网吧上下行流量发送至流量清洗 中心”之前,所述城域网的出口设备接收所述网吧上下行流量,并将所述网吧上下行流量发 送至所述驻地设备PE。
8.根据权利要求7所述的方法,其特征在于,步骤“对经过的上下行流量进行实时的攻 击监测,对确认的异常流量进行清洗”进一步包括所述流量清洗中心对所述上下行流量区分正常流量和异常,以及根据所述异常流量的不同攻击特征,识别攻击类型;以及所述流量清洗中心对Flood类、DoS类攻击直接做识别清洗,对用户数据报文协议UDP、 控制信道CC、僵尸网络的应用层的攻击,结合深度包检测DPI进行识别清洗。
9.根据权利要求7所述的方法,其特征在于,步骤“所述驻地设备PE接收所述流量清 洗中心清洗后的清洁流量,并将所述清洁流量回注城域网的出口设备”进一步包括所述驻地设备PE接收所述流量清洗中心清洗后的清洁流量,作为流量清洗中心的出 口路由器设备,实现与城域网之间的路由交换,并将所述清洁流量回注城域网的出口设备; 以及所述驻地设备PE根据所述流量清洗中心的处理能力,对各个网吧用户使用DDoS防护 进行流量限制。
10.根据权利要求7所述的方法,其特征在于,步骤“所述城域网的出口设备将所述驻 地设备PE返回的所述清洁流量回注到目标客户端所在的网络”进一步包括在所述驻地设备PE和所述业务路由器SR之间配置多协议标签交换协议虚拟专用网络 MPLS VPN ;所述MPLS VPN将所述清洗后的清洁流量注入对端的业务路由器SR ;以及所述业务路由器SR接收所述MPLS VPN注入的清洁流量,并通过相应的VPN路由转发 表接口将所述清洁流量发送至目标客户端。
全文摘要
本发明公开一种双向在线方式的网吧流量集中式清洗系统及方法,该方法包括驻地设备牵引网吧上下行流量,并将网吧上下行流量发送至流量清洗中心;流量清洗中心接收驻地设备牵引的网吧上下行流量,对经过的上下行流量进行实时的攻击监测,对确认的异常流量进行清洗,并将清洗后的清洁流量发送给驻地设备;驻地设备接收流量清洗中心清洗后的清洁流量,并将清洁流量回注城域网的出口设备;城域网的出口设备将驻地设备返回的清洁流量回注到目标客户端所在的网络。本发明提供了有效的DDoS攻击防护手段,提高了其抵抗大规模DDoS攻击的能力;同时由于采用专用通道实现清洁流量的远程回注,从而有效节省骨干网带宽资源,避免了对网络资源的占用和浪费,提升防护设备的利用效率。
文档编号H04L12/56GK101917425SQ201010248378
公开日2010年12月15日 申请日期2010年8月9日 优先权日2010年8月9日
发明者周斯宁, 沈军 申请人:中国电信股份有限公司