监控网络流量的方法、装置及服务器与流程

本申请涉及网络技术领域，尤其涉及一种监控网络流量的方法、装置及服务器。

背景技术：

当互联网数据中心(internetdatacenter，简称为idc)内部的任意一台服务器遭受大流量分布式拒绝服务(distributeddenialofservice，简称为ddos)攻击时，均可能引起互联网服务提供商(internetserviceprovider，简称为isp)到idc的网络拥塞，现有技术通常会在isp网络设备上将流量进行黑洞处理，例如，当idc内部的服务器a遭受大流量ddos攻击时，isp网络设备如果发现网络目的地址为idc内的服务器a，则将网络流量丢弃，从而使网络流量不会转发到idc网络设备上，保护了isp到idc的带宽。现有技术只是为了保障isp到idc的带宽不被拥塞，对于被丢弃的流量完全不可知。

技术实现要素：

有鉴于此，本申请提供一种新的技术方案，可以通过对idc网络设备丢弃的网络流量进行检测和分析，从而清晰地了解到网络流量的攻击状态，进而在网络流量的源ip地址侧堵住流量攻击，降低防御难度和防御带宽成本。

为实现上述目的，本申请提供技术方案如下：

根据本申请的第一方面，提出了一种监控网络流量的方法，包括：

确定来自isp侧的网络设备的网络流量的源ip地址是否为伪造的ip地 址；

如果所述源ip地址为非伪造的ip地址，向所述源ip地址发送探测报文；

如果接收到所述源ip地址对应的设备根据所述探测报文返回的应答报文，向所述源ip地址侧对应的第一流量清洗设备发送用于对所述源ip地址的网络流量进行流量清洗的第一通知消息。

根据本申请的第二方面，提出了一种监控网络流量的装置，包括：

第一确定模块，用于确定来自isp侧的网络设备的网络流量的源ip地址是否为伪造的ip地址；

第一发送模块，用于如果所述第一确定模块确定所述源ip地址为非伪造的ip地址，向所述源ip地址发送探测报文；

第二发送模块，用于如果接收到所述源ip地址对应的设备根据所述第一发送模块发送的所述探测报文返回的应答报文，向所述源ip地址侧对应的第一流量清洗设备发送用于对所述源ip地址的网络流量进行流量清洗的第一通知消息。

根据本申请的第三方面，提出了一种服务器，所述服务器包括：

处理器；用于存储所述处理器可执行指令的存储器；网络接口；

其中，所述网络接口，用于接收来自isp侧的网络设备的网络流量；

处理器，用于确定所述网络接口接收到的网络流量的源ip地址是否为伪造的ip地址；

所述网络接口，还用于如果所述处理器确定所述源ip地址为非伪造的ip地址，向所述源ip地址发送探测报文；

如果接收到所述源ip地址对应的设备根据所述探测报文返回的应答报文，向所述源ip地址侧对应的第一流量清洗设备发送用于对所述源ip地址的网络流量进行流量清洗的第一通知消息。

由以上技术方案可见，本申请在源ip地址为非伪造的ip地址时，向源ip地址发送探测报文，如果接收到源ip地址对应的设备根据探测报文返回的应答报文，向源ip地址侧对应的第一流量清洗设备发送用于对源ip地址 的网络流量进行流量清洗的第一通知消息，从而可以使源ip地址对应的流量清洗设备对源ip地址发送的网络流量进行近源清洗，实现了按照攻击源的地区下发清洗策略，将攻击在源头进行堵截，减少了攻击目的地的网络拥塞情况，降低了目的地的防御难度和防御带宽成本。

附图说明

图1示出了根据本发明实施例提供的监控网络流量的方法所适用的网络拓扑图；

图2示出了根据本发明的一示例性实施例的监控网络流量的方法的流程示意图；

图3示出了根据本发明的又一示例性实施例的监控网络流量的方法的流程示意图；

图4示出了根据本发明的再一示例性实施例的监控网络流量的方法的流程示意图；

图5示出了根据本发明的一示例性实施例的网络设备的结构示意图；

图6示出了根据本发明的一示例性实施例的监控网络流量的装置的结构示意图；

图7示出了根据本发明的又一示例性实施例的监控网络流量的装置的结构示意图；

图8示出了根据本发明的再一示例性实施例的监控网络流量的装置的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一 些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

图1示出了根据本发明实施例提供的监控网络流量的方法所适用的网络拓扑图；如图1所示，idc侧包括网络设备11、服务器121、服务器122、…服务器12n、流量清洗设备14(也可称为本申请下述实施例中的第二流量清洗设备)、清洗设备配置服务器15，其中，n为idc侧的提供业务的服务器的数量，isp侧包括网络设备16。其中，可以在idc侧配置有网络设备13和至少一台服务器120(图1以一台服务器120作为示例性说明)，网络设备13用于将网络设备11需要黑洞的网络流量按照网络设备11指定的目的地转发至至少一个服务器120中的对应服务器。其中，服务器120也可以称为蜜罐处理设备，网络设备13可以称为蜜罐网络设备。

在通常情况下，流量清洗设备14通过镜像流量清洗设备14和网络设备11之间的流量对出入idc机房的流量进行监测。监测的方式是，通过计算设定时间段内到达idc机房内的服务器的流量与该服务器对应的流量阈值进行比较。如果网络流量的大小超过清洗阈值，则流量清洗设备14启动流量清洗；如果网络流量的大小超过黑洞阈值，可以将网络流量视为攻击流量，向网络设备11发布蜜罐牵引请求，网络设备11在接收到蜜罐牵引请求后，向网络 设备16发布蜜罐牵引请求，网络设备16接收到蜜罐牵引请求后，按照牵引目的地将流量牵引至网络设备13，网络设备13按照指定目的地将网络流量转发至服务器120，从而使服务器120通过本申请对网络流量进行监控。清洗设备配置服务器15用于记录服务器121、服务器122、…服务器12n各自对应的牵引阈值和黑洞阈值，例如，服务器121的牵引阈值为20mbit/s，黑洞阈值为100mbit/s，服务器121的ip地址为10.1.1.1，正常流量信息为10mbit/s。流量清洗设备14以秒为单位统计目的ip地址为10.1.1.1的网络流量，一旦网络流量达到牵引阈值20mbit/s，流量清洗设备14执行清洗，如果从网络设备11到达服务器121的网络流量到达100mbit/s，流量清洗设备14会通过网络设备11向网络设备16下发将流量牵引至网络设备13的通知消息，网络设备16将网络流量通过网络设备13转发至服务器120。服务器120通过本申请对目的ip地址为10.1.1.1的网络流量进行监控。

为对本申请进行进一步说明，提供下列实施例：

图2示出了根据本发明的一示例性实施例的监控网络流量的方法的流程示意图；本实施例结合图1进行示例性说明，本实施例可以通过上述图1中的服务器120实现，如图2所示，包括如下步骤：

步骤201，确定来自isp侧的网络设备的网络流量的源ip地址是否为伪造的ip地址，如果源ip地址为非伪造的ip地址，执行步骤202，如果源ip地址为伪造的ip地址，继续接收来自isp侧的网络设备的网络流量。

在一实施例中，来自isp侧的网络设备16的网络流量可以为isp侧的网络设备16需要执行黑洞的网络流量。在一实施例中，服务器120可以通过分析网络流量的数据报文中的源ip地址，结合该源ip地址对应的地理信息以及数据报文中的生存时间(time-to-live，简称为ttl)等信息，确定网络流量对应的源ip地址的地理位置与ttl是否一致，如果相一致，则视为非伪造的ip地址，如果不一致，则视为伪造的ip地址。

步骤202，如果源ip地址为非伪造的ip地址，向源ip地址发送探测报文。

在一实施例中，探测报文可以为控制报文协议(internetcontrolmessageprotocol，简称为icmp)包。

步骤203，如果接收到源ip地址对应的设备根据探测报文返回的应答报文，向源ip地址侧对应的第一流量清洗设备发送用于对源ip地址的网络流量进行流量清洗的第一通知消息。

在一实施例中，如果接收到源ip地址对应的设备根据探测报文返回的应答报文，即可确定该源ip地址对应一个真实的发送数据报文的源设备，从而可以根据该源ip地址确定源ip地址对应的第一流量清洗设备，进而使第一流量清洗设备对该源ip地址发送的网络流量进行近源清洗。

由上述描述可知，本发明实施例在源ip地址为非伪造的ip地址时，向源ip地址发送探测报文，如果接收到源ip地址对应的设备根据探测报文返回的应答报文，向源ip地址侧对应的第一流量清洗设备发送用于对源ip地址的网络流量进行流量清洗的第一通知消息，从而可以使源ip地址对应的流量清洗设备对源ip地址发送的网络流量进行近源清洗，实现了按照攻击源的地区下发清洗策略，将攻击在源头进行堵截，减少了攻击目的地的网络拥塞情况，降低了目的地的防御难度和防御带宽成本。

图3示出了根据本发明的又一示例性实施例的监控网络流量的方法的流程示意图；本实施例结合图1进行示例性说明，如图3所示，包括如下步骤：

步骤301，从来自isp侧的网络设备的网络流量的数据报文中获取源ip地址所在的地理位置信息以及数据报文的生存时间。

步骤302，确定地理位置信息以及数据报文的生存时间是否一致，如果地理位置信息与生存时间相一致，执行步骤303，如果地理位置信息与生存时间不一致，执行步骤307。

以idc侧的相关设备(如图1中所述的网络设备11、服务器121、服务器122、…服务器12n、流量清洗设备14)位于北京以及源ip地址位于杭州为例进行示例性说明，从杭州到北京的网络流量需要经过4-6个网络节点，数据报文在杭州发出时默认的ttl为255，则网络流量从杭州发往北京的 ttl的正常值的范围为【255-4，255-6】，如果服务器120监控的网络流量的数据报文的ttl不在上述范围内，认为源ip地址对应的地理信息与ttl不一致，可以认为网络流量的源ip地址是伪造的ip地址，如果服务器120监控的网络流量的数据报文的ttl在上述范围内，认为源ip地址对应的地理信息与ttl相一致，可以认为网络流量的源ip地址为非伪造的ip地址，也可视为真实的ip地址。

步骤303，如果地理位置信息与生存时间相一致，确定网络流量的源ip地址为非伪造的ip地址。

步骤304，确定网络流量所包含的数据报文的类型。

步骤305，根据数据报文的类型确定需要向源ip地址发送的探测报文。

在步骤304和步骤305中，网络流量所包含的数据报文的类型可以包括icmp包、tcp报文、udp报文、http报文等，通过从网络流量中提取例如icmp包、tcp报文、udp报文以及http报文等“正常”的报文，并试探性地向源ip地址回复探测报文，以探测攻击者的意图并根据报文交互情况进行防御。例如，当网络流量的数据报文为udp报文时，检查是否为已知常见的udp请求，如果检查到udp请求，确定该udp请求是否为dns请求，如果为dns请求，则向源ip地址发送dns响应，如果不是dns请求，则启动ip层icmp探测查看是否有来自源ip地址的应答；当数据报文为tcp报文时，根据sync报文的特征，可以构造相应的应答报文并观察sync报文发送者的后续动作，用以判断攻击者的意图；当数据报文为http报文时，分析http请求中的内容，利用httpredirect进行交互探测，观察攻击者的意图。

步骤306，如果接收到源ip地址对应的设备根据探测报文返回的应答报文，向源ip地址侧对应的第一流量清洗设备发送用于对源ip地址的网络流量进行流量清洗的第一通知消息。

步骤306的描述可以参见上述图2所示实施例的相关描述，在此不再详述。

步骤307，如果地理位置信息与生存时间不一致，确定网络流量的源ip地址为伪造的ip地址。

本实施例中，通过从海量的攻击数据中提取出“正常”的报文，例如常见的icmp、正常的tcp报文和udp报文，并试探性地向源ip地址回复探测报文，从而可以探测攻击者的意图，进而根据报文交互情况进行防御；此外，还可以通过分析特殊的探测报文(例如，icmp、tcp三次握手等)追溯到攻击发动者，解决ddos攻击的问题。

图4示出了根据本发明的再一示例性实施例的监控网络流量的方法的流程示意图；如图4所示，包括如下步骤：

步骤401，根据来自isp侧的网络设备的网络流量的目的ip地址对网络流量进行统计，得到统计结果。

在一实施例中，流量统计的内容可以包括：到达目的ip地址的数据报文的数量、设定时间段内的数据报文的大小、网络流量所包含的数据报文的组成成分，例如，tcp报文的占比、udp报文的占比、icmp报文的占比等等。

步骤402，将统计结果发送给清洗设备配置服务器，以供清洗设备配置服务器将所述统计结果转发给idc侧的第二流量清洗设备，第二流量清洗设备根据统计结果确定与网络流量相对应的清洗策略。

第二流量清洗设备可以为图1所示的流量清洗设备14，在一实施例中，流量清洗设备14可以根据统计结果确定与网络流量相对应的清洗策略，流量清洗设备14可以根据流量的大小确定是否需要启动流量清洗、停止流量清洗、启动蜜罐牵引、停止蜜罐牵引等等策略，例如，如果根据统计结果确定流量小于黑洞阈值，向网络设备11发布停止蜜罐牵引的请求，网络设备11在接收到停止蜜罐牵引的请求后，向网络设备16发布停止蜜罐牵引的请求，网络设备16接收到停止蜜罐牵引的请求后，停止向网络设备13转发网络流量，并将该网络流量发送至网络设备11，网络设备11按照指定目的地将网络流量转发至例如服务器121。

步骤403，根据统计结果确定当前被攻击目的ip地址的流量。

步骤404，当当前被攻击目的ip地址的流量小于预设阈值时，向isp侧的网络设备发送用于停止流量牵引的第二通知消息。

例如，当前被攻击的目的ip地址为服务器121的ip地址，服务器120统计到的流向服务器121的网络流量低于蜜罐牵引对应的黑洞阈值100mbit/s(本实施例中的预设阈值)时，服务器120会通过网络设备13发送用于停止流量牵引的第二通知消息，网络设备13将该用于停止流量牵引的第二通知转发给网络设备16，从而使网络设备根据该第二通知消息取消蜜罐牵引，继续将向服务器121的网络流量通过网络设备11转发给服务器121，从而缩短服务器121不可用的时间。

本实施例中，当当前被攻击目的ip地址的流量小于预设阈值时，可以实时监测目的ip地址的攻击动态，当攻击结束即可通知isp侧的网络设备将流量牵引还原，从而尽可能地减少了目的ip地址的不可用时间。

通过上述实施例，当isp侧的网络设备需要将网络流量进行黑洞时，通过将需要黑洞的网络流量转发至服务器120，服务器120对网络流量进行分析，从而解决黑洞状态下的流量无法分析问题，在确保isp侧的网络设备与idc侧的网络设备之间的带宽不被拥塞的同时，还可以获取到网络流量的攻击来源以及当前的攻击状态，从而可以通过“近源清洗”等手段将攻击流量扼杀在源头，大幅降低被攻击设备的流量。

对应于上述的监控网络流量的方法，本申请还提出了图5所示的根据本申请的一示例性实施例的服务器的示意结构图。请参考图5，在硬件层面，该服务器的包括处理器、内部总线、网络接口、内存以及非易失性存储器，当然还可能包括其他业务所需要的硬件。

其中，网络接口，用于接收来自isp侧的网络设备的网络流量；

处理器，用于确定网络接口接收到的网络流量的源ip地址是否为伪造的ip地址；

网络接口，还用于如果处理器确定源ip地址为非伪造的ip地址，向源ip地址发送探测报文；如果接收到源ip地址对应的设备根据探测报文返回 的应答报文，向源ip地址侧对应的第一流量清洗设备发送用于对源ip地址的网络流量进行流量清洗的第一通知消息。

图6为根据本发明的一示例性实施例的监控网络流量的装置的结构示意图；如图6所示，该监控网络流量的装置可以包括：第一确定模块61、第一发送模块62、第二发送模块63。其中：

流量接收模块60，用于接收来自isp侧的网络设备的网络流量；

第一确定模块61，用于确定流量接收模块60接收到的网络流量的源ip地址是否为伪造的ip地址；

第一发送模块62，用于如果第一确定模块61确定源ip地址为非伪造的ip地址，向源ip地址发送探测报文；

第二发送模块63，用于如果接收到源ip地址对应的设备根据第一发送模块62发送的探测报文返回的应答报文，向源ip地址侧对应的第一流量清洗设备发送用于对源ip地址的网络流量进行流量清洗的第一通知消息。

图7示出了根据本发明的又一示例性实施例的监控网络流量的装置的结构示意图，如图7所示，在上述图6所示实施例的基础上，第一确定模块61可包括：

获取单元611，用于从来自isp侧的网络设备的网络流量的数据报文中获取源ip地址所在的地理位置信息以及数据报文的生存时间；

第一确定单元612，用于如果获取单元611获取到的地理位置信息与生存时间相一致，确定网络流量的源ip地址为非伪造的ip地址；

第二确定单元613，用于如果获取单元611获取到的地理位置信息与生存时间不一致，确定网络流量的源ip地址为伪造的ip地址。

在一实施例中，装置还可包括：

第二确定模块64，用于确定流量接收模块60接收到的网络流量所包含的数据报文的类型；

第三确定模块65，用于根据第二确定模块64确定的数据报文的类型确定需要向源ip地址发送的探测报文。

图8示出了根据本发明的再一示例性实施例的监控网络流量的装置的结构示意图，如图8所示，在上述图6或者图7所示实施例的基础上，装置还可包括：

统计模块66，用于根据流量接收模块60接收到的网络流量的目的ip地址对网络流量进行统计，得到统计结果；

第三发送模块67，用于将统计模块66得到的统计结果发送给清洗设备配置服务器，以供清洗设备配置服务器将统计结果转发给idc侧的第二流量清洗设备后，第二流量清洗设备根据统计结果确定与网络流量相对应的清洗策略。

在一实施例中，装置还可包括：

第四确定模块68，用于根据统计模块66得到的统计结果确定当前被攻击目的ip地址的流量；

第四发送模块69，用于当第四确定模块68确定的当前被攻击目的ip地址的流量小于预设阈值时，向isp侧的网络设备发送用于停止流量牵引的第二通知消息。

在一实施例中，来自isp侧的网络设备的网络流量为isp侧的网络设备需要执行黑洞的网络流量。

上述实施例可见，当isp侧的网络设备需要将网络流量进行黑洞时，通过将需要黑洞的网络流量转发至服务器120，服务器120对网络流量进行分析，从而解决黑洞状态下的流量无法分析问题，在确保isp侧的网络设备与idc侧的网络设备之间的带宽不被拥塞得同时，还可以获取到网络流量的攻击来源以及当前的攻击状态，从而可以通过“近源清洗”等手段将攻击流量扼杀在源头，大幅降低被攻击设备的流量。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被 视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。