专利名称:基于二级联动机制的大规模DDoS攻击防御系统及方法
技术领域:
本发明涉及网络安全领域,尤其涉及一种基于二级联动机制的大规模DDoS攻击 防御系统及方法。
背景技术:
随着各个行业信息化水平的不断提高,越来越多企业用户的正常业务运营对于互 联网的依赖性也越来越高。目前由于互联网网络安全环境的日益恶化,使得这类客户的互 联网业务面临着极大的威胁和风险。其中,分布式拒绝服务(DDoS,Distributed Denial of Service)攻击是目前互联 网中存在的最常见、危害性最大的攻击形式之一。DDoS攻击是指借助于客户/服务器技术, 将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击。DDoS攻击由于攻 击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。近几年来由于商业竞争、政治情绪、经济勒索等因素的驱动,DDoS攻击越来越呈现 组织化、规模化、商业化的特点,攻击流量动辄数G、十几G,甚至几十G,攻击频率也大有愈 演愈烈之势,不但给各类企业客户的互联网应用、IT系统服务造成服务提供中断、系统瘫痪 等严重后果,造成重大经济损失;同时也严重威胁到电信运营商的基础设施,严重影响了基 础运营商骨干网络的质量和稳定运营,使得DDoS攻击成为目前互联网中存在的最常见、危 害性最大的安全问题之一。目前常用的DDoS攻击防御方法有两种,一种是末端清洗防护方法,通过在靠近被 保护目标的地方部署专用的流量清洗设备来进行防御,这种方法的特点是单点防御,只能 为本地用户提供清洗防护,而且防御能力有限,在发生大规模攻击后容易造成被保护目标 所在网络的拥塞或瘫痪,对于大规模、超大规模的DDoS攻击则无能为力。另外一种是源端清洗防护方法,通过采用“分布式部署、集中调度、近源清洗”的防 护机制,在攻击流量汇聚前,在靠近攻击源的多个骨干网节点处进行分布式清洗,可用来防 御十几G、几十G甚至上百G的大规模DDoS攻击。但由于该机制主要是在骨干网层面进行 清洗,对于城域网、互联网数据中心(IDC,Internet Data Center)等内部的相互攻击则难 以防御,同时由于清洗系统部署层面较高,难以部署精细化的防护策略;上述两个因素可能 导致造成部分攻击流量避开防护系统,难以为客户提供的精细化DDoS攻击防护。综上所述,如何对大规模DDoS攻击的异常流量进行有效清洗,提升全网的大规模 DDoS攻击防御能力成为本领域亟待解决的技术问题。
发明内容
本发明要解决的一个技术问题是提供一种基于二级联动机制的大规模DDoS攻击 防御系统及方法,能够有效解决现有技术中存在的问题,可达到对大规模DDoS攻击的精细 化流量清洗,取得提高全网的大规模DDoS攻击防御能力的预期技术效果。本发明的一个方面提供了一种基于二级联动机制的大规模DDoS攻击防御系统,该系统包括流量监测子系统,用于对全网的流量进行实时监测,搜寻并确认DDoS攻击行 为后,向流量清洗子系统发送触发清洗操作的报警消息,以及将DDoS攻击行为的异常流量 牵引至流量清洗子系统;流量清洗子系统,用于接收流量监测子系统牵引的异常流量,根据 报警消息触发清洗操作,对异常流量进行清洗,并将清洗后的清洁流量回注到目标客户网本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中, 该流量清洗子系统进一步包括骨干网层面的清洗中心,用于在近源端对进入骨干网的跨 域DDoS攻击行为的异常流量进行清洗;本地网层面的清洗中心,用于对本地网内部的DDoS 攻击行为的异常流量以及从骨干网遗漏到本地网的DDoS攻击行为的异常流量进行清洗, 并对骨干网层面清洗后的回注流量进行二次清洗。本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中, 本地网层面的清洗中心是目标客户所在城域网或互联网数据中心所部署一套清洗设备或 清洗设备组,用于通过二级联动机制协助骨干网层面的清洗中心实施对DDoS攻击行为的 异常流量的协同清洗。本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中, 跨域DDoS攻击行为的异常流量进入骨干网后,由骨干网层面的多个清洗中心进行近源清 洗,并将清洗后的清洁流量通过专用通道或专用网络回注到目标客户所在的本地网。本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中, 对本地网内部的DDoS攻击行为的异常流量以及从骨干网遗漏到本地网的DDoS攻击行为的 异常流量进行清洗,以及对骨干网层面清洗后的回注流量进行二次清洗后,本地网层面的 清洗中心将其清洗后的清洁流量,通过标签分发协议(LDP)隧道或多协议标签交换协议虚 拟专用网络(MPLS VPN)回注到目标客户网络。本发明的另一个方面提供了一种基于二级联动机制的大规模DDoS攻击防御方 法,该方法包括流量监测子系统对全网的流量进行实时监测,搜寻并确认DDoS攻击行为; 向流量清洗子系统发送触发清洗操作的报警消息,并将DDoS攻击行为的异常流量牵引至 流量清洗子系统;流量清洗子系统接收流量监测子系统牵引的异常流量,根据报警消息触 发清洗操作,对异常流量进行清洗,并将清洗后的清洁流量回注到目标客户网络。本发明提供的基于二级联动机制的大规模DDoS攻击防御方法的一个实施例中, 步骤“对异常流量进行清洗”进一步包括骨干网层面的清洗中心在近源端对进入骨干网的 跨域DDoS攻击行为的异常流量进行清洗;本地网层面的清洗中心对本地网内部的DDoS攻 击行为的异常流量以及从骨干网遗漏到本地网的DDoS攻击行为的异常流量进行清洗,并 对骨干网层面清洗后的回注流量进行二次清洗。本发明提供的基于二级联动机制的大规模DDoS攻击防御方法的一个实施例中, 本地网层面的清洗中心是目标客户所在城域网或互联网数据中心所部署一套清洗设备或 清洗设备组,通过二级联动机制协助骨干网层面的清洗中心实施对DDoS攻击行为的异常 流量的协同清洗。本发明提供的基于二级联动机制的大规模DDoS攻击防御方法的一个实施例中, 跨域DDoS攻击行为的异常流量进入骨干网后,由骨干网层面的多个清洗中心进行近源清 洗,并将清洗后的清洁流量通过专用通道或专用网络回注到目标客户所在的本地网。
本发明提供的基于二级联动机制的大规模DDoS攻击防御方法的一个实施例中, 本地网层面的清洗中心对本地网内部的DDoS攻击行为的异常流量以及从骨干网遗漏到本 地网的DDoS攻击行为的异常流量进行清洗,并对骨干网层面清洗后的回注流量进行二次 清洗。本地网层面的清洗中心将其清洗后的清洁流量,通过LDP隧道或MPLS VPN回注到目 标客户网络。本发明供的基于二级联动机制的大规模DDoS攻击防御系统及方法,解决了现有 的DDoS防护技术所存在的清洗容量和清洗精度等问题,在降低业务规模部署成本的基础 上,大大提升了全网的大规模DDoS攻击防御能力,提高攻击流量的清洗精度。
图1示出本发明实施例提供的一种基于二级联动机制的大规模DDoS攻击防御系 统的结构示意图;图2示出本发明提供的大规模DDoS攻击防御系统启动DDoS攻击流量清洗机制的 流程示意图;图3示出本发明实施例提供的一种基于二级联动机制的大规模DDoS攻击防御系 统的结构示意图;图4示出本发明提供的基于二级联动机制的大规模DDoS攻击防御系统启动DDoS 攻击流量清洗机制的流程示意图;图5示出本发明提供的基于二级联动机制的大规模DDoS攻击防御系统启动DDoS 攻击流量清洗机制的一个具体实施方式
的流程示意图;图6示出本发明实施例提供的一种基于二级联动机制的大规模DDoS攻击防御方 法的流程图;图7示出本发明提供的基于二级联动机制的大规模DDoS攻击防御方法的另一个 实施例的流程图。
具体实施例方式下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。图1示出本发明实施例提供的一种基于二级联动机制的大规模DDoS攻击防御系 统的结构示意图。如图1所示,基于二级联动机制的大规模DDoS攻击防御系统100包括流量监测子 系统102、流量清洗子系统104,其中流量监测子系统102,用于对全网的流量进行实时监测,搜寻并确认DDoS攻击行 为后,向流量清洗子系统发送触发清洗操作的报警消息,以及将DDoS攻击行为的异常流量 牵引至流量清洗子系统。例如,流量监测子系统对全网或到达目标客户的流量进行实时监 测和深入分析,搜寻与“正常”行为的偏差或DDoS攻击的基本行为。攻击被识别后,监测系 统发警报给维护人员或清洗系统,由人工或自动触发清洗设备启动流量清洗措施。本发明 提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中,流量监测子系统 的监测范围可以包括骨干网层面和本地网层面,可采用一套或多套系统组成。流量清洗子系统104,用于接收流量监测子系统牵引的异常流量,根据报警消息触发清洗操作,对异常流量进行清洗,并将清洗后的清洁流量回注到目标客户所在的网络。例 如,流量清洗子系统是DDoS攻击防护方案的重要组成部分,当流量被“牵引”到该子系统 后,能通过流量清洗等手段清洗攻击流量,并将合法的数据包继续传送到目标地址。本发明 提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中,在骨干网层面和 目标客户所在城域网或IDC各部署一套清洗设备(组),可以采用二级联动机制实现DDoS 攻击流量的协同清洗。本发明提供的基于二级联动机制的大规模DDoS攻击防御系统及方法,可以依托 运营商一个或多个骨干网络、目标客户所在城域网或IDC,以及DDoS攻击清洗子系统来实 现;为描述方便,可以将运营商骨干网络称为骨干网;将客户所在城域网或数据中心称为 本地网,将骨干网上部署的DDoS清洗设备、本地网内部部署的清洗设备可统称为清洗系 统。在实际的应用中,清洗中心可能是一台或由多台清洗设备所组成的设备群组构成。在技术实现层面,主要涉及流量监测、流量牵引、流量清洗和流量回注等几个环 节;具体来说1)流量监测在全网络(涉及骨干网、本地网)的核心和汇聚层路由器上开启流 量采集功能(如Netflow等),并集中部署流量采集和分析系统,在大网层面实现对网络异 常流量、潜在安全威胁流量(如与正常行为的偏差或DDoS攻击的基本行为)进行宏观监 控和分析,实现自动报警和清洗触发联动。另外,可根据需要在客户CPE(用户驻地设备, Customer Premises Equipment)上开启流量采集功能或在客户网络出口处部署专用的异 常流量监测设备,实现客户端DDoS攻击的告警和清洗触发联动。2)流量牵引在全网络,主要涉及骨干网层面,分布式部署流量清洗子系统(例如 骨干网层面的清洗中心),当异常流量监测子系统发现异常流量,并触发流量清洗机制(可 以由自动触发,也可以人工启动)后,利用RR(路由反射器,Routing Reflector)在骨干网 宣告BGP (边界网关路由协议,Border Gateway Protocol)路由更新,将去往被攻击目标的 流量就近牵引到各清洗中心节点,在清洗中心实现分布式就源清洗。可以通过一台专门用 于流量牵引的触发路由器与骨干网上的多个RR建立BGP关系,统一宣告路由更新,以实现 对多个RR进行集中控制。此外,对于本地网层面,清洗子系统的清洗中心和本地网的RR建 立BGP关系,在本地网层面实现统一宣告更新,将源自本地网以及流入本地网的目标流量 牵引到清洗系统进行流清洗。3)流量清洗在骨干网层面,各清洗中心对DDoS攻击流量进行就近清洗,在靠近 攻击源头阻断攻击流量,清洗中心采用Anycast机制(Anycast与Multicast和Unicast是 三种通信方式,其中Anycast指IPV6协议中一个发送方同最近的一组接收方之间的通信, 其用途之一是用一个主机进行组内所有主机路由表的更新工作。IPV6可以自动判断最近的 网关,然后将数据包传给此网关反过来,此主机可以对组内所有的主机进行Anycast,直到 完成整个路由表的更新工作)进行路由策略的配置,可采用多组Anycast地址,全部或某些 清洗中心使用同一个Loopback IP地址作为对外服务地址,可根据需要实现全网或部分节 点的负载分担,实现全网清洗中心资源的统一调度,在最大程度上降低大规模DDoS攻击流 量对骨干网络造成的冲击或影响。4)流量回注本技术方案中的流量回注分两部分,涉及骨干网层面流量清洗后和 本地网流量清洗后的二级流量回注。在骨干网层面,各清洗中心完成流量清洗后,清洁流量通过专用通道或网络回注到客户所在本地网。在本地网层面,本地网内部发起的流量以及 从骨干网进入本地网的流量被清洗后,清洁流量通过本地网内部的多协议标签交换协议虚 拟专用网络(MPLS VPN)或标签分发协议(LDP)隧道回注到客户网络,从而最终完成了所有 清洁流量的回注。本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例,解 决了现有的DDoS防护技术所存在的清洗容量和清洗精度等问题,在降低业务规模部署成 本的基础上,大大提升了全网的大规模DDoS攻击防御能力,提高攻击流量的清洗精度。图2示出本发明提供的大规模DDoS攻击防御系统启动DDoS攻击流量清洗机制的 流程示意图。如图2所示,流量监控子系统对全网或到达目标客户的流量进行实时监测和深入 分析,搜寻与“正常”行为的偏差或DDoS攻击的基本行为。攻击被识别后,该监测子系统 可以通过向运维人员或清洗子系统发送报警消息,并将该异常流量牵引至流量清洗子系统
(如图2中“_所示流向,代表流量监控子系统牵引的异常流量),从而再由人工或
自动触发清洗设备启动流量清洗措施。当所述异常流量被“牵引”到流量清洗子系统后, 通过流量清洗等手段清洗该攻击流量,并将合法的数据包继续传送到目标地址(如图2中
“---- ”和“.________ ”所示流向,分别代表骨干网层面清洗后回注的流量和本地网层面
清洗后回注的流量)。可以在骨干网层面和目标客户所在城域网或数据中心各部署一套清 洗设备(组),这将在随后的实施例中作进一步的详细介绍。图3示出本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的另一个 实施例的结构示意图。如图3所示,基于二级联动机制的大规模DDoS攻击防御系统300主要包括流量 监测子系统302、流量清洗子系统304,其中;其中流量监测子系统302可以是与图1所示流 量监测子系统102具有相同或相似的功能模块;为简洁起见,这里不再赘述。如图3所示,流量清洗子系统302进一步包括流量分析子系统3030和DNS关联 分析子系统3022,其中骨干网层面的清洗中心3030,用于在近源端对进入骨干网的跨域DDoS攻击行为 的异常流量进行清洗。本地网层面的清洗中心3022,用于对本地网内部的DDoS攻击行为的异常流量以 及从骨干网遗漏到本地网的DDoS攻击行为的异常流量进行清洗,并对骨干网层面清洗后 的回注流量进行二次清洗。本发明提供的基于二级联动机制的大规模DDoS攻击防御系统 的一个实施例中,本地网层面的清洗中心是目标客户所在城域网或互联网数据中心所部署 一套清洗设备或清洗设备组,用于通过二级联动机制协助骨干网层面的清洗中心实施对 DDoS攻击行为的异常流量的协同清洗。本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中, 跨域DDoS攻击行为的异常流量进入骨干网后,由骨干网层面的多个清洗中心进行近源清 洗,并将清洗后的清洁流量通过专用通道或专用网络回注到目标客户所在的本地网。本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中, 对本地网内部的DDoS攻击行为的异常流量以及从骨干网遗漏到本地网的DDoS攻击行为的 异常流量进行清洗,以及对骨干网层面清洗后的回注流量进行二次清洗后,本地网层面的清洗中心将其清洗后的清洁流量,通过LDP隧道或MPLS VPN回注到目标客户网络。本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中, 骨干网清洗中心采用分布式部署、就源清洗的工作机制,负责在骨干网层面就源清洗跨域 攻击流量;本地网清洗系统采用末端清洗方式负责清洗本地内部攻击流量以及对清洗后的 跨域流量进行二次清洗,从而构成二级联动的清洗防御系统,该二级清洗中心协同工作、可 同步开展清洗操作;并采用专用通道实现清洁流量的远程回注,从而有效节省骨干网带宽 资源,并显著提高流量清洗精度。图4示出本发明提供的基于二级联动机制的大规模DDoS攻击防御系统启动DDoS 攻击流量清洗机制的流程示意图。本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的典型网络部署如 图4所示,在骨干网层面的多个核心节点和目标客户所在城域网或IDC分别部署清洗中心 (如清洗中心1、清洗中心2、清洗中心3和本地网清洗中心),形成骨干网+本地网的二级清 洗系统架构,该二级清洗系统采用二级联动的机制协同运作,各司其职。其中骨干网层面的
清洗中心主要负责在近源端对进入骨干网的跨域攻击流量(如图4中“_________”所示流向
代表攻击流量)进行清洗,并遵循流量进入最近的清洗中心的原则(如清洗中心1负责就 近对本地网1的异常攻击流量进行清洗,清洗中心2负责就近对本地网2的异常攻击流量
进行清洗,清洗中心3负责就近对本地网3的异常攻击流量进行清洗),图4中“_
所示流向代表清洁流量,图4中“____ ”所示流向代表路由更新信息;本地网的清洗中
心主要负责本地网内部的攻击流量以及从骨干网遗漏到本地网的攻击流量进行清洗,并对 骨干网清洗中心清洗过的流量进行二次清洗,协同为客户提供集约化的、大容量的DDoS攻 击防护服务。图5示出本发明提供的基于二级联动机制的大规模DDoS攻击防御系统启动DDoS 攻击流量清洗机制的一个具体实施方式
的流程示意图。本发明以运营两个骨干网A(如CN2网络)和B (如163网络)以及客户所在城域 网或互联网数据中心(简称本地网)为例,来具体说明如何实现基于二级联动机制的大规 模DDoS攻击流量的分布式防御网络部署。如图5所示,在骨干网核心节点(本实施例中选取多个核心节点)部署流量清洗 中心,作为骨干网一级清洗系统;各清洗中心双挂A、B两个骨干网,并设置相同的清洗中 心环回地址,各清洗中心和所在大区的路由反射器(RR)建立EBGP(外部边界网关协议, ExteriorBorder Gateway Protocol)Peer ;同〒网 A胃胃一台 Trigger 足各由 器和骨干网RR建立BGP Peer,用于宣告被保护路由以实现清洗的分布和集中控制。在客 户所在本地网c部署一套清洗中心,该清洗中心负责源自本地网内部的攻击流量(如图5
中“........—”所示流向代表攻击流量)以及从骨干网A和/或B进入本地网流量的清洗;
同时在本地网内部预先建立一个专用的流量回送VPN或LDP通道,通过该通道将清洁流量 (如图5中“____ ”所示流向代表清洁流量)回注到客户网络。在骨干网及本地网的核心和汇聚层路由器上开启Netflow,并集中部署基于 Netflow的流量采集和分析系统,在大网层面实现对网络异常流量、潜在安全威胁流量的宏 观监控和分析。例如,本地网c的目标客户的主机(IP地址为60. 195. Χ. X)受到来自全国 范围内的大规模DDoS攻击,部署在骨干网上的异常流量监控子系统发现此异常流量后,判断攻击源分布和攻击目标地址,启动二级系统联动的清洗指令。在骨干网层面,触发路由器 将通过RR宣告给骨干网A的核心、汇聚路由器,宣告被保护目标地址的BGP路由下一跳地 址为全网唯一的清洗中心地址,各清洗中心通过Anycast方式实现流量的自动分担;在接 收到RR所宣告的BGP更新信息后,骨干网A的核心和汇聚路由节点将会把来自各个方向的 攻击流量就近转发至清洗中心,实现流量牵引。各清洗中心对牵引来的DDoS攻击流量进行 就近清洗,在靠近攻击源头阻断攻击流量。各清洗中心清洗后的清洁流量进入骨干网B,通 过骨干网B全局路由方式进入被保护目标主机所在的本地网C。在本地网层面,本地清洗系统同步启动清洗指令,源自本地网c内部的攻击流量、 由骨干网B进入本地网c的清洁流量和源自骨干网B的攻击流量,均被牵引到本地清洗系 统进行清洗,清洗后的流量通过清洗系统与客户上联CPE的MPLS VPN或LDP通道进入客户 所在网络,实现了正常流量的最终回注。图6示出本发明实施例提供的一种基于二级联动机制的大规模DDoS攻击防御方 法的流程图。如图6所示,基于二级联动机制的大规模DDoS攻击防御方法600包括步骤602, 流量监测子系统对全网的流量进行实时监测,搜寻并确认DDoS攻击行为。例如,流量监测 子系统对全网或到达目标客户的流量进行实时监测和深入分析,搜寻与“正常”行为的偏差 或DDoS攻击的基本行为。步骤604,向流量清洗子系统发送触发清洗操作的报警消息,并将DDoS攻击行为 的异常流量牵引至流量清洗子系统。例如,攻击被识别后,监测系统发警报给维护人员或清 洗系统,由人工或自动触发清洗设备启动流量清洗措施。步骤606,本地网层面的清洗中心对本地网内部的DDoS攻击行为的异常流量以及 从骨干网遗漏到本地网的DDoS攻击行为的异常流量进行清洗。例如,当流量被“牵引”到 该子系统后,通过流量清洗等手段清洗攻击流量,并将合法的数据包继续传送到本地网中 目标客户主机的IP地址。本发明提供的基于二级联动机制的大规模DDoS攻击防御方法的一个实施例,解 决了现有的DDoS防护技术所存在的清洗容量和清洗精度等问题,在降低业务规模部署成 本的基础上,大大提升了全网的大规模DDoS攻击防御能力,提高攻击流量的清洗精度。图7示出本发明提供的基于二级联动机制的大规模DDoS攻击防御方法的另一个 实施例的流程图。如图2所示,基于二级联动机制的大规模DDoS攻击防御方法200包括步骤702、 704、706、707和708,其中步骤702和704可以分别执行与图6所示的步骤602和604相同 或相似的技术内容,为简洁起见,这里不再赘述其技术内容。如图7所示,在步骤704之后,执行步骤706,流量清洗子系统接收流量监测子系统 牵引的异常流量,根据报警消息触发清洗操作,骨干网层面的清洗中心在近源端对进入骨 干网的跨域DDoS攻击行为的异常流量进行清洗。步骤707,本地网层面的清洗中心对本地网内部的DDoS攻击行为的异常流量以及 从骨干网遗漏到本地网的DDoS攻击行为的异常流量进行清洗,并对骨干网层面清洗后的 回注流量进行二次清洗。步骤708,将清洗后的清洁流量回注到目标客户网络。
本发明提供的基于二级联动机制的大规模DDoS攻击防御方法的一个实施例中, 本地网层面的清洗中心是目标客户所在城域网或互联网数据中心所部署一套清洗设备或 清洗设备组,通过二级联动机制协助骨干网层面的清洗中心实施对DDoS攻击行为的异常 流量的协同清洗。本发明提供的基于二级联动机制的大规模DDoS攻击防御方法的一个实施例中, 跨域DDoS攻击行为的异常流量进入骨干网后,由骨干网层面的多个清洗中心进行近源清 洗,并将清洗后的清洁流量通过专用通道或专用网络回注到目标客户所在的网络。本发明提供的基于二级联动机制的大规模DDoS攻击防御方法的一个实施例中, 本地网层面的清洗中心对本地网内部的DDoS攻击行为的异常流量以及从骨干网遗漏到本 地网的DDoS攻击行为的异常流量进行清洗,并对骨干网层面清洗后的回注流量进行二次 清洗。本地网层面的清洗中心将其清洗后的清洁流量,通过LDP隧道或MPLS VPN回注到目 标客户网络。参考前述本发明示例性的描述,本领域技术人员可以清楚的知晓本发明具有以下 优点1、本发明提供的基于二级联动机制的大规模DDoS攻击防御系统及方法的一个实 施例,解决了现有的DDoS防护技术所存在的清洗容量和清洗精度等问题,在降低业务规模 部署成本的基础上,大大提升了全网的大规模DDoS攻击防御能力,提高攻击流量的清洗精度。2、本发明提供的基于二级联动机制的大规模DDoS攻击防御系统及方法的一个实 施例,骨干网清洗中心采用分布式部署、就源清洗的工作机制,负责在骨干网层面就源清洗 跨域攻击流量;本地网清洗系统采用末端清洗方式负责清洗本地内部攻击流量以及对清洗 后的跨域流量进行二次清洗,从而构成二级联动的清洗防御系统,该二级清洗中心协同工 作、可同步开展清洗操作;并采用专用通道实现清洁流量的远程回注,从而有效节省骨干网 带宽资源,并显著提高流量清洗精度。本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明 限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描 述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理 解本发明从而设计适于特定用途的带有各种修改的各种实施例。
权利要求
一种基于二级联动机制的大规模DDoS攻击防御系统,其特征在于,所述系统包括流量监测子系统,用于对全网的流量进行实时监测,搜寻并确认DDoS攻击行为后,向流量清洗子系统发送触发清洗操作的报警消息,以及将所述DDoS攻击行为的异常流量牵引至所述流量清洗子系统;所述流量清洗子系统,用于接收所述流量监测子系统牵引的所述异常流量,根据所述报警消息触发清洗操作,对所述异常流量进行清洗,并将清洗后的清洁流量回注到目标客户网络。
2.根据权利要求1所述的系统,其特征在于,所述流量清洗子系统进一步包括骨干网层面的清洗中心,用于在近源端对进入骨干网的跨域DDoS攻击行为的异常流 量进行清洗;本地网层面的清洗中心,用于对所述本地网内部的DDoS攻击行为的异常流量以及从 所述骨干网遗漏到本地网的所述DDoS攻击行为的异常流量进行清洗,并对骨干网层面清 洗后的回注流量进行二次清洗。
3.根据权利要求2所述的系统,其特征在于,所述本地网层面的清洗中心是目标客户 所在城域网或互联网数据中心所部署一套清洗设备或清洗设备组,用于通过二级联动机制 协助所述骨干网层面的清洗中心实施对所述DDoS攻击行为的异常流量的协同清洗。
4.根据权利要求2所述的系统,其特征在于,所述跨域DDoS攻击行为的异常流量进入 所述骨干网后,由所述骨干网层面的多个清洗中心进行近源清洗,并将清洗后的清洁流量 通过专用通道或专用网络回注到目标客户所在的本地网。
5.根据权利要求2所述的系统,其特征在于,对所述本地网内部的DDoS攻击行为的 异常流量以及从所述骨干网遗漏到本地网的所述DDoS攻击行为的异常流量进行清洗,并 对骨干网清洗中心清洗后的回注流量进行二次清洗,所述本地网层面的清洗中心将其清洗 后的清洁流量,通过标签分发协议(LDP)隧道或多协议标签交换协议虚拟专用网络(MPLS VPN)回注到目标客户网络。
6.一种基于二级联动机制的大规模DDoS攻击防御方法,其特征在于,所述方法包括流量监测子系统对全网的流量进行实时监测,搜寻并确认DDoS攻击行为;向流量清洗子系统发送触发清洗操作的报警消息,并将所述DDoS攻击行为的异常流 量牵引至所述流量清洗子系统;所述流量清洗子系统接收所述流量监测子系统牵引的所述异常流量,根据所述报警消 息触发清洗操作,对所述异常流量进行清洗,并将清洗后的清洁流量回注到目标客户网络。
7.根据权利要求6所述的方法,其特征在于,步骤“对所述异常流量进行清洗”进一步 包括骨干网层面的清洗中心在近源端对进入骨干网的跨域DDoS攻击行为的异常流量进行 清洗;本地网层面的清洗中心对所述本地网内部的DDoS攻击行为的异常流量以及从所述骨 干网遗漏到本地网的所述DDoS攻击行为的异常流量进行清洗,并对骨干网层面清洗中心 清洗后的回注流量进行二次清洗。
8.根据权利要求7所述的方法,其特征在于,所述本地网层面的清洗中心是目标客户 所在城域网或互联网数据中心所部署一套清洗设备或清洗设备组,通过二级联动机制协助所述骨干网层面的清洗中心实施对所述DDoS攻击行为的异常流量的协同清洗。
9.根据权利要求7所述的方法,其特征在于,所述跨域DDoS攻击行为的异常流量进入 所述骨干网后,由所述骨干网层面的多个清洗中心进行近源清洗,并将清洗后的清洁流量 通过专用通道或专用网络回注到目标客户所在的本地网。
10.根据权利要求7所述的方法,其特征在于,本地网层面的清洗中心对所述本地网内 部的DDoS攻击行为的异常流量以及从所述骨干网遗漏到本地网的所述DDoS攻击行为的异 常流量进行清洗,并对骨干网层面清洗中心清洗后的回注流量进行二次清洗,所述本地网 层面的清洗中心将其清洗后的清洁流量,通过标签分发协议(LDP)隧道或多协议标签交换 协议虚拟专用网络(MPLS VPN)回注到目标客户网络。
全文摘要
本发明公开一种基于二级联动机制的大规模DDoS攻击防御系统及方法,该方法包括流量监测子系统对全网的流量进行实时监测,搜寻并确认DDoS攻击行为;向流量清洗子系统发送触发清洗操作的报警消息,并将DDoS攻击行为的异常流量牵引至流量清洗子系统;流量清洗子系统接收流量监测子系统牵引的异常流量,根据报警消息触发清洗操作,对异常流量进行清洗,(其中流量清洗子系统采用骨干网+本地网防御系统二级架构,两级清洗系统协同工作、同步清洗)并将清洗后的清洁流量回注到目标客户网络。本发明供的基于二级联动机制的大规模DDoS攻击防御系统及方法,解决了现有的DDoS防护技术所存在的清洗容量和清洗精度等问题,在降低业务规模部署成本的基础上,大大提升了全网的大规模DDoS攻击防御能力,提高攻击流量的清洗精度。
文档编号H04L29/08GK101924764SQ201010257450
公开日2010年12月22日 申请日期2010年8月9日 优先权日2010年8月9日
发明者史国水, 汪来富, 沈军, 谭峣仪, 金华敏 申请人:中国电信股份有限公司