一种流量处理方法，设备和系统与流程

本申请实施例涉及通信技术领域，特别涉及一种流量处理方法，设备和系统。

背景技术：

如图1所示，为DDoS(Distributed Denial of Service，分布式拒绝服务)攻击的示意图，攻击者利用肉鸡发动DDoS攻击，攻击导致业务服务器资源被耗尽，从而拒绝正常用户的服务；针对DDoS攻击，目前已有的防御方案包括：

一、DDoS流量清洗，这是目前最常用的防御DDoS方法，通过DDoS检测设备发现DDoS攻击并预警，当发现DDoS攻击时通知旁路的流量清洗设备牵引被攻击目的IP的流量，清洗攻击流量，回注正常流量。

二、在运营商网络发布黑洞路由，也即当攻击流量超过业务方的承受范围时，为了不影响同一机房的其他业务，业务方有时会通过在运营商网络中发布黑洞路由的方式屏蔽被攻击IP的访问，在骨干网丢弃所有的DDoS流量。

但是进行DDoS流量清洗时，初级的防御能力比较低，为了防御更高级别的DDoS攻击，必须不断升级清洗设备和带宽容量，带来成本的大幅攀升；且目前阶段清洗设备无法作为百分百的清洗，只要牵引必定带来误杀和漏杀，对正常业务访问造成一定影响；而发布黑洞路由通过黑洞路由屏蔽IP访问的结果相当于攻击得逞了，即使通过DNS(Domain Name System，域名系统)等方式更改业务的访问IP，也会在一段时间内导致部分业务完全不可用。

由上述可以知道，现有基站中的上述目前的主流防御方案并不能完全解决目前遇到的DDoS问题。

技术实现要素：

针对现有技术中防御DDoS时，无法解决高成本以及效率不高，从而影响用户的正常业务的缺陷，本申请提出了一种流量处理方法，应用于包括初级防御设备和高级防御设备的系统中，其中所述高级防御设备的流量清洗能力高于所述初级防御设备的清洗能力，该方法包括：

管控设备监控用于清洗用户流量的初级防御设备的负载是否大于第一阈值；

若监控结果为是，所述管控设备将所述初级防御设备处理的流量转移至高级防御设备进行清洗；

所述管控设备控制清洗完成的流量转移至业务处理设备进行处理。

可选的，所述管控设备将所述初级防御设备处理的流量转移至高级防御设备进行清洗，具体包括：

所述管控设备查找高级防御设备；

所述管控设备为高级防御设备分配第一高防IP，其中，所述第一高防IP不同于所述初级防御设备的初防IP；

所述管控设备将增强DNS设备解析的目的地址修改为第一高防IP，以便所述增强DNS设备基于修改后的目的地址将用户的流量转移至第一高防IP对应的高级防御设备进行清洗。

可选的，所述管控设备将增强DNS设备解析的目的地址修改为第一高防IP，以便所述增强DNS设备基于修改后的目的地址将用户的流量转移至高级防御设备，之后还包括：

所述管控设备监控进行流量清洗的高级防御设备的负载是否超过第二阈值；

若监控结果为是，所述管控设备创建第二高防IP，其中所述第二高防IP 不同于初级防御设备的初防IP以及第一高防IP；

所述管控设备将增强DNS设备解析的目的地址修改为第二高防IP，以便所述增强DNS设备基于修改后的目的地址将用户的流量转移至第二高防IP对应的高级防御设备进行清洗。

本申请还提出了一种流量处理方法，其特征在于，包括

增强DNS设备接收来自用户终端的DNS请求；

所述增强DNS设备基于自身存储的包含DNS请求与目的地址的对应关系的索引表来解析所述DNS请求，并将解析得到的目的地址返回给用户。

可选的，所述增强DNS设备接收来自用户终端的DNS请求，具体包括：

所述增强DNS设备接收用户DNS转发的来自用户终端的DNS请求。

可选的，所述索引表中的目的地址是可以修改的；该方法进一步包括：

所述增强DNS设备接收管控设备的更新消息，所述更新消息中携带所述管控设备设置的更新IP，所述更新消息用于将索引表中的目的地址修改为所述更新IP；

所述增强DNS设备在接收到来自用户终端的DNS请求时，基于最新修改后的索引表执行域名解析，并将解析出的最新修改后的目的地址返回给用户终端。

本申请还提出了一种管控设备，其特征在于，包括：

监控模块，用于监控用于清洗用户流量的初级防御设备的负载是否大于第一阈值；

转移模块，用于当初级防御设备的负载大于第一阈值时，将所述初级防御设备处理的流量转移至高级防御设备进行清洗；

处理模块，用于控制清洗完成的流量转移至业务处理设备进行处理。

可选的，所述转移模块，具体用于：

查找高级防御设备；

为高级防御设备分配第一高防IP，其中，所述第一高防IP不同于所述初级防御设备的初防IP；

将增强DNS设备解析的目的地址修改为第一高防IP，以便所述增强DNS设备基于修改后的目的地址将用户的流量转移至第一高防IP对应的高级防御设备进行清洗。

可选的，还包括：

操作模块，用于监控进行流量清洗的高级防御设备的负载是否超过第二阈值；

当监控结果为是时，创建第二高防IP，其中所述第二高防IP不同于初级防御设备的初防IP以及第一高防IP；

将增强DNS设备解析的目的地址修改为第二高防IP，以便所述增强DNS设备基于修改后的目的地址将用户的流量转移至第二高防IP对应的高级防御设备进行清洗。

本申请还提出了一种增强DNS设备，其特征在于，包括：

接收模块，用于接收来自用户终端的DNS请求；

解析模块，用于基于自身存储的包含DNS请求与目的地址的对应关系的索引表来解析所述DNS请求，并将解析得到的目的地址返回给用户。

可选的，所述接收模块，具体用于：

接收用户DNS转发的来自用户终端的DNS请求。

可选的，所述索引表中的目的地址是可以修改的；所述解析模块还用于：

接收管控设备的更新消息，所述更新消息中携带所述管控设备设置的更新IP，所述更新消息用于将索引表中的目的地址修改为所述更新IP；

在接收到来自用户终端的DNS请求时，基于最新修改后的索引表执行域 名解析，并将解析出的最新修改后的目的地址返回给用户终端。

本申请还提出了一种流量处理系统，应用于包括初级防御设备和高级防御设备的系统中，其中所述高级防御设备的流量清洗能力高于所述初级防御设备的清洗能力，该系统包括：

管控设备，用于监控用于清洗用户流量的初级防御设备的负载是否大于第一阈值；当监控结果为是时，将所述初级防御设备处理的流量转移至高级防御设备进行清洗；控制清洗完成的流量转移至业务处理设备进行处理；

增强DNS设备，用于接收来自用户终端的DNS请求；基于自身存储的包含DNS请求与目的地址的对应关系的索引表来解析所述DNS请求，并将解析得到的目的地址返回给用户。

与现有技术相比，本申请中的方案，首先使得用户的流量通过初级防御设备进行流量清洗，同时实时监控初级防御设备的负载情况，并当初级防御设备负载过高时，切换到高级防御设备进行流量清洗，以此根据具体的情况来选择不同的防御设备进行流量清洗，降低了使用成本，同时，这一系列的操作是在用户无感知的情况下进行的，不需要用户进行额外的操作，以此通过动态调度防御设备的方式，提高了用户的体验。

附图说明

图1为DDoS攻击的示意图；

图2为本申请实施例提出的一种流量处理方法的流程示意图；

图3为本申请实施例提出的一种流量处理方法的流程示意图；

图4为本申请实施例提出的一种管控设备的结构示意图；

图5为本申请实施例提出的一种增强DNS设备的结构示意图；

图6为本申请实施例提出的一种流量处理系统的结构示意图。

具体实施方式

如背景技术所述，现有技术中的防御方式无法实现很好的防御效果，使用成本过高，效果不好，导致用户体验不高，为此本申请实施例中提出了一种流量处理方法，应用于包括初级防御设备和高级防御设备的系统中，其中高级防御设备的流量清洗能力高于初级防御设备的清洗能力，如图2所示，该方法包括：

步骤201、管控设备监控用于清洗用户流量的初级防御设备的负载是否大于第一阈值。

具体的，在检测到存在非法流量的时候，首先启动初级防御设备，对非法流量进行清洗，其中初级防御设备可以是IDC(Internet Data Center，互联网数据中心)设备，由于其并非是专门的流量清洗设备，还需要承担其他的功能，因此其清洗非法流量的能力较低，但使用成本较低，可以应对非法流量较小的情况，管控设备实时监控初级防御设备的负载，具体的，其负载取决于初级防御设备本身的流量清洗能力，当前接收到的流量，可以预设一个阈值，例如为90％，当初级防御设备接收到的流量所需要的清洗能力达到其本身的流量清洗能力的90％，确定其负载大于第一阈值，当然，具体的还可以基于其他的情况或者因素来对负载以及第一阈值进行设置，在此不再进行赘叙。

监控会有两个结果，当负载大于第一阈值时，执行步骤202，若负载不大于第一阈值，则可以将经过初级防御设备清洗后的流量转移至业务处理设备来完成相应的服务。

步骤202、若监控结果为是，管控设备将初级防御设备处理的流量转移至高级防御设备进行清洗。

其中，具体的转移过程可以包括：管控设备查找高级防御设备；管控设 备为高级防御设备分配第一高防IP，其中，所述第一高防IP不同于所述初级防御设备的初防IP，以便增强DNS设备基于修改后的目的地址将用户的流量转移至第一高防IP对应的高级防御设备进行清洗。

具体的，在本申请中，设置有增强DNS设备，该增强DNS设备解析得到的目的地址是可以更改的，在确定初级防御设备的负载大于第一阈值，也即初级防御设备无法很好地完成流量清洗时，首先查找高级防御设备，该高级防御设备是专门用于流量清洗的，其处理能力，效率以及准确性都比初级防御设备高，并为查找到的高级防御设备(例如为高级防御设备1)分配第一高防IP，例如为IP2，具体的可以通过管控设备向增强DNS设备发送更新消息，该更新消息中携带IP2，用以将增强DNS设备解析的目的地址修改为IP2，该IP2不同于初级防御设备的初防IP,并将增强DNS设备解析的目的地址修改为IP2,具体的，例如增强DNS设备中存储有索引表，索引表中存储有DNS请求与解析的目的地址的对应关系，在此情况下，管控设备向增强DNS设备发送重新解析的命令，增强DNS设备重新解析，解析得到的目的地址将会变为修改后的目的地址，也即IP2,从而将原本在初级防御设备进行流量清洗的流量转移至高级防御设备(例如为高级防御设备1)，进行流量清洗。

在将流量转移至高级防御设备进行清洗，而事实上，虽然高级防御设备的处理能力比初级防御设备的处理能力高很多，但也不是无限的，相比较于攻击流量，很可能还是不够的，因此考虑到这种情况，在将流量转移至高级防御设备进行清洗之后，还可以执行以下步骤：

管控设备监控进行流量清洗的高级防御设备的负载是否超过第二阈值；若监控结果为是，管控设备创建第二高防IP，其中第二高防IP不同于初级防御设备的初防IP以及第一高防IP；管控设备将增强DNS设备解析的目的地址修改为第二高防IP；以便增强DNS设备基于修改后的目的地址将用户的流量转移至第二高防IP对应的高级防御设备进行清洗。

具体的，例如高级防御设备1的负载超过第二阈值，与初级防御设备相似的，其负载的评估以及第二阈值的设置可以基于具体的情况设置，在此不再进行赘叙，管控设备会一直实时监控进行流量处理的高级防御设备，例如当确定高级防御设备1的负载超过第二阈值时，则创建一个新的高防IP，也即第二高防IP，例如为IP3,该第二高防IP不同于初级防御设备的初防IP以及第一高防IP，同样可以通过更新消息来携带IP3，以便将增强DNS设备解析的目的地址修改为IP3，并触发增强DNS设备重新进行域名解析，从而将流量转移至IP3对应的高级防御设备，其中IP3对于的高级防御设备可以是高级防御设备1，也即不更换具体的高级防御设备硬件，只是更改其IP，也可以查找一个新的高级防御设备，例如为高级防御设备2，再将IP3分配给高级防御设备2，也即更换高级防御设备，也更换IP地址，在进行IP地址更换后，其原有的针对未更换前的IP的攻击流量将不再有攻击作用，相应的，对于发起攻击者而言，其要想继续攻击，其攻击成本将变得很大，当然再加上更换高级防御设备，难度会更大，其攻击成功将更高，从而达到了防御的目的。

步骤203、管控设备控制清洗完成的流量转移至业务处理设备进行处理。

不管是经过初级防御设备还是高级防御设备进行流量清洗后，控制清洗完成的流量转移至业务处理设备进行处理，从而实现相应的服务。

以上是基于管控设备的角度来对本申请进行说明，为了对本申请进行进一步的说明，本申请实施例还公开了一种流量处理方法，如图3所示，包括

步骤301、增强DNS设备接收来自用户终端的DNS请求；

具体的，增强DNS设备接收来自用户终端的DNS请求，具体包括：

增强DNS设备接收用户DNS转发的来自用户终端的DNS请求。

在一个具体的应用场景中，当用户在用户终端输入域名时，也即发送NDS请求，先发送给用户DNS(Domain Name System，域名系统)，由于用户DNS 解析的目的地址是无法更换的，因此将接收到的NDS请求发送给增强DNS设备，本申请中提出的增强DNS设备解析的目的地址是可以更改的，以此在不对现有的架构进行变动的情况下，通过增强DNS设备实现了功能上的拓展。

步骤302、增强DNS设备基于自身存储的包含DNS请求与目的地址的对应关系的索引表来解析DNS请求，并将解析得到的目的地址返回给用户终端。

具体的，将解析出的目的地址返回给用户终端，就可以将用户终端的用户流量引导至解析出的目的地址对应的防御设备(初级防御设备或高级防御设备，以及是哪个高级防御设备，具体取决于解析出的目的地址)进行清洗；而具体的实现中，增强DNS设备中存储有索引表；索引表中存储DNS请求与目的地址的对应关系；增强DNS设备解析DNS请求，并将解析得到的目的地址返回给用户终端，具体包括：

增强DNS设备基于自身存储的索引表解析DNS请求，获取与DNS请求对应的目的地址返回给用户终端。

由于索引表中的目的地址是可以修改的；该方法进一步包括：

所述增强DNS设备接收管控设备的更新消息，所述更新消息中携带所述管控设备设置的更新IP，所述更新消息用于将索引表中的目的地址修改为所述更新IP；

所述增强DNS设备在接收到来自用户终端的DNS请求时，基于最新修改后的索引表执行域名解析，并将解析出的最新修改后的目的地址返回给用户终端。

具体的，在执行域名解析时，有可能索引表中的目的地址进行了修改，也可能没有进行修改；当还未进行修改时，最新修改后的索引表就一直是原索引表(也即初始建立的索引表)，因此当进行域名解析时，解析出的最新修改后的目的地址也即原目的地址；而当进行修改后，有可能修改有多次，此时通过最新修改的索引表来执行域名解析，例如有两次修改，第一次修改 的时间是2015年5月1日13时12分13秒，第二次修改的时间则是2015年5月2日13时15分23秒，很明显的，第二次修改的时间是最新的，因此以第二次修改后的索引表进行域名解析，当然也可以以别的方式来对最新进行标识，例如还可以每修改一次，就将标识修改次数的数值加1，后续直接找最大数值对应索引表即可，只要能标识最新修改的索引表即可。

本申请实施例还提出了一种管控设备，如图4所示，包括：

监控模块401，用于监控用于清洗用户流量的初级防御设备的负载是否大于第一阈值；

转移模块402，用于当初级防御设备的负载大于第一阈值时，将所述初级防御设备处理的流量转移至高级防御设备进行清洗；

处理模块403，用于控制清洗完成的流量转移至业务处理设备进行处理。

所述转移模块402，具体用于：

查找高级防御设备；

为高级防御设备分配第一高防IP，其中，所述第一高防IP不同于所述初级防御设备的初防IP；

将增强DNS设备解析的目的地址修改为第一高防IP，以便所述增强DNS设备基于修改后的目的地址将用户的流量转移至第一高防IP对应的高级防御设备进行清洗。

具体的，该管控设备，还包括：

操作模块，用于监控进行流量清洗的高级防御设备的负载是否超过第二阈值；

当监控结果为是时，创建第二高防IP，其中所述第二高防IP不同于初级防御设备的初防IP以及第一高防IP；

将增强DNS设备解析的目的地址修改为第二高防IP，以便所述增强DNS 设备基于修改后的目的地址将用户的流量转移至第二高防IP对应的高级防御设备进行清洗。

本申请实施例还公开了一种增强DNS设备，如图5所示，包括：

接收模块501，用于接收来自用户终端的DNS请求；

解析模块502，用于基于自身存储的包含DNS请求与目的地址的对应关系的索引表来解析所述DNS请求，并将解析得到的目的地址返回给用户终端。

所述接收模块501，具体用于：

接收用户DNS转发的来自用户终端的DNS请求。

具体的，所述增强DNS设备中存储有索引表；所述索引表中存储DNS请求与目的地址的对应关系；

所述索引表中的目的地址是可以修改的；所述解析模块502还用于：

接收管控设备的更新消息，所述更新消息中携带所述管控设备设置的更新IP，所述更新消息用于将索引表中的目的地址修改为所述更新IP；

在接收到来自用户终端的DNS请求时，基于最新修改后的索引表执行域名解析，并将解析出的最新修改后的目的地址返回给用户终端。

本申请实施例还公开了一种流量处理系统，应用于包括初级防御设备和高级防御设备的系统中，其中所述高级防御设备的流量清洗能力高于所述初级防御设备的清洗能力，如图6所示，该系统包括：

管控设备601，用于监控用于清洗用户流量的初级防御设备的负载是否大于第一阈值；当监控结果为是时，将所述初级防御设备处理的流量转移至高级防御设备进行清洗；控制清洗完成的流量转移至业务处理设备进行处理；

增强DNS设备602，用于接收来自用户终端的DNS请求；基于自身存储的包含DNS请求与目的地址的对应关系的索引表来解析所述DNS请求，并将解析得到的目的地址返回给用户。

与现有技术相比，本申请中的方案，首先使得用户的流量通过初级防御设备进行流量清洗，同时实时监控初级防御设备的负载情况，并当初级防御设备负载过高时，切换到高级防御设备进行流量清洗，以此可以根据具体的情况来选择不同的防御设备进行流量清洗，降低了使用成本，同时，这一系列的操作是在用户无感知的情况下进行的，不需要用户进行额外的操作，以此通过动态调度防御设备的方式，提高了用户的体验。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本申请可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施场景所述的方法。

本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中的模块或流程并不一定是实施本申请所必须的。

本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本申请序号仅仅为了描述，不代表实施场景的优劣。

以上公开的仅为本申请的几个具体实施场景，但是，本申请并非局限于此，任何本领域的技术人员能思之的变化都应落入本申请的保护范围。