一种DDoS流量清洗处理的方法及装置与流程

本申请涉及但不限于通信领域，尤指一种DDoS(Distributed Denial of Service，分布式拒绝服务)流量清洗处理的方法及装置。

背景技术：

现有的DDoS流量清洗部署方案，除了运营商级的BGP(Border Gateway Protocol，边界网关协议)Anycast方案之外，都解决不了大流量针对非网站类业务的攻击，同时针对网站类业务的防护，也没有很好解决分布式清洗节点之间的负载均衡问题。但是BGP Anycast方案由于资源问题只能由运营商自身来部署，并且回注方案复杂，而且只能对该运营商的业务提供保护，无法针对全网用户提供防护。

目前业界的DDoS流量清洗部署方式主要有以下几种：

1、本地部署：部署在受保护网络的出口，一般旁路在出口路由器上，对到内网的攻击流量进行清洗。

2、运营商级分布式部署：在运营商骨干网不同节点上部署DDoS清洗设备，当受保护的某个目的IP受到攻击时，通过BGP Anycast方式将攻击流量在进入该运营商网络后就近牵引到多个清洗节点进行处理。清洗完成之后，各个清洗节点通过MPLS(Multi-Protocol Label Switching，多协议标签交换)或GRE(Generic Routing Encapsulation，通用路由封装协议)的方式将清洗后的流量回注到受保护的目的IP。

3、IDC(Internet Data Center，互联网数据中心)级分布式部署：在多个IDC出口部署DDoS清洗设备，当用户遭受攻击时，通过更改用户DNS(Domain Name System，域名系统)指向，将流量引入清洗节点进行清洗。

方式1的缺点：当攻击流量大于受保护网路的出口带宽时，直接将出口带宽塞满，本地部署的清洗设备将起不到防御作用。

方式2的缺点：对于BGP Anycast引流方式，仅有运营商有此资源，而且只能为本运营商的用户提供服务。同时此种部署方式需要通过MPLS或者GRE等隧道方式回注流量，配置比较复杂，配置不当容易引入环路。

方式3的缺点：只能通过DNS方式进行牵引，因此只能支持网站类等依赖DNS获取IP的业务，对于直接通过指定IP进行通信的业务无法通过此方案进行引流，如诸多网络游戏。

技术实现要素：

本发明实施例提供一种DDoS流量清洗处理的方法及装置，能够实现流量调度。

本发明实施例提供了一种分布式拒绝服务流量清洗处理方法，包括：

接收分布式部署的各个清洗节点上报的当前流量；

选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗。

可选地，所述接收分布式部署的各个清洗节点上报的当前流量，包括：

接收到本地域名系统服务器发送的域名系统请求消息后，接收分布式部署的各个清洗节点上报的当前流量；

所述选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：

根据所述域名系统请求消息中携带的IP地址，从当前流量未超出各自流量阈值的清洗节点中选择就近的清洗节点，将所选择的清洗节点上配置的代理IP地址信息发送给所述本地域名系统服务器。

可选地，所述获取分布式部署的各个清洗节点的当前流量之前，还包括：

设置受保护的用户源站域名和IP地址，将所述用户源站域名和IP地址的对应关系发送给所述分布式部署的各个清洗节点。

可选地，所述获取分布式部署的各个清洗节点的当前流量，包括：

定时接收分布式部署的各个清洗节点上报的当前流量；

所述选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：

将当前流量未超出各自流量阈值的清洗节点上配置的代理IP地址信息发送给地址分配服务器。

可选地，所述获取分布式部署的各个清洗节点的当前流量之前，还包括：

为用户源站选择所述分布式部署的各个清洗节点中配置的代理IP地址；将用户源站的IP地址与所选的清洗节点中配置的代理IP地址的对应关系信息发送给所述分布式部署的各个清洗节点和所述地址分配服务器。

本发明实施例还提供了一种分布式拒绝服务流量清洗处理的装置，包括：

接收模块，用于接收分布式部署的各个清洗节点上报的当前流量；

选择模块，用于选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理。

可选地，所述接收模块，是在接收到本地域名系统服务器发送的域名系统请求消息后，接收分布式部署的各个清洗节点上报的当前流量的；

所述选择模块，选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：根据所述域名系统请求消息中携带的IP地址，从当前流量未超出各自流量阈值的清洗节点中选择就近的清洗节点，将所选择的清洗节点上配置的代理IP地址信息发送给所述本地域名系统服务器。

可选地，设置模块，用于设置受保护的用户源站域名和IP地址，将所述用户源站域名和IP地址的对应关系发送给所述分布式部署的各个清洗节点。

可选地，所述接收模块，是定时接收分布式部署的各个清洗节点上报的当前流量的；

所述选择模块，选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：将当前流量未超出各自流量阈值的清洗节点上配置的代理IP地址信息发送给地址分配服务器。

可选地，所述装置还包括：

设置模块，为用户源站选择所述分布式部署的各个清洗节点中配置的代理IP地址；将用户源站的IP地址与所选的清洗节点中配置的代理IP地址的对应关系信息发送给所述分布式部署的各个清洗节点和所述地址分配服务器。

本发明实施例还提供一种分布式拒绝服务流量清洗处理的方法，包括：

地址分配服务器接收到当前流量未超出各自流量阈值的清洗节点中配置的代理IP地址信息后，更新本地存储的清洗节点的代理IP地址信息；

所述地址分配服务器根据在线的客户端的IP地址地理位置信息，选择就近的清洗节点的代理IP地址信息发送给所述客户端。

可选地，所述地址分配服务器更新本地存储的清洗节点的代理IP地址信息之前，还包括：

所述地址分配服务器接收用户源站的IP地址与清洗节点中配置的代理IP地址的对应关系信息；

所述地址分配服务器将本地的用户源站的IP地址设置为对应的清洗节点中配置的代理IP地址。

本发明实施例还提供一种地址分配服务器，包括：

更新模块，用于接收到当前流量未超出各自流量阈值的清洗节点中配置的代理IP地址信息后，更新本地存储的清洗节点的代理IP地址信息；

选择模块，用于根据在线的客户端的IP地址地理位置信息，选择就近的清洗节点的代理IP地址信息发送给所述客户端。

可选地，所述地址分配服务器还包括：

接收模块，用于接收用户源站的IP地址与清洗节点中配置的代理IP地址的对应关系信息；

设置模块，用于将本地的用户源站的IP地址设置为对应的清洗节点中配置的代理IP地址。

综上，本发明实施例提供的一种分布式拒绝服务流量清洗处理方法及装置，在IDC级分布式部署方法之上，提出了一种针对各种类型业务进行防护的分布式DDoS流量清洗架构，能够在负载均衡各个清洗节点的同时，保证某个清洗节点过载情况下，不影响用户业务。

附图说明

图1为本发明实施例一的DDoS流量清洗处理的方法的流程图；

图2为本发明实施例二的DDoS流量清洗处理的方法的流程图；

图3为本发明实施例的DDoS流量清洗处理的系统的示意图；

图4为本发明应用示例一的DDoS流量清洗处理的方法的流程图；

图5为本发明应用示例二的DDoS流量清洗处理的方法的流程图；

图6为本发明应用示例三的DDoS流量清洗处理的方法的流程图；

图7为本发明实施例的DDoS流量清洗处理的装置的示意图；

图8为本发明实施例的地址分配服务器的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

实施例一

图1为本发明实施例的DDoS流量清洗处理的方法的流程图，如图1所示，本实施例的方法包括：

S11、接收分布式部署的各个清洗节点上报的当前流量；

S12、选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗。

本实施例的方法可以实现流量调度，能够在负载均衡各个清洗节点的同时，保证某个清洗节点过载情况下，不影响用户业务。

在一可选实施例中，预先设置受保护的用户源站域名和IP地址，将所述用户源站域名和IP地址的对应关系发送给所述分布式部署的各个清洗节点。

步骤S11中，是在接收到本地域名系统服务器发送的域名系统请求消息后，接收分布式部署的各个清洗节点上报的当前流量的。

步骤S12可以通过以下方式实施：

根据所述域名系统请求消息中携带的IP地址，从当前流量未超出各自流量阈值的清洗节点中选择就近的清洗节点，将所选择的清洗节点的IP地址信息发送给所述本地域名系统服务器。

本实施例的方法，针对网站类业务的防护，可以解决分布式清洗节点之间的负载均衡问题。

在一可选实施例中，预先为用户源站选择所述分布式部署的各个清洗节点中的IP地址；将用户源站的IP地址与所选的清洗节点中的IP地址的对应关系信息发送给所述分布式部署的各个清洗节点和所述地址分配服务器。

步骤S11中，是定时接收分布式部署的各个清洗节点上报的当前流量；

步骤S12中，是将当前流量未超出各自流量阈值的清洗节点中配置的代理IP地址信息发送给地址分配服务器，由地址分配服务器来选择就近的清洗节点进行流量清洗。

本实施例的方法，可以解决大流量针对非网站类业务的攻击。

实施例二

图2为本发明实施例的DDoS流量清洗处理的方法的流程图，如图2所示，本实施例的方法包括：

S21、地址分配服务器接收到当前流量未超出各自流量阈值的清洗节点中配置的代理IP地址信息后，更新本地存储的清洗节点的代理IP地址信息；

S22、地址分配服务器根据在线的客户端的IP地址地理位置信息，选择就近的清洗节点的代理IP地址信息发送给所述客户端。

本实施例的方法，可以解决大流量针对非网站类业务的攻击。

图3为本发明实施例的DDoS流量清洗处理的系统的示意图，如图3所示，本实施例的系统包括：

智能调度系统：在DDoS分布式防御系统中起着智能域名解析、地址分配、网络监控、流量调度等作用。针对每个新加入的用户，首先通过静态配置的方式进行配置受保护的用户源站域名和IP地址与各个清洗节点上的代理IP地址的对应关系。后续主要根据各个清洗节点的流量进行动态删除或添加清洗节点。

地址分配服务器：用于不通过DNS获取服务器地址的业务，向客户端返回服务器IP地址。

LocalDNS：本地DNS服务器，用于解析客户端查询的域名，返回客户端欲访问的服务器的IP地址，LocalDNS一般由运营商提供。

清洗节点：DDoS防护系统，分布式部署在网络当中多个节点，主要作用是过滤攻击流量，并将正常流量转发到用户源站。

用户源站：用户业务服务器。

应用示例一

本示例为网站类用户DDoS流量清洗业务流程，如图4所示，包括以下步骤：

步骤101、在智能调度系统中静态添加受保护的用户源站域名和IP地址；智能调度系统向分布式部署的各个清洗节点下发受保护的用户源站域名和IP的对应关系；

步骤102、客户端(包含正常客户端和僵尸网络主机)向LocalDNS发送DNS请求；

步骤103、LocalDNS在向智能调度系统进行请求；

步骤104、智能调度系统接收到请求后，获取各个清洗节点的当前流量，如果都没有超过各自的阈值，则根据LocalDNS的IP地址，选取就近的清洗节点，将清洗节点的代理IP返回给LocalDNS；

步骤105、LocalDNS再向客户端返回DNS应答；

步骤106、客户端向清洗节点发送HTTP(Hyper Text Transfer Protocol，超文本传输协议)请求；

步骤107、清洗节点根据HTTP请求中的域名，查找对应的源站IP地址，将请求代理转发到源站；

步骤108、用户源站向清洗节点返回应答；

步骤109、清洗节点再将应答代理转发到客户端。

应用示例二

本示例为非网站类用户DDoS流量清洗处理业务流程，如图5所示，包括以下步骤：

步骤201、智能调度系统中为用户源站选择分布式部署的各个清洗节点中配置的代理IP(代理IP是在清洗节点中配置的公网IP)；智能调度系统向各个清洗节点下发代理IP和用户源站IP的对应关系；

步骤202、智能调度系统向用户的地址分配服务器下发代理IP组；

步骤203、地址分配服务器接收到信息之后，将用户源站IP更新为清洗节点代理IP组；

地址分配服务器根据在线的客户端的IP地址地理位置，向客户端下发就近的清洗节点代理IP；

步骤204、客户端向清洗节点发送业务流量；

步骤205、清洗节点根据报文中的目的IP地址，查找对应的源站IP地址，将报文代理转发到源站；

步骤206、用户源站向清洗节点返回应答流量；

步骤207、清洗节点将应答流量代理转发到客户端。

应用示例三

本示例为智能调度系统流量监控及调度处理流程，本示例中，智能调度系统进行流量监控及调度处理是在示例二中的步骤202后实施的。如图6所示，包括以下步骤：

步骤301、智能调度系统定时接收各个清洗节点上报的流量数据；

步骤302、判断每个清洗节点的流量是否大于对应的阈值，如大于，则转步骤303；如不大于，则转步骤307；

步骤303、将该清洗节点从节点列表中移除；

步骤304、获取被移除节点上的代理IP地址列表；

步骤305、遍历地址分配服务器；

步骤306、更新每个地址分配服务器中的代理IP组；

步骤307、遍历被移除节点列表；

步骤308、判断是否大于预置的超时时间，如大于，则转步骤309；如不大于，则结束；

步骤309、判断流量是否小于对应的阈值，如小于，则转步骤310；如不小于，则结束；

步骤310、刷新清洗节点列表，并更新每个地址分配服务器中的代理IP组。

这样，智能调度系统可以实时监控清洗节点的流量，及实时调度可用的清洗节点。

实施例三

图7为本发明实施例的DDoS流量清洗处理的装置的示意图，如图7所示，本实施例的DDoS流量清洗处理的装置相当于上文的智能调度系统，包括：

接收模块，用于接收分布式部署的各个清洗节点上报的当前流量；

选择模块，用于选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理。

在一可选实施例中，所述接收模块，是在接收到本地域名系统服务器发送的域名系统请求消息后，接收分布式部署的各个清洗节点上报的当前流量的；

所述选择模块，选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：根据所述域名系统请求消息中携带的IP地址，从当前流量未超出各自流量阈值的清洗节点中选择就近的清洗节点，将所选择的清洗节点中配置的代理IP地址信息发送给所述本地域名系统服务器。

在一可选实施例中，所述DDoS流量清洗处理的装置还包括：

设置模块，用于设置受保护的用户源站域名和IP地址，将所述用户源站域名和IP地址的对应关系发送给所述分布式部署的各个清洗节点。

在一可选实施例中，所述接收模块，是定时接收分布式部署的各个清洗节点上报的当前流量的；

所述选择模块，选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：将当前流量未超出各自流量阈值的清洗节点的IP地址信息发送给地址分配服务器。

在一可选实施例中，所述DDoS流量清洗处理的装置还包括：

设置模块，为用户源站选择所述分布式部署的各个清洗节点中的IP地址；将用户源站的IP地址与所选的清洗节点中的IP地址的对应关系信息发送给所述分布式部署的各个清洗节点和所述地址分配服务器。

实施例四

图8为本发明实施例的地址分配服务器的示意图，如图8所示，本实施例的地址分配服务器包括：

更新模块，用于接收到当前流量未超出各自流量阈值的清洗节点中配置的代理IP地址信息后，更新本地存储的清洗节点的代理IP地址信息；

选择模块，用于根据在线的客户端的IP地址地理位置信息，选择就近的清洗节点的代理IP地址信息发送给所述客户端。

在一可选实施例中，所述地址分配服务器还可以包括：

接收模块，用于接收用户源站的IP地址与清洗节点中配置的代理IP地址的对应关系信息；

设置模块，用于将本地的用户源站的IP地址设置为对应的清洗节点中配置代理的IP地址。

本发明实施例的方案是在IDC级分布式部署方法之上，提出了一种针对各种类型业务进行防护的分布式DDoS流量清洗架构，能够实现流量调度，能够在负载均衡各个清洗节点的同时，保证某个清洗节点过载情况下，不影响用户业务。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

以上仅为本发明的优选实施例，当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。