一种防御DDoS攻击的方法以及相关装置与流程

一种防御ddos攻击的方法以及相关装置
技术领域
1.本技术实施例涉及互联网技术领域，具体涉及一种防御ddos攻击的方法以及相关装置。


背景技术：

2.分布式拒绝服务(distributed denial of service，ddos)，是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标服务器发送大量攻击请求，堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源，导致目标服务器无法响应正常的服务请求。
3.在相关技术中，通常采用黑洞(black holing)方案来防御ddos攻击。即，所描述的black holing方案可以理解成客户网络网关检测到ddos攻击时，向运营商边缘路由器(provider edge，pe)发送路由限速请求或者黑洞请求，由该pe路由器向运营商网络中的其他pe路由器公告该路由限速请求或者黑洞请求，达到在运营商网络的边界拦截流量的目的。然而，采用black holing方案无法区分非法流量和合法流量，导致在运营商网络的边界拦截了所有的流量，无法响应正常的服务请求；而且非法流量会挤占网络带宽，不利于实时清洗非法流量。
4.因此，如何对ddos攻击进行及时且有效地防御已成为亟待解决的问题。


技术实现要素：

5.本技术实施例提供了一种防御ddos攻击的方法以及相关装置，旨在提前过滤掉由ddos攻击引起的非法流量，降低ddos攻击引起的非法流量所占用的网络带宽。
6.第一方面，本技术实施例提供了一种防御ddos攻击的方法，该方法可以包括：第一运营商边缘pe路由器接收第二pe路由器发送的第一报文、以及接收路由反射器响应第一报文时的应答报文，第一报文中携带第一验证码，第一验证码与路由反射器的互联网协议ip地址相关联；第一pe路由器提取应答报文的验证字段所对应的验证码；第一pe路由器根据共享密钥和验证规则，将第一验证码与验证字段所对应的验证码进行校验，得到第一校验结果；第一pe路由器基于第一校验结果转发应答报文，或基于第一校验结果丢弃应答报文。
7.通过上述方式，由于攻击者会伪造源ip地址与第一报文的源ip地址相同的报文，因此路由反射器反馈的应答报文有可能也是被伪造的报文，但是攻击者由于并不知道准确的密钥等信息，导致所伪造的报文并没有携带准确的验证码。因此，第一pe路由器在接收到第二pe路由器发送的第一报文、以及接收到路由器反射器反馈的应答报文时，可以在解析该应答报文后，提取出该应答报文的验证字段所对应的验证码，并基于共享密钥和验证规则将第一报文中所携带的第一验证码与该验证字段所对应的验证码进行校验，以此第一校验结果的指示来执行转发应答报文，或者丢弃应答报文。能够有效地过滤掉由ddos攻击引起的非法流量，降低ddos攻击引起的非法流量所占用的网络带宽，而且也不会丢弃合法流量。
8.可选的，在一些示例中，该方法还包括：第一pe路由器通过预设扩展协议接收第二
pe路由器发送的共享密钥和验证规则。
9.可选的，在一些示例中，第一pe路由器基于第一校验结果转发应答报文，或基于第一校验结果丢弃应答报文，包括：在第一校验结果反映出第一验证码与验证字段所对应的验证码相同时，第一pe路由器转发应答报文；或，在第一校验结果反映出第一验证码与验证字段所对应的验证码不相同时，第一pe路由器丢弃应答报文。
10.可选的，在一些示例中，第一pe路由器与第二pe路由器部署在第一运营商的城域网中。
11.可选的，在一些示例中，第一pe路由器部署在第一运营商的城域网中，第二pe路由器部署在第二运营商的城域网中，第一运营商的城域网与第二运营商的城域网不同。
12.可选的，在一些示例中，第一pe路由器部署在第一运营商的广域网中，第二pe路由器部署在第一运营商的城域网中。
13.第二方面，本技术实施例提供了另一种防御ddos攻击的方法，该方法可以包括：第二pe路由器获取第二报文，第二报文携带目的ip地址和源地址；第二pe路由器根据目的ip地址和源地址生成第一验证码，第一验证码与路由反射器的ip地址相关联；第二pe路由器基于第二报文和第一验证码生成第一报文，第一报文携带第一验证码；第二pe路由器向第一pe路由器发送第一报文。
14.可选的，在一些示例中，该方法还可以包括：第二pe路由器通过预设扩展协议向第一pe路由器发送共享密钥和验证规则，共享密钥和验证规则用于第一pe路由器对第一验证码和验证字段所对应的验证码进行校验，验证字段所对应的验证码包含于第一报文对应的应答报文中。
15.可选的，在一些示例中，第一pe路由器与第二pe路由器部署在第一运营商的城域网中。
16.可选的，在一些示例中，第一pe路由器部署在第一运营商的城域网中，第二pe路由器部署在第二运营商的城域网中，第一运营商的城域网与第二运营商的城域网不同。
17.可选的，在一些示例中，第一pe路由器部署在第一运营商的广域网中，第二pe路由器部署在第一运营商的城域网中。
18.第三方面，本技术实施例中提供了一种第一pe路由器，该第一pe路由器可以包括：接收模块，用于接收第二pe路由器发送的第一报文、以及接收路由反射器响应第一报文时的应答报文，第一报文中携带第一验证码，第一验证码与路由反射器的ip地址相关联；处理模块，用于提取应答报文的验证字段所对应的验证码；处理模块，用于根据共享密钥和验证规则，将第一验证码与验证字段所对应的验证码进行校验，得到第一校验结果；处理模块，用于根据第一校验结果转发应答报文，或基于第一校验结果丢弃应答报文。
19.可选的，在一些示例中，接收模块，还用于通过预设扩展协议接收第二pe路由器发送的共享密钥和验证规则。
20.可选的，在一些示例中，处理模块，用于：在第一校验结果反映出第一验证码与验证字段所对应的验证码相同时，第一pe路由器转发应答报文；或，在第一校验结果反映出第一验证码与验证字段所对应的验证码不相同时，第一pe路由器丢弃应答报文。
21.第四方面，本技术实施例中提供了一种第二pe路由器，该第二pe路由器可以包括：获取单元，用于获取第二报文，第二报文携带目的ip地址和源地址；处理单元，用于根据目
的ip地址和源地址生成第一验证码，第一验证码与路由反射器的ip地址相关联；处理单元，用于根据第二报文和第一验证码生成第一报文，第一报文携带第一验证码；发送单元，用于向第一pe路由器发送第一报文。
22.可选的，在一些示例中，发送单元，还用于通过预设扩展协议向第一pe路由器发送共享密钥和验证规则，共享密钥和验证规则用于第一pe路由器对第一验证码和验证字段所对应的验证码进行校验，验证字段所对应的验证码包含于第一报文对应的应答报文中。
23.第五方面，本技术实施例提供了一种防御攻击系统，该防御攻击系统可以包括执行前述第一方面或第一方面任意一种的第一pe路由器、以及执行前述第二方面或第二方面任意一种的第二pe路由器。
24.第六方面，本技术实施例提供了一种第一pe路由器，可以包括：存储器，用于存储计算机可读指令。还可以包括，与存储器耦合的处理器，用于执行存储器中的计算机可读指令从而执行如第一方面或者第一方面任意一种可能的实施方式中所描述的方法。
25.第七方面，本技术实施例提供了一种第二pe路由器，可以包括：存储器，用于存储计算机可读指令。还可以包括，与存储器耦合的处理器，用于执行存储器中的计算机可读指令从而执行如第二方面或者第二方面任意一种可能的实施方式中所描述的方法。
26.第八方面，本技术实施例提供了一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如第一方面或第二方面，或者第一方面或第二方面任意一种可能实现方式的方法。
27.第九方面，本技术实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如第一方面、第二方面，或者第一方面、第二方面任意一种可能实现方式的方法。
28.本技术第十方面提供一种芯片系统，该芯片系统可以包括处理器，用于支持第一pe路由器实现上述第一方面或者第一方面任意一种可能的实施方式中所描述的方法中所涉及的功能；或者，用于支持第二pe路由器实现上述第二方面或者第二方面任意一种可能的实施方式中所描述的方法中所涉及的功能。
29.可选地，结合上述第十方面，在第一种可能的实施方式中，芯片系统还可以包括存储器，存储器，用于保存第一pe路由器、第二pe路由器必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。其中，芯片系统可以包括专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field programmable gate array，fpga)或者其他可编程逻辑器件等。进一步，芯片系统还可以可以包括接口电路等。
30.上述第三方面、第五方面至第六方面、第八方面至第十方面所获得的技术效果与第一方面中对应的技术手段获得的技术效果近似，在这里不再赘述。
31.上述第四方面、第五方面、第七方面、第八方面至第十方面所获得的技术效果与第一方面中对应的技术手段获得的技术效果近似，在这里不再赘述。
32.从以上技术方案可以看出，本技术实施例具有以下优点：
33.在本技术实施例中，由于攻击者会伪造源ip地址与第一报文的源ip地址相同的报文，因此路由反射器反馈的应答报文有可能也是被伪造的报文，但是攻击者由于并不知道准确的密钥等信息，导致所伪造的报文并没有携带准确的验证码。因此，第一pe路由器在接
收到第二pe路由器发送的第一报文、以及接收到路由器反射器反馈的应答报文时，可以在解析该应答报文后，提取出该应答报文的验证字段所对应的验证码，并基于共享密钥和验证规则将第一报文中所携带的第一验证码与该验证字段所对应的验证码进行校验，以此第一校验结果的指示来执行转发应答报文，或者丢弃应答报文。能够有效地过滤掉由ddos攻击引起的非法流量，降低ddos攻击引起的非法流量所占用的网络带宽，而且也不会丢弃合法流量。
附图说明
34.为了更清楚地说明本技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例。
35.图1是本技术实施例中提供的一种防御攻击系统的架构示意图；
36.图2是本技术实施例中提供的一种防御ddos攻击的方法流程示意图；
37.图3是本技术实施例提供的一种部署pe路由器的场景示意图；
38.图4是本技术实施例提供的另一种部署pe路由器的场景示意图；
39.图5是本技术实施例提供的另一种部署pe路由器的场景示意图；
40.图6是本技术实施例提供了一种第一pe路由器的结构示意图；
41.图7是本技术实施例提供了一种第二pe路由器的结构示意图；
42.图8是本技术实施例提供的一种防御攻击系统的结构示意图；
43.图9是本技术实施例提供的通信设备的硬件结构示意图。
具体实施方式
44.本技术实施例提供了一种防御ddos攻击的方法以及相关装置，旨在提前过滤掉由ddos攻击引起的非法流量，降低ddos攻击引起的非法流量所占用的网络带宽。
45.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
46.本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含。在本技术中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b的情况，其中a，b可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，a和b，a和c，b和c或a和b和c，其中a、b和c可以是单个，也可以是多个。值得注意的是，“至少一项(个)”还可以解释成“一项(个)或多项(个)”。
47.由于在相关技术中，客户端网络网关检测到ddos攻击时，向pe路由器发送路由限
速请求或者黑洞请求，并且该pe路由器向运营商网络中的其他pe路由器公告该路由限速请求或者黑洞请求，达到在运营商网络的边界拦截流量的目的。然而，采用现有所描述的拦截流量的方案无法区分非法流量和合法流量，导致在运营商网络的边界拦截了所有的流量，无法响应正常的服务请求；而且非法流量会挤占网络带宽，不利于实时清洗非法流量。
48.因此，为了解决上述的技术问题，本技术实施例中提供了一种防御ddos的方法，旨在提前过滤掉ddos攻击时的非法流量，保证运营商网络和企业内部不受非法流量的攻击。请参阅图1，为本技术实施例中提供的一种防御攻击系统的架构示意图。从图1可知，该防御攻击系统中可以包括至少两个pe路由器、至少一个路由反射器。所描述的至少两个pe路由器可以包括但不限于图1所示的pe-1、pe-2、pe-3、pe-4等，其中，pe-1可以具备过滤功能，以用于过滤非法流量，以及具备转换功能，用于生成第一验证码。该pe-1可以与用户边缘设备(customer edge，ce)连接，以使得用户客户端等能够接入运营商网络中，实现为用户提供服务接入；pe-2、pe-3分别与一个路由反射器连接，并且pe-2、pe-3分别可以具备过滤功能，以用于过滤非法流量。路由反射器主要用于将攻击者伪造原ip的非法流量转发至pe-2、pe-3，进而由pe-2、pe-3对该非法流量进行拦截。
49.需理解，上述所描述的至少两个pe路由器可以是部署在同一个运营商的城域网中，以实现在同一个运营商的城域网内部拦截非法流量，以保护整个运营商网络内部的带宽避免遭受攻击。所描述的至少两个pe路由器也可以分别部署在两个不同的运营商的城域网中，以保护对端运营商网络的带宽避免遭受攻击，所描述的至少两个pe路由器还可以是一部分pe路由器部署在一个运营商的广域网中，另一部分pe路由器部署在同一个运营商的城域网中，以实现保护下级网络带宽避免遭受攻击。具体此处不做限定说明。
50.为了便于理解，请参阅图2，为本技术实施例中提供的一种防御ddos攻击的方法流程示意图。从图2可知，该防御ddos攻击的方法可以包括如下步骤：
51.201、第二pe路由器获取第二报文，第二报文携带目的ip地址和源地址。
52.该示例中，所描述的第二报文可以包括但不限于流量等，其中，该第二报文携带有目的互联网协议(internet protocol，ip)地址和源地址。
53.202、第二pe路由器根据目的ip地址和源地址生成第一验证码，第一验证码与路由反射器的ip地址相关联。
54.该示例中，在第二pe路由器获取到第二报文，通过解析得到该第二报文中所携带的目的ip地址和源地址后，便可以根据该目的ip地址和源地址生成第一验证码，并且使得该第一验证码与路由反射器的ip地址相关联。这样，在攻击者向反射器发送非法流量的报文时，由于攻击者无法生成合法的准确的验证码，因此该报文中不会携带准确的验证码。基于此，第二pe路由器基于目的ip地址和源地址生成第一验证码，使得该第一验证码能够用于验证路由器反射器反馈回的报文是否为合法的报文，还是非法的报文。
55.需说明，第二pe路由器还可以根据目的ip地址和源地址生成会话(session)列表。
56.203、第二pe路由器基于第二报文和第一验证码生成第一报文，第一报文携带第一验证码。
57.该示例中，在第二pe路由器基于目的ip地址和源地址生成第一验证码后，便可以基于该第二报文和第一验证码生成第一报文。具体地，第二pe路由器可以在第二报文的报文头部扩展一个验证字段(如：code字段)，将该第一验证码保存在该验证字段中，进而得到
第一报文。所描述的第一验证码也可以直接保存在目的ip地址所在的字段中，此处不做限定说明。
58.204、第二pe路由器向第一pe路由器发送第一报文。
59.该示例中，第二pe路由器在基于第二报文和第一验证码生成第一报文后，可以将该第一报文发送至第一pe路由器。
60.205、第一pe路由器接收第二pe路由器发送的第一报文、以及接收路由反射器响应第一报文时的应答报文。
61.该示例中，第一pe路由器在接收到第二pe路由器发送的第一报文时，也可以将该第一报文发送至路由反射器，由路由反射器对该第一报文进行应答。这样，第一pe路由器便可以接收到针对该第一报文的应答报文了。
62.206、第一pe路由器提取应答报文的验证字段所对应的验证码。
63.该示例中，由于攻击者会伪造源ip地址与第一报文的源ip地址相同的报文，因此路由反射器反馈的应答报文有可能也是被伪造的报文，但是攻击者由于并不知道准确的密钥等信息，导致所伪造的报文并没有携带准确的验证码。因此，第一pe路由器在接收到路由器反射器反馈的应答报文时，可以在解析该应答报文后，提取出该应答报文的验证字段所对应的验证码。
64.207、第一pe路由器根据共享密钥和验证规则，将第一验证码与验证字段所对应的验证码进行校验，得到第一校验结果。
65.该示例中，第一pe路由器在提取出应答报文的验证字段所对应的验证码后，可以通过共享密钥和验证规则，将第一验证码和该验证字段所对应的验证码进行校验，进而能够根据第一校验结果对该应答报文做下一步处理。具体地，第一pe路由器可以通过共享密钥和验证规则，将第一验证码与该验证字段所对应的验证码进行匹配，将匹配结果作为第一校验结果，此处不做限定说明。
66.需说明，在另一些示例中，为了能够基于实时更新的第一验证码，保证校验的准确性，第一pe路由器与第二pe路由器还可以共享共享密钥和验证规则，使得第一pe路由器能够基于相同的共享密钥和验证规则校验第一验证码和验证字段所对应的验证码，提升校验准确度，有效地拦截非法流量。具体地，第一pe路由器与第二pe路由器可以通过预设扩展协议共享共享密钥和验证规则。所描述的预设扩展协议包括但不限于边界网关协议(border gateway protocol，bgp)、内部边界网关协议(internal border gateway protocol，ibgp)等，此处不做限定说明。此外，第一pe路由器与第二pe路由器还可以ip地址分配格式。
67.此外，所描述的验证规则可以是对称算法(data encryption standard，des)、数字签名算法(digital signature algorithm，dsa)等加密算法等，此处不做限定说明。
68.208、第一pe路由器基于第一校验结果转发应答报文，或基于第一校验结果丢弃应答报文。
69.该示例中，第一pe路由器在得到第一校验结果后，可以基于该第一校验结果对应答报文进行转发或者丢弃应答报文。具体地，若第一校验结果反映出第一验证码与验证字段所对应的验证码相同时，那么就表明该应答报文是合法的，此时第一pe路由器可以继续转发该应答报文。或者，若第一校验结果反映出第一验证码与验证字段所对应的验证码不相同时，可以表明该应答报文是攻击者伪造的非法报文，此时第一pe路由器可以丢弃该应
答报文，起到拦截非法报文的目的。
70.需理解的是，上述所描述的第一pe路由器与第二pe路由器部署在网络中的不同位置，可以实现在不同的场景中拦截非法流量，具体可以参照后续图3-图5。其中，图3主要从第一pe路由器和第二pe路由器部署在同一个运营商的城域网的角度来描述；图4主要从第一pe路由器与第二pe路由器部署在不同的运营商的城域网的角度来描述；图5主要从第一pe路由器部署在一个运营商的广域网中，第二pe路由器部署在同一个运营商的城域网的角度来描述。下面将分别对此做介绍：
71.请参阅图3，为本技术实施例提供的另一种部署pe路由器的场景示意图。从图3可以看出，第一pe路由器与第二pe路由器可以部署在第一运营商的的城域网中。在该第一运营商的城域网的内部pe路由器之间也会存在非法流量占用带宽的瓶颈，因此，为了减少非法流量所占用的带宽，可以将第二pe路由器部署为可以与ce路由器相连接的路由器(例如图1所示的pe-1)，并且在该第二pe路由器中部署转换器，以生成第一验证码，进而执行前述图2所描述的步骤201-204。此外，可以将该第一pe路由器部署在该第一运营商的城域网的入口处(例如图1所示的pe-2、pe-3等)，这样，在该第一运营商的城域网中，第一pe路由器与第二pe路由器可以通过部署的ibgp协议来传递共享密钥和验证规则，以使得部署在第一运营商的城域网的入口处的第一pe路由器可以通过部署的过滤器，执行前述图2中所描述的步骤205-208，能够有效地在城域网的入口处拦截非法流量，降低ddos攻击所引起的非法流量占用该第一运营商的城域网的内部网络带宽。
72.此外，在图3所描述的场景下，第一运营商的城域网中的pe路由器与ce路由器之间也会存在非法流量占用带宽的问题，因此该第二pe路由器中也可以部署过滤器，以执行上述图2中的步骤205-208中所描述的内容，以过滤掉非法流量。
73.请参阅图4，为本技术实施例提供的另一种部署pe路由器的场景示意图。从图4可以看出，第一pe路由器可以部署在第一运营商的的城域网中，第二pe路由器可以部署在第二运营商的城域网中。在该第一运营商的城域网的pe路由器，与第二运营商的城域网的pe路由器之间也会存在非法流量占用带宽的瓶颈，因此，为了减少非法流量所占用的带宽，可以将第二pe路由器部署在第二运营商的城域网(例如前述图1中所描述的pe-1)，并且通过该第二运营商的城域网与ce路由器相连。这样，在该第二pe路由器中部署转换器，以生成第一验证码，进而执行前述图2所描述的步骤201-204。
74.此外，可以将该第一pe路由器部署在该第一运营商的城域网的出口处。这样，在第二运营商的城域网内部，该第二pe路由器可以通过ibgp协议与其他的pe路由器传递共享密钥和验证规则等；并且，位于该第一运营商的城域网的pe路由器与位于该第二运营商的城域网的pe路由器之间，可以通过部署bgp协议传递共享共享密钥和验证规则等。这样，部署在第一运营商的城域网的出口处的第一pe路由器可以通过部署的过滤器，执行前述图2中所描述的步骤205-208，能够有效地在第一运营商的城域网的出口处拦截非法流量，降低ddos攻击所引起的非法流量占用该第二运营商的城域网的内部网络带宽。
75.此外，在图3所描述的场景下，第二运营商的城域网中的pe路由器与ce路由器之间也会存在非法流量占用带宽的问题，因此该第二pe路由器中也可以部署过滤器，以执行上述图2中的步骤205-208中所描述的内容，以在该第二运营商的城域网内部过滤掉非法流量。
76.请参阅图5，为本技术实施例提供的另一种部署pe路由器的场景示意图。从图5可以看出，第一pe路由器可以部署在第一运营商的的广域网中，比如：在第一运营商的省干/国干上部署，第二pe路由器也可以部署在该第一运营商的城域网中。在该第一运营商的广域网的pe路由器，与城域网的pe路由器之间也会存在非法流量占用带宽的瓶颈，因此，为了减少非法流量所占用的带宽，可以将第二pe路由器部署在第一运营商的城域网(例如前述图1中的pe-1)，并且通过该第二运营商的城域网与ce路由器相连。这样，在该第二pe路由器中部署转换器，以生成第一验证码，进而执行前述图2所描述的步骤201-204。
77.此外，可以将该第一pe路由器部署在该第一运营商的广域网的出口处。这样，在第一运营商的城域网内部，该第二pe路由器可以通过ibgp协议与该城域网内部的其他pe路由器传递共享密钥和验证规则等；并且，位于该第一运营商的城域网的pe路由器与位于该广域网的pe路由器之间，也可以通过部署ibgp协议传递共享共享密钥和验证规则等。这样，部署在第一运营商的广域网的出口处的第一pe路由器可以通过部署的过滤器，执行前述图2中所描述的步骤205-208，能够有效地在第一运营商的广域网的出口处拦截非法流量，降低ddos攻击所引起的非法流量占用该广城域网的内部网络带宽，而且保护了下级的城域网的网络带宽避免遭受攻击。
78.此外，在图3所描述的场景下，第一运营商的城域网中的pe路由器与ce路由器之间也会存在非法流量占用带宽的问题，因此该第二pe路由器中也可以部署过滤器，以执行上述图2中的步骤205-208中所描述的内容，以在该第一运营商的城域网内部过滤掉非法流量。
79.在本技术实施例中，由于攻击者会伪造源ip地址与第一报文的源ip地址相同的报文，因此路由反射器反馈的应答报文有可能也是被伪造的报文，但是攻击者由于并不知道准确的密钥等信息，导致所伪造的报文并没有携带准确的验证码。因此，第一pe路由器在接收到第二pe路由器发送的第一报文、以及接收到路由器反射器反馈的应答报文时，可以在解析该应答报文后，提取出该应答报文的验证字段所对应的验证码，并基于共享密钥和验证规则将第一报文中所携带的第一验证码与该验证字段所对应的验证码进行校验，以此第一校验结果的指示来执行转发应答报文，或者丢弃应答报文。能够有效地过滤掉由ddos攻击引起的非法流量，降低ddos攻击引起的非法流量所占用的网络带宽，而且也不会丢弃合法流量。
80.上述主要从方法的角度对本技术实施例提供的方案进行了介绍。可以理解的是，上述的第一pe路由器与第二pe路由器为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的功能，本技术能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
81.从功能单元的角度，本技术可以根据上述方法实施例对第一pe路由器、第二pe路由器进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个功能单元中。上述集成的功能单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
82.比如，以采用集成的方式划分各个功能单元的情况下，参见图6，为本技术实施例提供了一种第一pe路由器的结构示意图。所描述的第一pe路由器可以包括：
83.接收模块601，用于接收第二pe路由器发送的第一报文、以及接收路由反射器响应第一报文时的应答报文，第一报文中携带第一验证码，第一验证码与路由反射器的ip地址相关联；
84.处理模块602，用于提取应答报文的验证字段所对应的验证码；
85.处理模块602，用于根据共享密钥和验证规则，将第一验证码与验证字段所对应的验证码进行校验，得到第一校验结果；
86.处理模块602，用于根据第一校验结果转发应答报文，或基于第一校验结果丢弃应答报文。
87.可选地，在一些示例中，接收模块601，还用于通过预设扩展协议接收第二pe路由器发送的共享密钥和验证规则。
88.可选地，在一些示例中，处理模块602，用于：在第一校验结果反映出第一验证码与验证字段所对应的验证码相同时，第一pe路由器转发应答报文；或，在第一校验结果反映出第一验证码与验证字段所对应的验证码不相同时，第一pe路由器丢弃应答报文。
89.可选地，在一些示例中，第一pe路由器与第二pe路由器部署在第一运营商的城域网中。
90.可选地，在一些示例中，第一pe路由器部署在第一运营商的城域网中，第二pe路由器部署在第二运营商的城域网中，第一运营商的城域网与第二运营商的城域网不同。
91.可选地，在一些示例中，第一pe路由器部署在第一运营商的广域网中，第二pe路由器部署在第一运营商的城域网中。
92.上述主要从描述了第一pe路由器的结构。下面将从功能单元的角度介绍前述所描述的第二pe路由器。比如，以采用集成的方式划分各个功能单元的情况下，参见图7，本技术实施例提供了一种第二pe路由器的结构示意图，该第二pe路由器可以包括：
93.获取单元701，用于获取第二报文，第二报文携带目的ip地址和源地址；
94.处理单元702，用于根据目的ip地址和源地址生成第一验证码，第一验证码与路由反射器的ip地址相关联；
95.处理单元702，用于根据第二报文和第一验证码生成第一报文，第一报文携带第一验证码；
96.发送单元703，用于向第一pe路由器发送第一报文。
97.可选地，在一些示例中，发送单元703，还用于通过预设扩展协议向第一pe路由器发送共享密钥和验证规则，共享密钥和验证规则用于第一pe路由器对第一验证码和验证字段所对应的验证码进行校验，验证字段所对应的验证码包含于第一报文对应的应答报文中。
98.可选地，在一些示例中，第一pe路由器与第二pe路由器部署在第一运营商的城域网中。
99.可选地，在一些示例中，第一pe路由器部署在第一运营商的城域网中，第二pe路由器部署在第二运营商的城域网中，第一运营商的城域网与第二运营商的城域网不同。
100.可选地，在一些示例中，第一pe路由器部署在第一运营商的广域网中，第二pe路由
器部署在第一运营商的城域网中。
101.上述主要从功能单元的角度介绍了第一终端设备、应用特征服务器以及第二终端设备。本技术也可以从系统的交互角度来描述防御攻击系统。比如，图8示出了一种防御攻击系统的结构示意图。如图8所示，本技术的防御攻击系统的一个实施例可以包括：第一pe路由器和第二pe路由器；其中，第一pe路由器可以参照前述图6所描述的内容进行理解，第二pe路由器可以参照前述图7中所描述的内容进行理解，此处不做赘述。
102.通过上述方式，由于攻击者会伪造源ip地址与第一报文的源ip地址相同的报文，因此路由反射器反馈的应答报文有可能也是被伪造的报文，但是攻击者由于并不知道准确的密钥等信息，导致所伪造的报文并没有携带准确的验证码。因此，图8中所示的第一pe路由器在接收到第二pe路由器发送的第一报文、以及接收到路由器反射器反馈的应答报文时，可以在解析该应答报文后，提取出该应答报文的验证字段所对应的验证码，并基于共享密钥和验证规则将第一报文中所携带的第一验证码与该验证字段所对应的验证码进行校验，以此第一校验结果的指示来执行转发应答报文，或者丢弃应答报文。能够有效地过滤掉由ddos攻击引起的非法流量，降低ddos攻击引起的非法流量所占用的网络带宽，而且也不会丢弃合法流量。
103.需要说明的是，上述装置各模块/单元之间的信息交互、执行过程等内容，由于与本技术方法实施例基于同一构思，其带来的技术效果与本技术方法实施例相同，具体内容可参见本技术前述所示的方法实施例中的叙述，此处不再赘述。
104.上面从模块化功能实体的角度对本技术实施例中的第一pe路由器和第二pe路由器进行描述，以及从系统的角度描述了防御攻击系统。从实体设备角度来描述，上述第一pe路由器和第二pe路由器可以由一个实体设备实现，也可以由多个实体设备共同实现，还可以是一个实体设备内的一个逻辑功能单元，本技术实施例对此不做具体限定。
105.例如，上述第一pe路由器和第二pe路由器可以由图9中的通信设备来实现。图9为本技术实施例提供的通信设备的硬件结构示意图。该通信设备包括至少一个处理器901，通信线路907，存储器903以及至少一个通信接口904。
106.处理器901可以是一个通用中央处理器(central processing unit，cpu)，微处理器，特定应用集成电路(application-specific integrated circuit，服务器ic)，或一个或多个用于控制本技术方案程序执行的集成电路。
107.通信线路907可包括一通路，在上述组件之间传送信息。
108.通信接口904，使用任何收发器一类的装置，用于与其他装置或通信网络通信，如以太网等。
109.存储器903可以是只读存储器(read-only memory，rom)或可存储静态信息和指令的其他类型的静态存储装置，随机存取存储器(random access memory，ram)或者可存储信息和指令的其他类型的动态存储装置，也可以是电可擦可编程只读存储器(electrically erable programmable read-only memory，eeprom)、只读光盘(compact disc read-only memory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路907与处理器相连接。存储器903也可以和处理器901集成在
一起。
110.其中，存储器903用于存储执行本技术方案的计算机执行指令，并由处理器901来控制执行。处理器901用于执行存储器903中存储的计算机执行指令，从而实现本技术上述实施例提供的防御ddos攻击的方法。
111.可选的，本技术实施例中的计算机执行指令也可以称之为应用程序代码，本技术实施例对此不作具体限定。
112.在具体实现中，作为一种实施例，处理器901可以包括一个或多个cpu，例如图9中的cpu0和cpu1。
113.在具体实现中，作为一种实施例，通信装置可以包括多个处理器，例如图9中的处理器901和处理器902。这些处理器中的每一个可以是一个单核(single-cpu)处理器，也可以是一个多核(multi-cpu)处理器。这里的处理器可以指一个或多个装置、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
114.在具体实现中，作为一种实施例，通信装置还可以包括输出装置905和输入装置906。输出装置905和处理器901通信，可以以多种方式来显示信息。输入装置906和处理器901通信，可以以多种方式接收用户的输入。例如，输入装置906可以是鼠标、触摸屏装置或传感装置等。
115.上述的通信装置可以是一个通用装置或者是一个专用装置。在具体实现中，通信装置可以是便携式电脑、移动终端等或有图9中类似结构的装置。本技术实施例不限定通信装置的类型。
116.需说明，图9中的处理器901可以通过调用存储器903中存储的计算机执行指令，使得第一pe路由器执行如图2对应的方法实施例中第一pe路由器所执行的方法。图9中的处理器901可以通过调用存储器903中存储的计算机执行指令，使得第二pe路由器执行如图2对应的方法实施例中第二pe路由器所执行的方法。
117.具体的，图6中的处理模块602，图7中的处理单元702的功能/实现过程可以通过图9中的处理器901调用存储器903中存储的计算机执行指令来实现；图6中的接收模块601，图7中的获取单元702、发送单元703的功能/实现过程可以通过图9中的通信接口904来实现。
118.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。
119.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
120.在本技术所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，该单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
121.该作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目
的。
122.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
123.该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例该方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
124.上述实施例，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现，当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。
125.计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机执行指令时，全部或部分地产生按照本技术实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如ssd))等。
126.以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围。