本申請?zhí)峁┮环N監(jiān)控網(wǎng)絡流量的方法、裝置及服務器，該方法包括：確定來自ISP側的網(wǎng)絡設備的網(wǎng)絡流量的源IP地址是否為偽造的IP地址；如果所述源IP地址為非偽造的IP地址，向所述源IP地址對應的設備發(fā)送探測報文；如果接收到所述源IP地址對應的設備根據(jù)所述探測報文返回的應答報文，向所述源IP地址側對應的第一流量清洗設備發(fā)送用于對所述源IP地址的網(wǎng)絡流量進行流量清洗的第一通知消息。在本申請的技術方案可以使源IP地址對應的流量清洗設備對源IP地址發(fā)送的網(wǎng)絡流量進行近源清洗，實現(xiàn)了按照攻擊源的地區(qū)下發(fā)清洗策略，將攻擊在源頭進行堵截，減少了攻擊目的地的網(wǎng)絡擁塞情況，降低了目的地的防御難度和防御帶寬成本。

技術領域

本申請涉及網(wǎng)絡技術領域，尤其涉及一種監(jiān)控網(wǎng)絡流量的方法、裝置及服務器。

背景技術

當互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center，簡稱為IDC)內部的任意一臺服務器遭受大流量分布式拒絕服務(Distributed Denial of Service，簡稱為DDoS)攻擊時，均可能引起互聯(lián)網(wǎng)服務提供商(Internet Service Provider，簡稱為ISP)到IDC的網(wǎng)絡擁塞，現(xiàn)有技術通常會在ISP網(wǎng)絡設備上將流量進行黑洞處理，例如，當IDC內部的服務器A遭受大流量DDoS攻擊時，ISP網(wǎng)絡設備如果發(fā)現(xiàn)網(wǎng)絡目的地址為IDC內的服務器A，則將網(wǎng)絡流量丟棄，從而使網(wǎng)絡流量不會轉發(fā)到IDC網(wǎng)絡設備上，保護了ISP到IDC的帶寬。現(xiàn)有技術只是為了保障ISP到IDC的帶寬不被擁塞，對于被丟棄的流量完全不可知。

發(fā)明內容

有鑒于此，本申請?zhí)峁┮环N新的技術方案，可以通過對IDC網(wǎng)絡設備丟棄的網(wǎng)絡流量進行檢測和分析，從而清晰地了解到網(wǎng)絡流量的攻擊狀態(tài)，進而在網(wǎng)絡流量的源IP地址側堵住流量攻擊，降低防御難度和防御帶寬成本。

為實現(xiàn)上述目的，本申請?zhí)峁┘夹g方案如下：

根據(jù)本申請的第一方面，提出了一種監(jiān)控網(wǎng)絡流量的方法，包括：

確定來自ISP側的網(wǎng)絡設備的網(wǎng)絡流量的源IP地址是否為偽造的IP地址；

如果所述源IP地址為非偽造的IP地址，向所述源IP地址對應的設備發(fā)送探測報文；

如果接收到所述源IP地址對應的設備根據(jù)所述探測報文返回的應答報文，向所述源IP地址對應的第一流量清洗設備發(fā)送用于對所述源IP地址的網(wǎng)絡流量進行流量清洗的第一通知消息。

根據(jù)本申請的第二方面，提出了一種監(jiān)控網(wǎng)絡流量的裝置，包括：

第一確定模塊，用于確定來自ISP側的網(wǎng)絡設備的網(wǎng)絡流量的源IP地址是否為偽造的IP地址；

第一發(fā)送模塊，用于如果所述第一確定模塊確定所述源IP地址為非偽造的IP地址，向所述源IP地址對應的設備發(fā)送探測報文；

第二發(fā)送模塊，用于如果接收到所述源IP地址對應的設備根據(jù)所述第一發(fā)送模塊發(fā)送的所述探測報文返回的應答報文，向所述源IP地址對應的第一流量清洗設備發(fā)送用于對所述源IP地址的網(wǎng)絡流量進行流量清洗的第一通知消息。

根據(jù)本申請的第三方面，提出了一種服務器，所述服務器包括：

處理器；用于存儲所述處理器可執(zhí)行指令的存儲器；網(wǎng)絡接口；

其中，所述網(wǎng)絡接口，用于接收來自ISP側的網(wǎng)絡設備的網(wǎng)絡流量；

處理器，用于確定所述網(wǎng)絡接口接收到的網(wǎng)絡流量的源IP地址是否為偽造的IP地址；

所述網(wǎng)絡接口，還用于如果所述處理器確定所述源IP地址為非偽造的IP地址，向所述源IP地址對應的設備發(fā)送探測報文；