本發(fā)明公開了一種處理網(wǎng)絡(luò)流量的方法及裝置。其中，該方法包括：確定網(wǎng)絡(luò)流量發(fā)生丟棄；為網(wǎng)絡(luò)流量分配第一公網(wǎng)訪問地址并生成與第一公網(wǎng)訪問地址對應(yīng)的轉(zhuǎn)發(fā)路徑，其中，第一公網(wǎng)訪問地址用于接收網(wǎng)絡(luò)流量，轉(zhuǎn)發(fā)路徑用于將第一公網(wǎng)訪問地址接收到的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)至目標主機；通知訪問流量清洗設(shè)備向第一公網(wǎng)訪問地址發(fā)送網(wǎng)絡(luò)流量，其中，網(wǎng)絡(luò)流量按照轉(zhuǎn)發(fā)路徑轉(zhuǎn)發(fā)至目標主機。本發(fā)明解決了相關(guān)技術(shù)在使用專業(yè)DDoS云端防護過程中由于攻擊者發(fā)現(xiàn)受保護的目標主機的公網(wǎng)地址進而繞過專業(yè)DDoS云端防護直接對目標主機進行攻擊引起全部網(wǎng)絡(luò)訪問流量被黑洞屏蔽，由此導(dǎo)致經(jīng)過專業(yè)DDoS云端防護系統(tǒng)凈化得到的正常回源訪問流量無法對目標主機進行正常訪問的技術(shù)問題。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域，具體而言，涉及一種處理網(wǎng)絡(luò)流量的方法及裝置。

背景技術(shù)

分布式拒絕服務(wù)(Distributed Denial of Service，簡稱為DDoS)攻擊是指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。在通常情況下，攻擊者會將DDoS主控程序安裝在一個計算機上，然后在一個設(shè)定的時間內(nèi)，主控程序?qū)⑴c大量代理程序進行通訊，其中，代理程序已經(jīng)被安裝在因特網(wǎng)(Internet)內(nèi)的多臺計算機上。代理程序一旦從主控程序接收到指令便可立即發(fā)動攻擊。通過利用客戶/服務(wù)器技術(shù)，主控程序能夠在幾秒鐘內(nèi)激活成百上千次代理程序的運行。

黑洞路由(即一條特殊的靜態(tài)路由)是指將所有無關(guān)路由吸入其中，使它們有來無回的路由，在通常情況下，是指管理員(admin)主動建立的路由條目。管理員可以將接收到的特定源地址轉(zhuǎn)向null0接口(即一個原本不存在的接口)，這樣操作的結(jié)果在于出于安全因素考慮，將匹配這條路由的數(shù)據(jù)包全部丟棄而不指明原因，進而通過充分利用路由器的包轉(zhuǎn)發(fā)能力，可以使得對系統(tǒng)負載影響非常小。

惡意流量清洗系統(tǒng)(例如：DDoS云端防護系統(tǒng))包括流量檢測設(shè)備，流量清洗設(shè)備和監(jiān)控管理設(shè)備三個部分。流量檢測設(shè)備負責檢測網(wǎng)絡(luò)流量中隱藏的非法攻擊流量，以及在發(fā)現(xiàn)攻擊后及時通知并激活防護設(shè)備進行流量的清洗；流量清洗設(shè)備負責通過專業(yè)的流量凈化產(chǎn)品，將可疑流量從原始網(wǎng)絡(luò)路徑中重定向到凈化產(chǎn)品上進行惡意流量的識別和剝離，進而將還原出的合法流量回注到原網(wǎng)絡(luò)中轉(zhuǎn)發(fā)給目標系統(tǒng)，至于其它合法流量的轉(zhuǎn)發(fā)路徑則不受影響；監(jiān)控管理系統(tǒng)負責對流量清洗系統(tǒng)的設(shè)備進行集中管理配置、展現(xiàn)實時流量、告警事件、狀態(tài)信息監(jiān)控、及時輸出流量分析報告和攻擊防護報告等報表。

云計算(cloud computing)是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付模式，通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)易擴展且經(jīng)常是虛擬化的資源。

軟件定義網(wǎng)絡(luò)(Software Defined Network,簡稱為SDN)，是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，其為網(wǎng)絡(luò)虛擬化的一種實現(xiàn)方式，SDN的核心思想在于通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來，從而便于實現(xiàn)軟件自定義路由功能。當前云計算服務(wù)商提供的虛擬私有云(Virtual Private Cloud，簡稱為VPC)網(wǎng)絡(luò)是SDN思想的一種具體實現(xiàn)方式。在VPC網(wǎng)絡(luò)中，可以通過虛擬可擴展局域網(wǎng)(Virtual Extensible Local Area Network，簡稱為VXLAN)隧道技術(shù)來實現(xiàn)轉(zhuǎn)發(fā)路由的自定義。

當前伴隨著云計算業(yè)務(wù)的蓬勃發(fā)展，大量用戶已經(jīng)將業(yè)務(wù)遷移到公有云上來進行。但是，當前針對云用戶的DDoS攻擊不斷增長，因為受制于機房帶寬影響，當攻擊流量超過帶寬可承受范圍時，為了不影響同一機房的其他業(yè)務(wù)，業(yè)務(wù)方通常會采用黑洞路由的方式來屏蔽被攻擊互聯(lián)網(wǎng)協(xié)議(Internal Protocol，簡稱為IP)的訪問，從而導(dǎo)致用戶業(yè)務(wù)無法訪問。對此，相關(guān)技術(shù)中提出了如下解決方案：