技術(shù)領(lǐng)域

本申請涉及網(wǎng)絡(luò)安全領(lǐng)域，特別是涉及一種流量清洗方法、裝置和系統(tǒng)。

背景技術(shù)

DoS攻擊(Denial of Service拒絕服務(wù)攻擊)是指利用各種服務(wù)請求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無法處理合法用戶的請求。而隨著僵尸網(wǎng)絡(luò)的興起，同時由于攻擊方法簡單、影響較大、難以追查等特點，又使得DDoS攻擊(Distributed Denial of Service分布式拒絕服務(wù)攻擊)得到快速壯大和日益泛濫。成千上萬主機(jī)組成的僵尸網(wǎng)絡(luò)為DDoS攻擊提供了所需的帶寬和主機(jī)，形成了規(guī)模巨大的攻擊和網(wǎng)絡(luò)流量，對被攻擊網(wǎng)絡(luò)造成了極大的危害。

現(xiàn)有技術(shù)中，經(jīng)常使用流量清洗中心來解決這個問題，流量清洗中心通常旁路部署于城域網(wǎng)出口，與核心網(wǎng)絡(luò)設(shè)備相連，從而對省內(nèi)或市內(nèi)地址進(jìn)行保護(hù)。如附圖1所示，流量清洗主要由流量檢測、流量牽引、流量清洗、流量回注4個階段組成：

1)流量檢測：異常流量檢測可通過鏡像、分光等方式，對指定的流量進(jìn)行檢測，把流量信息反饋給管理中心供用戶參考，當(dāng)發(fā)生攻擊時，可及時發(fā)送告警給管理中心。

2)流量牽引：當(dāng)管理中心收到告警日志后，給異常流量清洗平臺下發(fā)防護(hù)策略，異常流量清洗平臺與核心網(wǎng)絡(luò)設(shè)備進(jìn)行交互，通過BGP動態(tài)路由協(xié)議等方式將需要保護(hù)的用戶流量牽引到異常流量清洗平臺上進(jìn)行防護(hù)。

3)流量清洗：異常流量清洗平臺收到牽引過來的流量后進(jìn)行攻擊識別，采用專業(yè)的DDoS防護(hù)技術(shù)對攻擊報文進(jìn)行流量清洗。

4)流量回注：完成清洗后，異常流量清洗平臺將清洗后的正常流量回注到用戶網(wǎng)絡(luò)中，同時上報清洗日志到管理中心生成流量清洗報表。

現(xiàn)有技術(shù)的缺陷是：流量清洗中心旁路部署于城域網(wǎng)出口，與城域網(wǎng)核心網(wǎng)絡(luò)設(shè)備相連，當(dāng)發(fā)現(xiàn)異常流量時，使用BGP、OSPF、策略路由、MPLS等方式將流經(jīng)所有核心網(wǎng)絡(luò)設(shè)備上的被攻擊服務(wù)器的流量動態(tài)的牽引到清洗中心進(jìn)行清洗。清洗完成后，再通過策略路由，GRE等方式將正常流量回注到用戶網(wǎng)絡(luò)。現(xiàn)有技術(shù)中流量的牽引和回注都是基于清洗平臺連接的城域網(wǎng)核心網(wǎng)絡(luò)設(shè)備。也就是說，這種清洗方式只能清洗流經(jīng)城域網(wǎng)核心網(wǎng)絡(luò)設(shè)備的流量，只能針對一個地域的終端設(shè)備進(jìn)行清洗防護(hù)，當(dāng)有其它地域的終端設(shè)備需要流量清洗時，就必須在其它地域的本地重新部署一套流量清洗中心。單獨一套流量清洗中心只能面向一個城域網(wǎng)的用戶，使用范圍有限。

發(fā)明內(nèi)容

為解決上述技術(shù)問題，本申請?zhí)峁┮环N流量清洗方法，技術(shù)方案如下：

一種流量清洗方法，應(yīng)用于流量清洗中心，其特征在于，所述方法包括：

接收第一次地址轉(zhuǎn)換后的異常流量，所述流量轉(zhuǎn)換前將發(fā)送到需要流量清洗的目標(biāo)終端設(shè)備，轉(zhuǎn)換后將發(fā)送到流量清洗中心；所述第一次地址轉(zhuǎn)換為更改目標(biāo)終端設(shè)備所在域名的DNS映射，使DNS針對所述域名解析出的IP地址都指向流量清洗中心；

使用預(yù)設(shè)的清洗策略對異常流量進(jìn)行清洗；

對清洗完成后留存的正常流量進(jìn)行第二次地址轉(zhuǎn)換，所述流量轉(zhuǎn)換前地址為流量清洗中心，轉(zhuǎn)換后地址為目標(biāo)終端設(shè)備；所述第二次地址轉(zhuǎn)換使用NAT的方式，將正常流量的IP地址轉(zhuǎn)換為目標(biāo)終端設(shè)備的IP地址；

將正常流量發(fā)送回目標(biāo)終端設(shè)備。

一種流量清洗方法，應(yīng)用于目標(biāo)終端設(shè)備，其特征在于，所述方法包括：

發(fā)現(xiàn)異常流量時，更改目標(biāo)終端設(shè)備所在域名的DNS映射，使DNS針對所述域名解析出的IP地址都指向流量清洗中心。

本申請?zhí)峁┝艘环N流量清洗中心方法，如附圖2所示，在發(fā)現(xiàn)異常流量時，先修改終端設(shè)備的DNS映射，使DNS針對域名解析出的IP地址都指向流量清洗中心，從而將原本發(fā)送給終端設(shè)備的流量牽引到流量清洗中心，將異常流量清洗完畢后，再通過地址轉(zhuǎn)換將清洗后留存的正常流量的IP地址指向終端設(shè)備，從而將正常流量回注到終端設(shè)備。本申請使流量清洗中心可以對城域網(wǎng)以外的設(shè)備進(jìn)行清洗。當(dāng)有其他地域的終端設(shè)備需要流量清洗時，不需要在其他地域重新部署流量清洗中心，使流量清洗中心的使用范圍更廣。

附圖說明

圖1為本申請現(xiàn)有技術(shù)中流量清洗方法的一種示意圖；

圖2為本申請實施例流量清洗方法的一種示意圖；

圖3為本申請實施例流量清洗方法應(yīng)用在流量清洗中心的一種流程圖；

圖4為本申請實施例流量清洗方法應(yīng)用在終端設(shè)備的一種流程圖；

圖5為本申請實施例流量清洗裝置應(yīng)用在流量清洗中心的一種示意圖；

圖6為本申請實施例流量清洗裝置應(yīng)用在終端設(shè)備的一種流程圖；