本申請公開了一種流量攻擊的防護方法、裝置、設備及可讀存儲介質，抗攻擊節點將ISP網絡的流量發送給調控中心，調控中心確定在哪些第一ISP網絡上部署黑洞路由后，向抗攻擊節點發送黑洞指令，以使得抗攻擊節點觸發流量攻擊的防護第一ISP網絡部署黑洞路由。調控中心發送黑洞指令后，還接收來自抗攻擊節點的第二流量，根據第二流量確定是否取消流量攻擊的防護第一ISP網絡上的黑洞路由。采用該種方案，通過在第一ISP網絡中部署黑洞路由，并根據第二ISP網絡的流量確定是否取消黑洞路由的時機，避免抗攻擊節點崩潰的同時，及時取消黑洞路由，實現提高業務質量的目的。

技術領域

本申請涉及網絡安全技術領域，特別涉及一種流量攻擊的防護方法、裝置、設備及可讀存儲介質。

背景技術

隨著互聯網技術的發展與應用普及，很多業務面臨著更多、更復雜的網絡攻擊行為。其中，分布式拒絕服務(Distributed Denial of Service，DDoS)便是一種較為嚴重的網絡攻擊行為，它利用大量的傀儡機對某個系統同時發起攻擊，使得受攻擊的系統因帶寬擁塞或服務器資源耗盡等原因而無法支持正常的業務訪問。

目前，為了防護DDoS攻擊往往使用大帶寬的節點。通過大帶寬的節點對來自各個互聯網服務提供商ISP(Internet Service Provider，ISP)網絡的流量進行清洗等防護。

然而，一旦流量超過大帶寬節點的承受范圍時，該節點發生異常，甚至導致網絡癱瘓，嚴重影響業務質量。

發明內容

本申請一種流量攻擊的防護方法、裝置、設備及可讀存儲介質，當流量超過抗攻擊節點的承受范圍時，在第一ISP網絡中部署黑洞路由，并根據第二ISP網絡的流量確定是否取消黑洞路由的時機，避免抗攻擊節點崩潰的同時，及時取消黑洞路由以恢復業務，提高業務質量。

第一方面，本申請實施例提供一種流量攻擊的防護方法，所述方法應用于調控中心，所述調控中心和抗攻擊節點連接，所述抗攻擊節點和至少兩個互聯網服務提供商ISP網絡連接，所述方法包括：

根據第一流量確定在至少一個第一ISP網絡內部署黑洞路由，所述第一流量包含所述至少兩個ISP網絡中每個ISP網絡的流量，所述第一ISP網絡是所述至少兩個ISP網絡中的ISP網絡；

向所述抗攻擊節點發送黑洞指令，以使得所述抗攻擊節點觸發所述至少一個第一ISP網絡部署所述黑洞路由；

根據第二流量確定是否取消所述至少一個第一ISP網絡中的黑洞路由，所述第二流量至少包含所述第二ISP網絡的流量，所述第二流量是所述調控中心接收到所述第一流量之后接收的流量，所述第二ISP網絡的帶寬小于所述第一ISP網絡的帶寬。

第二方面，本申請實施例提供一種流量攻擊的防護方法，所述方法應用于抗攻擊節點，所述抗攻擊節點和調控中心連接，所述抗攻擊節點和至少兩個互聯網服務提供商ISP網絡連接，所述方法包括：

向所述調控中心發送第一流量，所述第一流量包含所述至少兩個ISP網絡中每個ISP網絡的流量；

接收來自所述調控中心的黑洞指令；

根據所述黑洞指令生成黑洞路由；

向至少一個第一ISP網絡發送所述黑洞路由以在所述至少一個第一ISP網絡內部署所述黑洞路由，所述第一ISP網絡是所述至少兩個ISP網絡中的ISP網絡；

向所述調控中心發送第二流量，所述第二流量至少包含所述至少兩個ISP網絡中第二ISP網絡的流量，所述第二ISP網絡的帶寬小于所述第一ISP網絡的帶寬。

第三方面，本申請實施例提供一種流量攻擊的防護裝置，包括：