專利名稱:基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域��,尤其涉及一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊 防御系統(tǒng)及方法。
背景技術(shù):
隨著各個(gè)行業(yè)信息化水平的不斷提高�����,越來(lái)越多企業(yè)用戶的正常業(yè)務(wù)運(yùn)營(yíng)對(duì)于互 聯(lián)網(wǎng)的依賴性也越來(lái)越高�。目前由于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境的日益惡化,使得這類客戶的互 聯(lián)網(wǎng)業(yè)務(wù)面臨著極大的威脅和風(fēng)險(xiǎn)�����。其中��,分布式拒絕服務(wù)(DDoS����,Distributed Denial of Service)攻擊是目前互聯(lián) 網(wǎng)中存在的最常見(jiàn)���、危害性最大的攻擊形式之一�。DDoS攻擊是指借助于客戶/服務(wù)器技術(shù)����, 將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊���。DDoS攻擊由于攻 擊簡(jiǎn)單���、容易達(dá)到目的��、難于防止和追查越來(lái)越成為常見(jiàn)的攻擊方式��。近幾年來(lái)由于商業(yè)競(jìng)爭(zhēng)���、政治情緒、經(jīng)濟(jì)勒索等因素的驅(qū)動(dòng)���,DDoS攻擊越來(lái)越呈現(xiàn) 組織化����、規(guī)?���;⑸虡I(yè)化的特點(diǎn)�,攻擊流量動(dòng)輒數(shù)G、十幾G��,甚至幾十G���,攻擊頻率也大有愈 演愈烈之勢(shì)�,不但給各類企業(yè)客戶的互聯(lián)網(wǎng)應(yīng)用、IT系統(tǒng)服務(wù)造成服務(wù)提供中斷�、系統(tǒng)癱瘓 等嚴(yán)重后果,造成重大經(jīng)濟(jì)損失����;同時(shí)也嚴(yán)重威脅到電信運(yùn)營(yíng)商的基礎(chǔ)設(shè)施,嚴(yán)重影響了基 礎(chǔ)運(yùn)營(yíng)商骨干網(wǎng)絡(luò)的質(zhì)量和穩(wěn)定運(yùn)營(yíng)��,使得DDoS攻擊成為目前互聯(lián)網(wǎng)中存在的最常見(jiàn)�、危 害性最大的安全問(wèn)題之一。目前常用的DDoS攻擊防御方法有兩種�,一種是末端清洗防護(hù)方法,通過(guò)在靠近被 保護(hù)目標(biāo)的地方部署專用的流量清洗設(shè)備來(lái)進(jìn)行防御��,這種方法的特點(diǎn)是單點(diǎn)防御�����,只能 為本地用戶提供清洗防護(hù)����,而且防御能力有限�,在發(fā)生大規(guī)模攻擊后容易造成被保護(hù)目標(biāo) 所在網(wǎng)絡(luò)的擁塞或癱瘓,對(duì)于大規(guī)模、超大規(guī)模的DDoS攻擊則無(wú)能為力�����。另外一種是源端清洗防護(hù)方法���,通過(guò)采用“分布式部署�、集中調(diào)度��、近源清洗”的防 護(hù)機(jī)制���,在攻擊流量匯聚前�,在靠近攻擊源的多個(gè)骨干網(wǎng)節(jié)點(diǎn)處進(jìn)行分布式清洗�����,可用來(lái)防 御十幾G�、幾十G甚至上百G的大規(guī)模DDoS攻擊。但由于該機(jī)制主要是在骨干網(wǎng)層面進(jìn)行 清洗����,對(duì)于城域網(wǎng)、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC�����,Internet Data Center)等內(nèi)部的相互攻擊則難 以防御,同時(shí)由于清洗系統(tǒng)部署層面較高�����,難以部署精細(xì)化的防護(hù)策略��;上述兩個(gè)因素可能 導(dǎo)致造成部分攻擊流量避開(kāi)防護(hù)系統(tǒng)���,難以為客戶提供的精細(xì)化DDoS攻擊防護(hù)�����。綜上所述���,如何對(duì)大規(guī)模DDoS攻擊的異常流量進(jìn)行有效清洗,提升全網(wǎng)的大規(guī)模 DDoS攻擊防御能力成為本領(lǐng)域亟待解決的技術(shù)問(wèn)題��。
發(fā)明內(nèi)容
本發(fā)明要解決的一個(gè)技術(shù)問(wèn)題是提供一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊 防御系統(tǒng)及方法�����,能夠有效解決現(xiàn)有技術(shù)中存在的問(wèn)題����,可達(dá)到對(duì)大規(guī)模DDoS攻擊的精細(xì) 化流量清洗,取得提高全網(wǎng)的大規(guī)模DDoS攻擊防御能力的預(yù)期技術(shù)效果���。本發(fā)明的一個(gè)方面提供了一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)��,該系統(tǒng)包括流量監(jiān)測(cè)子系統(tǒng)���,用于對(duì)全網(wǎng)的流量進(jìn)行實(shí)時(shí)監(jiān)測(cè),搜尋并確認(rèn)DDoS攻擊行 為后���,向流量清洗子系統(tǒng)發(fā)送觸發(fā)清洗操作的報(bào)警消息����,以及將DDoS攻擊行為的異常流量 牽引至流量清洗子系統(tǒng)����;流量清洗子系統(tǒng),用于接收流量監(jiān)測(cè)子系統(tǒng)牽引的異常流量�����,根據(jù) 報(bào)警消息觸發(fā)清洗操作�����,對(duì)異常流量進(jìn)行清洗,并將清洗后的清潔流量回注到目標(biāo)客戶網(wǎng)本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的一個(gè)實(shí)施例中��, 該流量清洗子系統(tǒng)進(jìn)一步包括骨干網(wǎng)層面的清洗中心����,用于在近源端對(duì)進(jìn)入骨干網(wǎng)的跨 域DDoS攻擊行為的異常流量進(jìn)行清洗;本地網(wǎng)層面的清洗中心�����,用于對(duì)本地網(wǎng)內(nèi)部的DDoS 攻擊行為的異常流量以及從骨干網(wǎng)遺漏到本地網(wǎng)的DDoS攻擊行為的異常流量進(jìn)行清洗��, 并對(duì)骨干網(wǎng)層面清洗后的回注流量進(jìn)行二次清洗��。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的一個(gè)實(shí)施例中���, 本地網(wǎng)層面的清洗中心是目標(biāo)客戶所在城域網(wǎng)或互聯(lián)網(wǎng)數(shù)據(jù)中心所部署一套清洗設(shè)備或 清洗設(shè)備組����,用于通過(guò)二級(jí)聯(lián)動(dòng)機(jī)制協(xié)助骨干網(wǎng)層面的清洗中心實(shí)施對(duì)DDoS攻擊行為的 異常流量的協(xié)同清洗����。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的一個(gè)實(shí)施例中, 跨域DDoS攻擊行為的異常流量進(jìn)入骨干網(wǎng)后�,由骨干網(wǎng)層面的多個(gè)清洗中心進(jìn)行近源清 洗,并將清洗后的清潔流量通過(guò)專用通道或?qū)S镁W(wǎng)絡(luò)回注到目標(biāo)客戶所在的本地網(wǎng)�����。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的一個(gè)實(shí)施例中�, 對(duì)本地網(wǎng)內(nèi)部的DDoS攻擊行為的異常流量以及從骨干網(wǎng)遺漏到本地網(wǎng)的DDoS攻擊行為的 異常流量進(jìn)行清洗,以及對(duì)骨干網(wǎng)層面清洗后的回注流量進(jìn)行二次清洗后����,本地網(wǎng)層面的 清洗中心將其清洗后的清潔流量,通過(guò)標(biāo)簽分發(fā)協(xié)議(LDP)隧道或多協(xié)議標(biāo)簽交換協(xié)議虛 擬專用網(wǎng)絡(luò)(MPLS VPN)回注到目標(biāo)客戶網(wǎng)絡(luò)��。本發(fā)明的另一個(gè)方面提供了一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方 法�,該方法包括流量監(jiān)測(cè)子系統(tǒng)對(duì)全網(wǎng)的流量進(jìn)行實(shí)時(shí)監(jiān)測(cè),搜尋并確認(rèn)DDoS攻擊行為�; 向流量清洗子系統(tǒng)發(fā)送觸發(fā)清洗操作的報(bào)警消息,并將DDoS攻擊行為的異常流量牽引至 流量清洗子系統(tǒng)����;流量清洗子系統(tǒng)接收流量監(jiān)測(cè)子系統(tǒng)牽引的異常流量,根據(jù)報(bào)警消息觸 發(fā)清洗操作�����,對(duì)異常流量進(jìn)行清洗,并將清洗后的清潔流量回注到目標(biāo)客戶網(wǎng)絡(luò)����。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法的一個(gè)實(shí)施例中, 步驟“對(duì)異常流量進(jìn)行清洗”進(jìn)一步包括骨干網(wǎng)層面的清洗中心在近源端對(duì)進(jìn)入骨干網(wǎng)的 跨域DDoS攻擊行為的異常流量進(jìn)行清洗��;本地網(wǎng)層面的清洗中心對(duì)本地網(wǎng)內(nèi)部的DDoS攻 擊行為的異常流量以及從骨干網(wǎng)遺漏到本地網(wǎng)的DDoS攻擊行為的異常流量進(jìn)行清洗����,并 對(duì)骨干網(wǎng)層面清洗后的回注流量進(jìn)行二次清洗。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法的一個(gè)實(shí)施例中����, 本地網(wǎng)層面的清洗中心是目標(biāo)客戶所在城域網(wǎng)或互聯(lián)網(wǎng)數(shù)據(jù)中心所部署一套清洗設(shè)備或 清洗設(shè)備組,通過(guò)二級(jí)聯(lián)動(dòng)機(jī)制協(xié)助骨干網(wǎng)層面的清洗中心實(shí)施對(duì)DDoS攻擊行為的異常 流量的協(xié)同清洗�。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法的一個(gè)實(shí)施例中, 跨域DDoS攻擊行為的異常流量進(jìn)入骨干網(wǎng)后��,由骨干網(wǎng)層面的多個(gè)清洗中心進(jìn)行近源清 洗��,并將清洗后的清潔流量通過(guò)專用通道或?qū)S镁W(wǎng)絡(luò)回注到目標(biāo)客戶所在的本地網(wǎng)��。
本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法的一個(gè)實(shí)施例中���, 本地網(wǎng)層面的清洗中心對(duì)本地網(wǎng)內(nèi)部的DDoS攻擊行為的異常流量以及從骨干網(wǎng)遺漏到本 地網(wǎng)的DDoS攻擊行為的異常流量進(jìn)行清洗�,并對(duì)骨干網(wǎng)層面清洗后的回注流量進(jìn)行二次 清洗。本地網(wǎng)層面的清洗中心將其清洗后的清潔流量�����,通過(guò)LDP隧道或MPLS VPN回注到目 標(biāo)客戶網(wǎng)絡(luò)�����。本發(fā)明供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)及方法�,解決了現(xiàn)有 的DDoS防護(hù)技術(shù)所存在的清洗容量和清洗精度等問(wèn)題����,在降低業(yè)務(wù)規(guī)模部署成本的基礎(chǔ) 上,大大提升了全網(wǎng)的大規(guī)模DDoS攻擊防御能力��,提高攻擊流量的清洗精度����。
圖1示出本發(fā)明實(shí)施例提供的一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系 統(tǒng)的結(jié)構(gòu)示意圖;圖2示出本發(fā)明提供的大規(guī)模DDoS攻擊防御系統(tǒng)啟動(dòng)DDoS攻擊流量清洗機(jī)制的 流程示意圖���;圖3示出本發(fā)明實(shí)施例提供的一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系 統(tǒng)的結(jié)構(gòu)示意圖����;圖4示出本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)啟動(dòng)DDoS 攻擊流量清洗機(jī)制的流程示意圖;圖5示出本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)啟動(dòng)DDoS 攻擊流量清洗機(jī)制的一個(gè)具體實(shí)施方式
的流程示意圖��;圖6示出本發(fā)明實(shí)施例提供的一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方 法的流程圖�����;圖7示出本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法的另一個(gè) 實(shí)施例的流程圖�。
具體實(shí)施例方式下面參照附圖對(duì)本發(fā)明進(jìn)行更全面的描述,其中說(shuō)明本發(fā)明的示例性實(shí)施例�����。圖1示出本發(fā)明實(shí)施例提供的一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系 統(tǒng)的結(jié)構(gòu)示意圖����。如圖1所示,基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)100包括流量監(jiān)測(cè)子 系統(tǒng)102���、流量清洗子系統(tǒng)104����,其中流量監(jiān)測(cè)子系統(tǒng)102�,用于對(duì)全網(wǎng)的流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)�����,搜尋并確認(rèn)DDoS攻擊行 為后�,向流量清洗子系統(tǒng)發(fā)送觸發(fā)清洗操作的報(bào)警消息���,以及將DDoS攻擊行為的異常流量 牽引至流量清洗子系統(tǒng)�。例如���,流量監(jiān)測(cè)子系統(tǒng)對(duì)全網(wǎng)或到達(dá)目標(biāo)客戶的流量進(jìn)行實(shí)時(shí)監(jiān) 測(cè)和深入分析,搜尋與“正?���!毙袨榈钠罨駾DoS攻擊的基本行為。攻擊被識(shí)別后����,監(jiān)測(cè)系 統(tǒng)發(fā)警報(bào)給維護(hù)人員或清洗系統(tǒng),由人工或自動(dòng)觸發(fā)清洗設(shè)備啟動(dòng)流量清洗措施����。本發(fā)明 提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的一個(gè)實(shí)施例中,流量監(jiān)測(cè)子系統(tǒng) 的監(jiān)測(cè)范圍可以包括骨干網(wǎng)層面和本地網(wǎng)層面�����,可采用一套或多套系統(tǒng)組成。流量清洗子系統(tǒng)104�����,用于接收流量監(jiān)測(cè)子系統(tǒng)牽引的異常流量�����,根據(jù)報(bào)警消息觸發(fā)清洗操作�,對(duì)異常流量進(jìn)行清洗,并將清洗后的清潔流量回注到目標(biāo)客戶所在的網(wǎng)絡(luò)��。例 如�,流量清洗子系統(tǒng)是DDoS攻擊防護(hù)方案的重要組成部分,當(dāng)流量被“牽引”到該子系統(tǒng) 后�,能通過(guò)流量清洗等手段清洗攻擊流量,并將合法的數(shù)據(jù)包繼續(xù)傳送到目標(biāo)地址�。本發(fā)明 提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的一個(gè)實(shí)施例中,在骨干網(wǎng)層面和 目標(biāo)客戶所在城域網(wǎng)或IDC各部署一套清洗設(shè)備(組)�,可以采用二級(jí)聯(lián)動(dòng)機(jī)制實(shí)現(xiàn)DDoS 攻擊流量的協(xié)同清洗。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)及方法�����,可以依托 運(yùn)營(yíng)商一個(gè)或多個(gè)骨干網(wǎng)絡(luò)、目標(biāo)客戶所在城域網(wǎng)或IDC��,以及DDoS攻擊清洗子系統(tǒng)來(lái)實(shí) 現(xiàn)���;為描述方便��,可以將運(yùn)營(yíng)商骨干網(wǎng)絡(luò)稱為骨干網(wǎng)���;將客戶所在城域網(wǎng)或數(shù)據(jù)中心稱為 本地網(wǎng),將骨干網(wǎng)上部署的DDoS清洗設(shè)備���、本地網(wǎng)內(nèi)部部署的清洗設(shè)備可統(tǒng)稱為清洗系 統(tǒng)。在實(shí)際的應(yīng)用中�����,清洗中心可能是一臺(tái)或由多臺(tái)清洗設(shè)備所組成的設(shè)備群組構(gòu)成����。在技術(shù)實(shí)現(xiàn)層面,主要涉及流量監(jiān)測(cè)�����、流量牽引、流量清洗和流量回注等幾個(gè)環(huán) 節(jié)���;具體來(lái)說(shuō)1)流量監(jiān)測(cè)在全網(wǎng)絡(luò)(涉及骨干網(wǎng)�����、本地網(wǎng))的核心和匯聚層路由器上開(kāi)啟流 量采集功能(如Netflow等)�,并集中部署流量采集和分析系統(tǒng)�,在大網(wǎng)層面實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異 常流量、潛在安全威脅流量(如與正常行為的偏差或DDoS攻擊的基本行為)進(jìn)行宏觀監(jiān) 控和分析�����,實(shí)現(xiàn)自動(dòng)報(bào)警和清洗觸發(fā)聯(lián)動(dòng)����。另外,可根據(jù)需要在客戶CPE(用戶駐地設(shè)備���, Customer Premises Equipment)上開(kāi)啟流量采集功能或在客戶網(wǎng)絡(luò)出口處部署專用的異 常流量監(jiān)測(cè)設(shè)備��,實(shí)現(xiàn)客戶端DDoS攻擊的告警和清洗觸發(fā)聯(lián)動(dòng)�。2)流量牽引在全網(wǎng)絡(luò)�����,主要涉及骨干網(wǎng)層面,分布式部署流量清洗子系統(tǒng)(例如 骨干網(wǎng)層面的清洗中心)����,當(dāng)異常流量監(jiān)測(cè)子系統(tǒng)發(fā)現(xiàn)異常流量,并觸發(fā)流量清洗機(jī)制(可 以由自動(dòng)觸發(fā)�,也可以人工啟動(dòng))后,利用RR(路由反射器����,Routing Reflector)在骨干網(wǎng) 宣告BGP (邊界網(wǎng)關(guān)路由協(xié)議,Border Gateway Protocol)路由更新��,將去往被攻擊目標(biāo)的 流量就近牽引到各清洗中心節(jié)點(diǎn)��,在清洗中心實(shí)現(xiàn)分布式就源清洗�����?��?梢酝ㄟ^(guò)一臺(tái)專門用 于流量牽引的觸發(fā)路由器與骨干網(wǎng)上的多個(gè)RR建立BGP關(guān)系,統(tǒng)一宣告路由更新����,以實(shí)現(xiàn) 對(duì)多個(gè)RR進(jìn)行集中控制����。此外����,對(duì)于本地網(wǎng)層面,清洗子系統(tǒng)的清洗中心和本地網(wǎng)的RR建 立BGP關(guān)系�����,在本地網(wǎng)層面實(shí)現(xiàn)統(tǒng)一宣告更新����,將源自本地網(wǎng)以及流入本地網(wǎng)的目標(biāo)流量 牽引到清洗系統(tǒng)進(jìn)行流清洗。3)流量清洗在骨干網(wǎng)層面�����,各清洗中心對(duì)DDoS攻擊流量進(jìn)行就近清洗����,在靠近 攻擊源頭阻斷攻擊流量,清洗中心采用Anycast機(jī)制(Anycast與Multicast和Unicast是 三種通信方式,其中Anycast指IPV6協(xié)議中一個(gè)發(fā)送方同最近的一組接收方之間的通信��, 其用途之一是用一個(gè)主機(jī)進(jìn)行組內(nèi)所有主機(jī)路由表的更新工作�����。IPV6可以自動(dòng)判斷最近的 網(wǎng)關(guān)�,然后將數(shù)據(jù)包傳給此網(wǎng)關(guān)反過(guò)來(lái),此主機(jī)可以對(duì)組內(nèi)所有的主機(jī)進(jìn)行Anycast�����,直到 完成整個(gè)路由表的更新工作)進(jìn)行路由策略的配置�����,可采用多組Anycast地址��,全部或某些 清洗中心使用同一個(gè)Loopback IP地址作為對(duì)外服務(wù)地址���,可根據(jù)需要實(shí)現(xiàn)全網(wǎng)或部分節(jié) 點(diǎn)的負(fù)載分擔(dān)����,實(shí)現(xiàn)全網(wǎng)清洗中心資源的統(tǒng)一調(diào)度�����,在最大程度上降低大規(guī)模DDoS攻擊流 量對(duì)骨干網(wǎng)絡(luò)造成的沖擊或影響���。4)流量回注本技術(shù)方案中的流量回注分兩部分�����,涉及骨干網(wǎng)層面流量清洗后和 本地網(wǎng)流量清洗后的二級(jí)流量回注��。在骨干網(wǎng)層面�,各清洗中心完成流量清洗后����,清潔流量通過(guò)專用通道或網(wǎng)絡(luò)回注到客戶所在本地網(wǎng)。在本地網(wǎng)層面�����,本地網(wǎng)內(nèi)部發(fā)起的流量以及 從骨干網(wǎng)進(jìn)入本地網(wǎng)的流量被清洗后����,清潔流量通過(guò)本地網(wǎng)內(nèi)部的多協(xié)議標(biāo)簽交換協(xié)議虛 擬專用網(wǎng)絡(luò)(MPLS VPN)或標(biāo)簽分發(fā)協(xié)議(LDP)隧道回注到客戶網(wǎng)絡(luò),從而最終完成了所有 清潔流量的回注����。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的一個(gè)實(shí)施例�����,解 決了現(xiàn)有的DDoS防護(hù)技術(shù)所存在的清洗容量和清洗精度等問(wèn)題��,在降低業(yè)務(wù)規(guī)模部署成 本的基礎(chǔ)上��,大大提升了全網(wǎng)的大規(guī)模DDoS攻擊防御能力�����,提高攻擊流量的清洗精度���。圖2示出本發(fā)明提供的大規(guī)模DDoS攻擊防御系統(tǒng)啟動(dòng)DDoS攻擊流量清洗機(jī)制的 流程示意圖。如圖2所示����,流量監(jiān)控子系統(tǒng)對(duì)全網(wǎng)或到達(dá)目標(biāo)客戶的流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)和深入 分析,搜尋與“正?!毙袨榈钠罨駾DoS攻擊的基本行為。攻擊被識(shí)別后�,該監(jiān)測(cè)子系統(tǒng) 可以通過(guò)向運(yùn)維人員或清洗子系統(tǒng)發(fā)送報(bào)警消息,并將該異常流量牽引至流量清洗子系統(tǒng)
(如圖2中“_所示流向���,代表流量監(jiān)控子系統(tǒng)牽引的異常流量)�����,從而再由人工或
自動(dòng)觸發(fā)清洗設(shè)備啟動(dòng)流量清洗措施�。當(dāng)所述異常流量被“牽引”到流量清洗子系統(tǒng)后���, 通過(guò)流量清洗等手段清洗該攻擊流量�,并將合法的數(shù)據(jù)包繼續(xù)傳送到目標(biāo)地址(如圖2中
“---- ”和“.________ ”所示流向��,分別代表骨干網(wǎng)層面清洗后回注的流量和本地網(wǎng)層面
清洗后回注的流量)����。可以在骨干網(wǎng)層面和目標(biāo)客戶所在城域網(wǎng)或數(shù)據(jù)中心各部署一套清 洗設(shè)備(組)��,這將在隨后的實(shí)施例中作進(jìn)一步的詳細(xì)介紹�。圖3示出本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的另一個(gè) 實(shí)施例的結(jié)構(gòu)示意圖。如圖3所示�,基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)300主要包括流量 監(jiān)測(cè)子系統(tǒng)302、流量清洗子系統(tǒng)304��,其中���;其中流量監(jiān)測(cè)子系統(tǒng)302可以是與圖1所示流 量監(jiān)測(cè)子系統(tǒng)102具有相同或相似的功能模塊��;為簡(jiǎn)潔起見(jiàn)�,這里不再贅述。如圖3所示���,流量清洗子系統(tǒng)302進(jìn)一步包括流量分析子系統(tǒng)3030和DNS關(guān)聯(lián) 分析子系統(tǒng)3022�,其中骨干網(wǎng)層面的清洗中心3030���,用于在近源端對(duì)進(jìn)入骨干網(wǎng)的跨域DDoS攻擊行為 的異常流量進(jìn)行清洗���。本地網(wǎng)層面的清洗中心3022,用于對(duì)本地網(wǎng)內(nèi)部的DDoS攻擊行為的異常流量以 及從骨干網(wǎng)遺漏到本地網(wǎng)的DDoS攻擊行為的異常流量進(jìn)行清洗�,并對(duì)骨干網(wǎng)層面清洗后 的回注流量進(jìn)行二次清洗。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng) 的一個(gè)實(shí)施例中�����,本地網(wǎng)層面的清洗中心是目標(biāo)客戶所在城域網(wǎng)或互聯(lián)網(wǎng)數(shù)據(jù)中心所部署 一套清洗設(shè)備或清洗設(shè)備組�,用于通過(guò)二級(jí)聯(lián)動(dòng)機(jī)制協(xié)助骨干網(wǎng)層面的清洗中心實(shí)施對(duì) DDoS攻擊行為的異常流量的協(xié)同清洗。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的一個(gè)實(shí)施例中�����, 跨域DDoS攻擊行為的異常流量進(jìn)入骨干網(wǎng)后,由骨干網(wǎng)層面的多個(gè)清洗中心進(jìn)行近源清 洗�����,并將清洗后的清潔流量通過(guò)專用通道或?qū)S镁W(wǎng)絡(luò)回注到目標(biāo)客戶所在的本地網(wǎng)�����。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的一個(gè)實(shí)施例中���, 對(duì)本地網(wǎng)內(nèi)部的DDoS攻擊行為的異常流量以及從骨干網(wǎng)遺漏到本地網(wǎng)的DDoS攻擊行為的 異常流量進(jìn)行清洗,以及對(duì)骨干網(wǎng)層面清洗后的回注流量進(jìn)行二次清洗后�,本地網(wǎng)層面的清洗中心將其清洗后的清潔流量,通過(guò)LDP隧道或MPLS VPN回注到目標(biāo)客戶網(wǎng)絡(luò)�。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的一個(gè)實(shí)施例中, 骨干網(wǎng)清洗中心采用分布式部署����、就源清洗的工作機(jī)制,負(fù)責(zé)在骨干網(wǎng)層面就源清洗跨域 攻擊流量�;本地網(wǎng)清洗系統(tǒng)采用末端清洗方式負(fù)責(zé)清洗本地內(nèi)部攻擊流量以及對(duì)清洗后的 跨域流量進(jìn)行二次清洗,從而構(gòu)成二級(jí)聯(lián)動(dòng)的清洗防御系統(tǒng)��,該二級(jí)清洗中心協(xié)同工作���、可 同步開(kāi)展清洗操作�;并采用專用通道實(shí)現(xiàn)清潔流量的遠(yuǎn)程回注,從而有效節(jié)省骨干網(wǎng)帶寬 資源����,并顯著提高流量清洗精度。圖4示出本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)啟動(dòng)DDoS 攻擊流量清洗機(jī)制的流程示意圖�。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)的典型網(wǎng)絡(luò)部署如 圖4所示,在骨干網(wǎng)層面的多個(gè)核心節(jié)點(diǎn)和目標(biāo)客戶所在城域網(wǎng)或IDC分別部署清洗中心 (如清洗中心1����、清洗中心2、清洗中心3和本地網(wǎng)清洗中心)�,形成骨干網(wǎng)+本地網(wǎng)的二級(jí)清 洗系統(tǒng)架構(gòu),該二級(jí)清洗系統(tǒng)采用二級(jí)聯(lián)動(dòng)的機(jī)制協(xié)同運(yùn)作��,各司其職�����。其中骨干網(wǎng)層面的
清洗中心主要負(fù)責(zé)在近源端對(duì)進(jìn)入骨干網(wǎng)的跨域攻擊流量(如圖4中“_________”所示流向
代表攻擊流量)進(jìn)行清洗���,并遵循流量進(jìn)入最近的清洗中心的原則(如清洗中心1負(fù)責(zé)就 近對(duì)本地網(wǎng)1的異常攻擊流量進(jìn)行清洗���,清洗中心2負(fù)責(zé)就近對(duì)本地網(wǎng)2的異常攻擊流量
進(jìn)行清洗���,清洗中心3負(fù)責(zé)就近對(duì)本地網(wǎng)3的異常攻擊流量進(jìn)行清洗),圖4中“_
所示流向代表清潔流量���,圖4中“____ ”所示流向代表路由更新信息���;本地網(wǎng)的清洗中
心主要負(fù)責(zé)本地網(wǎng)內(nèi)部的攻擊流量以及從骨干網(wǎng)遺漏到本地網(wǎng)的攻擊流量進(jìn)行清洗,并對(duì) 骨干網(wǎng)清洗中心清洗過(guò)的流量進(jìn)行二次清洗�����,協(xié)同為客戶提供集約化的��、大容量的DDoS攻 擊防護(hù)服務(wù)�����。圖5示出本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)啟動(dòng)DDoS 攻擊流量清洗機(jī)制的一個(gè)具體實(shí)施方式
的流程示意圖���。本發(fā)明以運(yùn)營(yíng)兩個(gè)骨干網(wǎng)A(如CN2網(wǎng)絡(luò))和B (如163網(wǎng)絡(luò))以及客戶所在城域 網(wǎng)或互聯(lián)網(wǎng)數(shù)據(jù)中心(簡(jiǎn)稱本地網(wǎng))為例,來(lái)具體說(shuō)明如何實(shí)現(xiàn)基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī) 模DDoS攻擊流量的分布式防御網(wǎng)絡(luò)部署�。如圖5所示,在骨干網(wǎng)核心節(jié)點(diǎn)(本實(shí)施例中選取多個(gè)核心節(jié)點(diǎn))部署流量清洗 中心���,作為骨干網(wǎng)一級(jí)清洗系統(tǒng)�;各清洗中心雙掛A、B兩個(gè)骨干網(wǎng)�,并設(shè)置相同的清洗中 心環(huán)回地址,各清洗中心和所在大區(qū)的路由反射器(RR)建立EBGP(外部邊界網(wǎng)關(guān)協(xié)議���, ExteriorBorder Gateway Protocol)Peer ��;同〒網(wǎng) A胃胃一臺(tái) Trigger 足各由 器和骨干網(wǎng)RR建立BGP Peer���,用于宣告被保護(hù)路由以實(shí)現(xiàn)清洗的分布和集中控制。在客 戶所在本地網(wǎng)c部署一套清洗中心�����,該清洗中心負(fù)責(zé)源自本地網(wǎng)內(nèi)部的攻擊流量(如圖5
中“........—”所示流向代表攻擊流量)以及從骨干網(wǎng)A和/或B進(jìn)入本地網(wǎng)流量的清洗���;
同時(shí)在本地網(wǎng)內(nèi)部預(yù)先建立一個(gè)專用的流量回送VPN或LDP通道����,通過(guò)該通道將清潔流量 (如圖5中“____ ”所示流向代表清潔流量)回注到客戶網(wǎng)絡(luò)�����。在骨干網(wǎng)及本地網(wǎng)的核心和匯聚層路由器上開(kāi)啟Netflow,并集中部署基于 Netflow的流量采集和分析系統(tǒng)�����,在大網(wǎng)層面實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常流量�、潛在安全威脅流量的宏 觀監(jiān)控和分析。例如���,本地網(wǎng)c的目標(biāo)客戶的主機(jī)(IP地址為60. 195. Χ. X)受到來(lái)自全國(guó) 范圍內(nèi)的大規(guī)模DDoS攻擊���,部署在骨干網(wǎng)上的異常流量監(jiān)控子系統(tǒng)發(fā)現(xiàn)此異常流量后,判斷攻擊源分布和攻擊目標(biāo)地址����,啟動(dòng)二級(jí)系統(tǒng)聯(lián)動(dòng)的清洗指令���。在骨干網(wǎng)層面����,觸發(fā)路由器 將通過(guò)RR宣告給骨干網(wǎng)A的核心��、匯聚路由器,宣告被保護(hù)目標(biāo)地址的BGP路由下一跳地 址為全網(wǎng)唯一的清洗中心地址��,各清洗中心通過(guò)Anycast方式實(shí)現(xiàn)流量的自動(dòng)分擔(dān)����;在接 收到RR所宣告的BGP更新信息后,骨干網(wǎng)A的核心和匯聚路由節(jié)點(diǎn)將會(huì)把來(lái)自各個(gè)方向的 攻擊流量就近轉(zhuǎn)發(fā)至清洗中心�,實(shí)現(xiàn)流量牽引。各清洗中心對(duì)牽引來(lái)的DDoS攻擊流量進(jìn)行 就近清洗����,在靠近攻擊源頭阻斷攻擊流量。各清洗中心清洗后的清潔流量進(jìn)入骨干網(wǎng)B��,通 過(guò)骨干網(wǎng)B全局路由方式進(jìn)入被保護(hù)目標(biāo)主機(jī)所在的本地網(wǎng)C�。在本地網(wǎng)層面,本地清洗系統(tǒng)同步啟動(dòng)清洗指令�����,源自本地網(wǎng)c內(nèi)部的攻擊流量��、 由骨干網(wǎng)B進(jìn)入本地網(wǎng)c的清潔流量和源自骨干網(wǎng)B的攻擊流量�����,均被牽引到本地清洗系 統(tǒng)進(jìn)行清洗,清洗后的流量通過(guò)清洗系統(tǒng)與客戶上聯(lián)CPE的MPLS VPN或LDP通道進(jìn)入客戶 所在網(wǎng)絡(luò)��,實(shí)現(xiàn)了正常流量的最終回注���。圖6示出本發(fā)明實(shí)施例提供的一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方 法的流程圖��。如圖6所示�,基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法600包括步驟602����, 流量監(jiān)測(cè)子系統(tǒng)對(duì)全網(wǎng)的流量進(jìn)行實(shí)時(shí)監(jiān)測(cè),搜尋并確認(rèn)DDoS攻擊行為���。例如����,流量監(jiān)測(cè) 子系統(tǒng)對(duì)全網(wǎng)或到達(dá)目標(biāo)客戶的流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)和深入分析���,搜尋與“正常”行為的偏差 或DDoS攻擊的基本行為�。步驟604,向流量清洗子系統(tǒng)發(fā)送觸發(fā)清洗操作的報(bào)警消息�,并將DDoS攻擊行為 的異常流量牽引至流量清洗子系統(tǒng)。例如,攻擊被識(shí)別后�,監(jiān)測(cè)系統(tǒng)發(fā)警報(bào)給維護(hù)人員或清 洗系統(tǒng),由人工或自動(dòng)觸發(fā)清洗設(shè)備啟動(dòng)流量清洗措施����。步驟606,本地網(wǎng)層面的清洗中心對(duì)本地網(wǎng)內(nèi)部的DDoS攻擊行為的異常流量以及 從骨干網(wǎng)遺漏到本地網(wǎng)的DDoS攻擊行為的異常流量進(jìn)行清洗���。例如�,當(dāng)流量被“牽引”到 該子系統(tǒng)后�����,通過(guò)流量清洗等手段清洗攻擊流量�,并將合法的數(shù)據(jù)包繼續(xù)傳送到本地網(wǎng)中 目標(biāo)客戶主機(jī)的IP地址。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法的一個(gè)實(shí)施例��,解 決了現(xiàn)有的DDoS防護(hù)技術(shù)所存在的清洗容量和清洗精度等問(wèn)題��,在降低業(yè)務(wù)規(guī)模部署成 本的基礎(chǔ)上����,大大提升了全網(wǎng)的大規(guī)模DDoS攻擊防御能力,提高攻擊流量的清洗精度��。圖7示出本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法的另一個(gè) 實(shí)施例的流程圖。如圖2所示�,基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法200包括步驟702、 704����、706、707和708�����,其中步驟702和704可以分別執(zhí)行與圖6所示的步驟602和604相同 或相似的技術(shù)內(nèi)容��,為簡(jiǎn)潔起見(jiàn)����,這里不再贅述其技術(shù)內(nèi)容。如圖7所示�,在步驟704之后,執(zhí)行步驟706����,流量清洗子系統(tǒng)接收流量監(jiān)測(cè)子系統(tǒng) 牽引的異常流量,根據(jù)報(bào)警消息觸發(fā)清洗操作��,骨干網(wǎng)層面的清洗中心在近源端對(duì)進(jìn)入骨 干網(wǎng)的跨域DDoS攻擊行為的異常流量進(jìn)行清洗�����。步驟707��,本地網(wǎng)層面的清洗中心對(duì)本地網(wǎng)內(nèi)部的DDoS攻擊行為的異常流量以及 從骨干網(wǎng)遺漏到本地網(wǎng)的DDoS攻擊行為的異常流量進(jìn)行清洗�,并對(duì)骨干網(wǎng)層面清洗后的 回注流量進(jìn)行二次清洗。步驟708���,將清洗后的清潔流量回注到目標(biāo)客戶網(wǎng)絡(luò)����。
本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法的一個(gè)實(shí)施例中��, 本地網(wǎng)層面的清洗中心是目標(biāo)客戶所在城域網(wǎng)或互聯(lián)網(wǎng)數(shù)據(jù)中心所部署一套清洗設(shè)備或 清洗設(shè)備組����,通過(guò)二級(jí)聯(lián)動(dòng)機(jī)制協(xié)助骨干網(wǎng)層面的清洗中心實(shí)施對(duì)DDoS攻擊行為的異常 流量的協(xié)同清洗。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法的一個(gè)實(shí)施例中�, 跨域DDoS攻擊行為的異常流量進(jìn)入骨干網(wǎng)后,由骨干網(wǎng)層面的多個(gè)清洗中心進(jìn)行近源清 洗��,并將清洗后的清潔流量通過(guò)專用通道或?qū)S镁W(wǎng)絡(luò)回注到目標(biāo)客戶所在的網(wǎng)絡(luò)�。本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法的一個(gè)實(shí)施例中, 本地網(wǎng)層面的清洗中心對(duì)本地網(wǎng)內(nèi)部的DDoS攻擊行為的異常流量以及從骨干網(wǎng)遺漏到本 地網(wǎng)的DDoS攻擊行為的異常流量進(jìn)行清洗����,并對(duì)骨干網(wǎng)層面清洗后的回注流量進(jìn)行二次 清洗���。本地網(wǎng)層面的清洗中心將其清洗后的清潔流量,通過(guò)LDP隧道或MPLS VPN回注到目 標(biāo)客戶網(wǎng)絡(luò)��。參考前述本發(fā)明示例性的描述�����,本領(lǐng)域技術(shù)人員可以清楚的知曉本發(fā)明具有以下 優(yōu)點(diǎn)1���、本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)及方法的一個(gè)實(shí) 施例����,解決了現(xiàn)有的DDoS防護(hù)技術(shù)所存在的清洗容量和清洗精度等問(wèn)題���,在降低業(yè)務(wù)規(guī)模 部署成本的基礎(chǔ)上�����,大大提升了全網(wǎng)的大規(guī)模DDoS攻擊防御能力��,提高攻擊流量的清洗精度�。2、本發(fā)明提供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)及方法的一個(gè)實(shí) 施例�����,骨干網(wǎng)清洗中心采用分布式部署�����、就源清洗的工作機(jī)制�����,負(fù)責(zé)在骨干網(wǎng)層面就源清洗 跨域攻擊流量����;本地網(wǎng)清洗系統(tǒng)采用末端清洗方式負(fù)責(zé)清洗本地內(nèi)部攻擊流量以及對(duì)清洗 后的跨域流量進(jìn)行二次清洗�,從而構(gòu)成二級(jí)聯(lián)動(dòng)的清洗防御系統(tǒng),該二級(jí)清洗中心協(xié)同工 作��、可同步開(kāi)展清洗操作��;并采用專用通道實(shí)現(xiàn)清潔流量的遠(yuǎn)程回注�,從而有效節(jié)省骨干網(wǎng) 帶寬資源,并顯著提高流量清洗精度����。本發(fā)明的描述是為了示例和描述起見(jiàn)而給出的���,而并不是無(wú)遺漏的或者將本發(fā)明 限于所公開(kāi)的形式。很多修改和變化對(duì)于本領(lǐng)域的普通技術(shù)人員而言是顯然的�����。選擇和描 述實(shí)施例是為了更好說(shuō)明本發(fā)明的原理和實(shí)際應(yīng)用���,并且使本領(lǐng)域的普通技術(shù)人員能夠理 解本發(fā)明從而設(shè)計(jì)適于特定用途的帶有各種修改的各種實(shí)施例����。
權(quán)利要求
一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)���,其特征在于�,所述系統(tǒng)包括流量監(jiān)測(cè)子系統(tǒng)��,用于對(duì)全網(wǎng)的流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)����,搜尋并確認(rèn)DDoS攻擊行為后,向流量清洗子系統(tǒng)發(fā)送觸發(fā)清洗操作的報(bào)警消息,以及將所述DDoS攻擊行為的異常流量牽引至所述流量清洗子系統(tǒng)�����;所述流量清洗子系統(tǒng)�����,用于接收所述流量監(jiān)測(cè)子系統(tǒng)牽引的所述異常流量��,根據(jù)所述報(bào)警消息觸發(fā)清洗操作���,對(duì)所述異常流量進(jìn)行清洗,并將清洗后的清潔流量回注到目標(biāo)客戶網(wǎng)絡(luò)�����。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)��,其特征在于�,所述流量清洗子系統(tǒng)進(jìn)一步包括骨干網(wǎng)層面的清洗中心,用于在近源端對(duì)進(jìn)入骨干網(wǎng)的跨域DDoS攻擊行為的異常流 量進(jìn)行清洗�����;本地網(wǎng)層面的清洗中心,用于對(duì)所述本地網(wǎng)內(nèi)部的DDoS攻擊行為的異常流量以及從 所述骨干網(wǎng)遺漏到本地網(wǎng)的所述DDoS攻擊行為的異常流量進(jìn)行清洗����,并對(duì)骨干網(wǎng)層面清 洗后的回注流量進(jìn)行二次清洗。
3.根據(jù)權(quán)利要求2所述的系統(tǒng)�����,其特征在于���,所述本地網(wǎng)層面的清洗中心是目標(biāo)客戶 所在城域網(wǎng)或互聯(lián)網(wǎng)數(shù)據(jù)中心所部署一套清洗設(shè)備或清洗設(shè)備組����,用于通過(guò)二級(jí)聯(lián)動(dòng)機(jī)制 協(xié)助所述骨干網(wǎng)層面的清洗中心實(shí)施對(duì)所述DDoS攻擊行為的異常流量的協(xié)同清洗�����。
4.根據(jù)權(quán)利要求2所述的系統(tǒng)�����,其特征在于��,所述跨域DDoS攻擊行為的異常流量進(jìn)入 所述骨干網(wǎng)后����,由所述骨干網(wǎng)層面的多個(gè)清洗中心進(jìn)行近源清洗���,并將清洗后的清潔流量 通過(guò)專用通道或?qū)S镁W(wǎng)絡(luò)回注到目標(biāo)客戶所在的本地網(wǎng)。
5.根據(jù)權(quán)利要求2所述的系統(tǒng)�����,其特征在于��,對(duì)所述本地網(wǎng)內(nèi)部的DDoS攻擊行為的 異常流量以及從所述骨干網(wǎng)遺漏到本地網(wǎng)的所述DDoS攻擊行為的異常流量進(jìn)行清洗�,并 對(duì)骨干網(wǎng)清洗中心清洗后的回注流量進(jìn)行二次清洗���,所述本地網(wǎng)層面的清洗中心將其清洗 后的清潔流量���,通過(guò)標(biāo)簽分發(fā)協(xié)議(LDP)隧道或多協(xié)議標(biāo)簽交換協(xié)議虛擬專用網(wǎng)絡(luò)(MPLS VPN)回注到目標(biāo)客戶網(wǎng)絡(luò)。
6.一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御方法����,其特征在于,所述方法包括流量監(jiān)測(cè)子系統(tǒng)對(duì)全網(wǎng)的流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)��,搜尋并確認(rèn)DDoS攻擊行為���;向流量清洗子系統(tǒng)發(fā)送觸發(fā)清洗操作的報(bào)警消息�,并將所述DDoS攻擊行為的異常流 量牽引至所述流量清洗子系統(tǒng);所述流量清洗子系統(tǒng)接收所述流量監(jiān)測(cè)子系統(tǒng)牽引的所述異常流量���,根據(jù)所述報(bào)警消 息觸發(fā)清洗操作���,對(duì)所述異常流量進(jìn)行清洗,并將清洗后的清潔流量回注到目標(biāo)客戶網(wǎng)絡(luò)���。
7.根據(jù)權(quán)利要求6所述的方法�����,其特征在于�����,步驟“對(duì)所述異常流量進(jìn)行清洗”進(jìn)一步 包括骨干網(wǎng)層面的清洗中心在近源端對(duì)進(jìn)入骨干網(wǎng)的跨域DDoS攻擊行為的異常流量進(jìn)行 清洗��;本地網(wǎng)層面的清洗中心對(duì)所述本地網(wǎng)內(nèi)部的DDoS攻擊行為的異常流量以及從所述骨 干網(wǎng)遺漏到本地網(wǎng)的所述DDoS攻擊行為的異常流量進(jìn)行清洗����,并對(duì)骨干網(wǎng)層面清洗中心 清洗后的回注流量進(jìn)行二次清洗��。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于�����,所述本地網(wǎng)層面的清洗中心是目標(biāo)客戶 所在城域網(wǎng)或互聯(lián)網(wǎng)數(shù)據(jù)中心所部署一套清洗設(shè)備或清洗設(shè)備組��,通過(guò)二級(jí)聯(lián)動(dòng)機(jī)制協(xié)助所述骨干網(wǎng)層面的清洗中心實(shí)施對(duì)所述DDoS攻擊行為的異常流量的協(xié)同清洗���。
9.根據(jù)權(quán)利要求7所述的方法��,其特征在于����,所述跨域DDoS攻擊行為的異常流量進(jìn)入 所述骨干網(wǎng)后�����,由所述骨干網(wǎng)層面的多個(gè)清洗中心進(jìn)行近源清洗���,并將清洗后的清潔流量 通過(guò)專用通道或?qū)S镁W(wǎng)絡(luò)回注到目標(biāo)客戶所在的本地網(wǎng)。
10.根據(jù)權(quán)利要求7所述的方法����,其特征在于����,本地網(wǎng)層面的清洗中心對(duì)所述本地網(wǎng)內(nèi) 部的DDoS攻擊行為的異常流量以及從所述骨干網(wǎng)遺漏到本地網(wǎng)的所述DDoS攻擊行為的異 常流量進(jìn)行清洗���,并對(duì)骨干網(wǎng)層面清洗中心清洗后的回注流量進(jìn)行二次清洗�,所述本地網(wǎng) 層面的清洗中心將其清洗后的清潔流量��,通過(guò)標(biāo)簽分發(fā)協(xié)議(LDP)隧道或多協(xié)議標(biāo)簽交換 協(xié)議虛擬專用網(wǎng)絡(luò)(MPLS VPN)回注到目標(biāo)客戶網(wǎng)絡(luò)��。
全文摘要
本發(fā)明公開(kāi)一種基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)及方法�,該方法包括流量監(jiān)測(cè)子系統(tǒng)對(duì)全網(wǎng)的流量進(jìn)行實(shí)時(shí)監(jiān)測(cè),搜尋并確認(rèn)DDoS攻擊行為����;向流量清洗子系統(tǒng)發(fā)送觸發(fā)清洗操作的報(bào)警消息,并將DDoS攻擊行為的異常流量牽引至流量清洗子系統(tǒng)�;流量清洗子系統(tǒng)接收流量監(jiān)測(cè)子系統(tǒng)牽引的異常流量,根據(jù)報(bào)警消息觸發(fā)清洗操作�����,對(duì)異常流量進(jìn)行清洗�,(其中流量清洗子系統(tǒng)采用骨干網(wǎng)+本地網(wǎng)防御系統(tǒng)二級(jí)架構(gòu),兩級(jí)清洗系統(tǒng)協(xié)同工作�����、同步清洗)并將清洗后的清潔流量回注到目標(biāo)客戶網(wǎng)絡(luò)。本發(fā)明供的基于二級(jí)聯(lián)動(dòng)機(jī)制的大規(guī)模DDoS攻擊防御系統(tǒng)及方法��,解決了現(xiàn)有的DDoS防護(hù)技術(shù)所存在的清洗容量和清洗精度等問(wèn)題����,在降低業(yè)務(wù)規(guī)模部署成本的基礎(chǔ)上,大大提升了全網(wǎng)的大規(guī)模DDoS攻擊防御能力�,提高攻擊流量的清洗精度。
文檔編號(hào)H04L29/08GK101924764SQ201010257450
公開(kāi)日2010年12月22日 申請(qǐng)日期2010年8月9日 優(yōu)先權(quán)日2010年8月9日
發(fā)明者史國(guó)水, 汪來(lái)富, 沈軍, 譚峣儀, 金華敏 申請(qǐng)人:中國(guó)電信股份有限公司