專利名稱:雙向在線方式的網吧流量集中式清洗系統及方法
技術領域:
本發明涉及網絡安全領域,尤其涉及一種雙向在線方式的網吧流量集中式清洗系 統及方法。
背景技術:
隨著各個行業信息化水平的不斷提高,越來越多企業用戶的正常業務運營對于互 聯網的依賴性也越來越高。目前由于互聯網網絡安全環境的日益惡化,使得這類客戶的互 聯網業務面臨著極大的威脅和風險。其中,分布式拒絕服務(DDoS,Distributed Denial of Service)攻擊是目前互聯 網中存在的最常見、危害性最大的攻擊形式之一。DDoS攻擊是指借助于客戶/服務器技術, 將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DoS攻擊。DDoS攻擊由于攻 擊簡單、容易達到目的、難于防止和追查越來越成為常見的攻擊方式。近幾年來由于商業競爭、政治情緒、經濟勒索等因素的驅動,DDoS攻擊越來越呈現 組織化、規模化、商業化的特點,攻擊流量動輒數G、十幾G,甚至幾十G,攻擊頻率也大有愈 演愈烈之勢,不但給各類企業客戶的互聯網應用、IT系統服務造成服務提供中斷、系統癱瘓 等嚴重后果,造成重大經濟損失;同時也嚴重威脅到電信運營商的基礎設施,嚴重影響了基 礎運營商骨干網絡的質量和穩定運營,使得DDoS攻擊成為目前互聯網中存在的最常見、危 害性最大的安全問題之一。目前常用的DDoS攻擊防御方法有兩種,一種是末端清洗防護方法,通過在靠近被 保護目標的地方部署專用的流量清洗設備來進行防御,這種方法的特點是單點防御,只能 為本地用戶提供清洗防護,而且防御能力有限,在發生大規模攻擊后容易造成被保護目標 所在網絡的擁塞或癱瘓,對于大規模、超大規模的DDoS攻擊則無能為力。另外一種是源端清洗防護方法,通過采用“分布式部署、集中調度、近源清洗”的防 護機制,在攻擊流量匯聚前,在靠近攻擊源的多個骨干網節點處進行分布式清洗,可用來防 御十幾G、幾十G甚至上百G的大規模DDoS攻擊。但由于該機制主要是在骨干網層面進行 清洗,對于城域網、互聯網數據中心(IDC,Internet Data Center)等內部的相互攻擊則難 以防御,同時由于清洗系統部署層面較高,難以部署精細化的防護策略;上述兩個因素可能 導致造成部分攻擊流量避開防護系統,難以為客戶提供的精細化DDoS攻擊防護。綜上所述,如何對大規模DDoS攻擊的異常流量進行有效清洗,提升全網的大規模 DDoS攻擊防御能力成為本領域亟待解決的技術問題。
發明內容
本發明要解決的一個技術問題是提供一種雙向在線方式的網吧流量集中式清洗 系統及方法,能夠有效解決現有技術中存在的問題,可達到對大規模DDoS攻擊的精細化流 量清洗,取得提高全網的大規模DDoS攻擊防御能力的預期技術效果。本發明的一個方面提供了一種雙向在線方式的網吧流量集中式清洗系統,該系統包括駐地設備PE,用于牽引網吧上下行流量,并將網吧上下行流量發送至流量清洗中心; 接收流量清洗中心清洗后的清潔流量,作為流量清洗中心的出口路由器設備,實現與城域 網之間的路由交換,并將清潔流量回注城域網的出口設備;流量清洗中心,用于接收駐地設 備PE牽引的網吧上下行流量,對經過的上下行流量進行實時的攻擊監測,對確認的異常流 量進行清洗,并將清洗后的清潔流量發送給駐地設備PE;城域網的出口設備,用于接收網 吧上下行流量,并將網吧上下行流量發送至駐地設備PE ;以及將駐地設備PE返回的清潔流 量回注到目標客戶端所在的網絡。本發明提供的雙向在線方式的網吧流量集中式清洗系統的一個實施例中,駐地設 備PE還用于根據流量清洗中心的處理能力,對各個網吧用戶使用DDoS防護進行流量限 制。本發明提供的雙向在線方式的網吧流量集中式清洗系統的一個實施例中,流量清 洗中心還用于區分正常流量和異常,以及根據異常流量的不同攻擊特征,識別攻擊類型。本發明提供的雙向在線方式的網吧流量集中式清洗系統的一個實施例中,流量清 洗中心對Flood類、DoS類攻擊直接做識別清洗,對用戶數據報文協議UDP、控制信道CC、僵 尸網絡的應用層的攻擊,結合深度包檢測DPI進行識別清洗。本發明提供的雙向在線方式的網吧流量集中式清洗系統的一個實施例中,該系統 還包括業務路由器SR,以及在駐地設備PE和業務路由器SR之間配置多協議標簽交換協 議虛擬專用網絡MPLS VPN ;其中MPLS VPN用于將清洗后的清潔流量注入對端的業務路由器SR,務路由器SR用于 接收MPLS VPN注入的清潔流量,并通過相應的VPN路由轉發表接口將清潔流量發送至目標 客戶端。本發明的另一個方面提供了一種雙向在線方式的網吧流量集中式清洗方法,該方 法包括駐地設備PE牽引網吧上下行流量,并將網吧上下行流量發送至流量清洗中心;流 量清洗中心接收駐地設備PE牽引的網吧上下行流量,對經過的上下行流量進行實時的攻 擊監測,對確認的異常流量進行清洗,并將清洗后的清潔流量發送給駐地設備PE;駐地設 備PE接收流量清洗中心清洗后的清潔流量,并將清潔流量回注城域網的出口設備;城域網 的出口設備將駐地設備PE返回的清潔流量回注到目標客戶端所在的網絡。本發明提供的雙向在線方式的網吧流量集中式清洗方法的一個實施例中,該方法 還包括在步驟“駐地設備PE牽引網吧上下行流量,并將網吧上下行流量發送至流量清洗 中心”之前,城域網的出口設備接收網吧上下行流量,并將網吧上下行流量發送至駐地設備 PE。本發明提供的雙向在線方式的網吧流量集中式清洗方法的一個實施例中,步驟 “對經過的上下行流量進行實時的攻擊監測,對確認的異常流量進行清洗”進一步包括流 量清洗中心對上下行流量區分正常流量和異常,以及根據異常流量的不同攻擊特征,識別 攻擊類型;以及流量清洗中心對Flood類、DoS類攻擊直接做識別清洗,對用戶數據報文協 議UDP、控制信道CC、僵尸網絡的應用層的攻擊,結合深度包檢測DPI進行識別清洗。本發明提供的雙向在線方式的網吧流量集中式清洗方法的一個實施例中,步驟 “駐地設備PE接收流量清洗中心清洗后的清潔流量,并將清潔流量回注城域網的出口設備” 進一步包括駐地設備PE接收流量清洗中心清洗后的清潔流量,作為流量清洗中心的出口路由器設備,實現與城域網之間的路由交換,并將清潔流量回注城域網的出口設備;以及駐 地設備PE根據流量清洗中心的處理能力,對各個網吧用戶使用DDoS防護進行流量限制。本發明提供的雙向在線方式的網吧流量集中式清洗方法的一個實施例中,步驟 “城域網的出口設備將駐地設備PE返回的清潔流量回注到目標客戶端所在的網絡”進一步 包括在駐地設備PE和業務路由器SR之間配置多協議標簽交換協議虛擬專用網絡MPLS VPN ;MPLSVPN將清洗后的清潔流量注入對端的業務路由器SR ;以及業務路由器SR接收 MPLS VPN注入的清潔流量,并通過相應的VPN路由轉發表接口將清潔流量發送至目標客戶 端。本發明供的雙向在線方式的網吧流量集中式清洗系統及方法,解決了現有的DDoS 防護技術所存在的清洗容量和清洗精度等問題,在降低業務規模部署成本的基礎上,大大 提升了全網的大規模DDoS攻擊防御能力,提高攻擊流量的清洗精度。
圖1示出本發明實施例提供的一種雙向在線方式的網吧流量集中式清洗系統的 結構示意圖;圖2示出本發明提供的雙向在線方式的網吧流量集中式清洗系統的另一個實施 例的結構示意圖;圖3示出本發明提供的雙向在線方式的網吧流量集中式清洗系統的一個具體實 施例的組網結構示意圖;圖4示出本發明實施例提供的一種雙向在線方式的網吧流量集中式清洗方法的 流程圖;圖5示出本發明提供的雙向在線方式的網吧流量集中式清洗系統啟動集中清洗 的一個具體實施例的流量流向示意圖。
具體實施例方式下面參照附圖對本發明進行更全面的描述,其中說明本發明的示例性實施例。圖1示出本發明實施例提供的一種雙向在線方式的網吧流量集中式清洗系統的 結構示意圖。如圖1所示,雙向在線方式的網吧流量集中式清洗系統100包括駐地設備PE 102、流量清洗中心104和城域網的出口設備106,其中駐地設備(PE,Premises Equipment) 102,用于牽引網吧上下行流量,并將網吧上 下行流量發送至流量清洗中心;接收流量清洗中心清洗后的清潔流量,作為流量清洗中心 的出口路由器設備,實現與城域網之間的路由交換,并將清潔流量回注城域網的出口設備。 例如,PE主要功能是終結穿過城域網的承載用戶流量的隧道,對網吧上下行流經城域網的 流量進行牽引/導引,同時其還作為流量清洗中心的出口路由器設備,將清洗后的流量饋 入城域網,與城域網進行路由的交換和控制。流量清洗中心104,用于接收駐地設備PE牽引的網吧上下行流量,對經過的上下 行流量進行實時的攻擊監測,對確認的異常流量進行清洗,并將清洗后的清潔流量發送給 駐地設備PE。例如,流量清洗中心可以是一個專門的DDoS攻擊清洗設備或由該專門的DDoS攻擊清洗設備構成的設備組,當網吧的上下行流量被“牽引”到該流量清洗中心后,其能夠 通過限速或過濾等手段遏制攻擊流量,同時保證合法的數據包能繼續傳送到目標地址。
城域網的出口設備106,用于接收網吧上下行流量,并將網吧上下行流量發送至駐 地設備PE ;以及將駐地設備PE返回的清潔流量回注到目標客戶端所在的網絡。本發明提供的雙向在線方式的網吧流量集中式清洗系統及方法,可以依托運營商 一個或多個骨干網絡、目標客戶所在城域網,以及DDoS攻擊清洗中心來實現。在技術實現 層面,主要涉及流量監測、流量牽引、流量清洗和流量回注等幾個環節;具體來說1)流量監測對于網吧流量,由于網吧業務對于實時性要求較高,并且所遭受的 攻擊很多持續時間較短,優選采用實時在線清洗的方式;網吧的上下行流量,都是實時經過 清洗中心。清洗設備對于經過的上下行流量,進行實時的攻擊監測與識別,一旦確認DDoS 攻擊發生,立即進行流量清洗操作。2)流量牽引在城域網內,通過駐地設備PE終結穿過城域網的承載用戶流量的隧 道,PE與城域網出口設備建立IBGP關系(內部邊界網關協議,Internal Border Gateway Protocol), PE上通告網吧更明細IBGP路由給出口設備,出口設備將下行流量牽引到ΡΕ。 出口設備下連PE接口定義兩個子接口,一種是交換IBGP的Global接口,一種是MPLS VPN 接口。其中,采用IBGP接口牽引流量到新PE,MPLS VPN接口負責回注VPN流量,此時出口 設備作為P路由器,從而將網吧上下行流經城域網的流量牽引到清洗中心進行流量清洗。3)流量清洗清洗中心采用Anycast機制(Anycast最初在RFC1546中定義,即在 IP網絡上通過一個Anycast地址標識一組提供特定服務的接口,同時服務訪問方并不關心 提供服務的具體是哪一個接口,發送到該接口的報文被網絡路由到路由協議度量的“最近” 的目標接口上。)進行路由策略的配置,可采用多組Anycast地址,全部或某些清洗中心使 用同一個Loopback IP地址作為對外服務地址,可根據需要實現全網或部分節點的負載分 擔,實現全網清洗中心資源的統一調度,在最大程度上降低大規模DDoS攻擊流量對骨干網 絡造成的沖擊或影響。此外,清洗中心區分正常和異常流量,并根據異常流量的不同攻擊特征,對傳統的 Flood 類(例如 ICMP Flood 攻擊、UDP Flood 攻擊、SYN Flood 攻擊、UDP Flood 攻擊)、DoS 類(拒絕服務攻擊,Denial Of Service)攻擊做識別清洗,以及結合DPI (深度包檢測,De印 Packet Inspection)攻擊檢測增強對UDP(用戶數據報文協議,User Datagram Protocol)、 CC(控制信道,Control Channel)、僵尸網絡的應用層攻擊識別。整個的防護流程基于層層 過濾,并采用關鍵指紋防護技術(主要是指針對某些有特征的IP攻擊包創建指紋,在具體 流量檢測過程中,及時發現流量中所存在的這些特征IP包,以提高檢測的效率和精度。此 處的指紋主要指針對特征IP包所形成的特定的字符串),深度檢測用戶流量形成攻擊指 紋,匹配動態識別指紋后清洗(動態識別的主要原理是識別之初會根據正常流量環境動態 生成一些數據指標的基線閾值,建立流量模型,一旦出現攻擊行為,會基于事先形成的基線 值對異常情況進行初判和預警,這些基線值包括流量相關的、數據包相關的等)。通過這樣 的方式完成對復雜攻擊流量的識別區分,達到清洗效果。4)流量回注經過流量清洗后,正常流量被重新轉發回網絡,到達原來的目標地 址。本方案采用MPLS VPN的回注方式利用城域網絡及駐地設備PE都支持MPLS VPN(多 協議標簽交換協議虛擬專用網絡,Multi-Protocol Label Switch Virtual PrivateNetwork)能力,高效簡潔地實現“清潔流量”的回送。例如在PE和SR(業務路由器,Service Router)之間配置MPLS VPN,本地網內部發起的流量以及從骨干網進入本地網的流量被清 洗后,清潔流量通過本地網內部的MPLS VPN注入對端的SR路由器,并通過相應的VRF (VPN 路由轉發表,VPN Routing Forwarding Table)接口達到目標客戶端,從而最終完成了清潔 流量的回注。本發明提供的雙向在線方式的網吧流量集中式清洗系統的一個實施例中,駐地設 備PE還用于根據流量清洗中心的處理能力,對各個網吧用戶使用DDoS防護進行流量限 制。例如,駐地設備PE根據流量清洗中心安全功能模塊的處理能力,在該路由器上對各個 網吧DDoS防護使用用戶進行流量限制,避免由于單個用戶受到超大流量攻擊而影響其他 用戶的行為。本發明提供的雙向在線方式的網吧流量集中式清洗系統的一個實施例中,流量清 洗中心還用于區分正常流量和異常,以及根據異常流量的不同攻擊特征,識別攻擊類型。本發明提供的雙向在線方式的網吧流量集中式清洗系統的一個實施例中,流量清 洗中心對Flood類、DoS類攻擊直接做識別清洗,對用戶數據報文協議UDP、控制信道CC、僵 尸網絡的應用層的攻擊,結合深度包檢測DPI進行識別清洗。本發明提供的雙向在線方式的網吧流量集中式清洗系統的一個實施例,解決了現 有的DDoS防護技術所存在的清洗容量和清洗精度等問題,為廣大網吧客戶端提供了 DDoS 攻擊的防護服務,大大提高了網吧運營的安全性和業務延續性;同時也很好的解決了電信 運維部門面臨的巨大壓力,避免了大流量DDOS攻擊給網絡帶寬造的沖擊。圖2示出本發明提供的雙向在線方式的網吧流量集中式清洗系統的另一個實施 例的結構示意圖。如圖2所示,雙向在線方式的網吧流量集中式清洗系統200主要包括駐地設備 PE 202、流量清洗中心204、城域網的出口設備206和業務路由器SR 208,其中;其中流量監 測子系統202可以是與圖1所示駐地設備PE 102、流量清洗中心104和城域網的出口設備 106具有相同或相似的功能模塊;為簡潔起見,這里不再贅述。如圖2所示,雙向在線方式的網吧流量集中式清洗系統200還包括業務路由器SR 208,以及在駐地設備PE 202和業務路由器SR 208之間配置的MPLS VPN 210 ;其中MPLS VPN用于將清洗后的清潔流量注入對端的業務路由器SR,業務路由器SR用于接收MPLS VPN 注入的清潔流量,并通過相應的VPN路由轉發表接口將清潔流量發送至目標客戶端。圖3示出本發明提供的雙向在線方式的網吧流量集中式清洗系統的一個具體實 施例的組網結構示意圖。如圖3所示,本發明提供的雙向在線方式的網吧流量集中式清洗系統在城域網出 口路由器旁接掛PE設備,PE設備通過兩條上行鏈路分別與兩臺出口設備連接,同時下行鏈 路連接流量清洗中心。在SR和PE間建立MPLS VPN,分散在不同SR上的網吧客戶端通過 MPLSVPN的方式將網吧流量匯聚到PE設備,統一網吧客戶端的流量出口,集中進行安全防 護。在該組網方案中,PE與城域網出口設備建立IBGP關系,PE上通告網吧更明細IBGP 路由給出口設備,出口設備將下行流量牽引到PE。出口設備下連PE接口定義兩個子接口, 一種是交換IBGP的Global接口,一種是MPLS VPN接口。其中,采用IBGP接口牽引流量到新PE,MPLS VPN接口負責回注VPN流量,此時出口設備作為P路由器。PE與流量清洗設備 建立EBGP關系,在PE上將網吧對應的子接口或VLAN接口與相應VPN的VRF進行綁定,實 現不同網吧流量通過不同的VPN進行回注。本發明提供的雙向在線方式的網吧流量集中式清洗系統的一個實施例中,為目前 組網方式較為簡單的網吧提供了有效的DDoS攻擊防護手段,提高了其抵抗大規模DDoS攻 擊的能力;同時由于采用專用通道實現清潔流量的遠程回注,從而有效節省骨干網帶寬資 源,避免了對網絡資源的占用和浪費。圖4示出本發明實施例提供的一種雙向在線方式的網吧流量集中式清洗方法的 流程圖。如圖4所示,雙向在線方式的網吧流量集中式清洗方法600包括步驟402,駐地 設備PE牽引網吧上下行流量,并將網吧上下行流量發送至流量清洗中心。例如,PE主要功 能是終結穿過城域網的承載用戶流量的隧道,對網吧上下行流經城域網的流量進行導引。步驟404,流量清洗中心接收駐地設備PE牽引的網吧上下行流量,對經過的上下 行流量進行實時的攻擊監測,對確認的異常流量進行清洗,并將清洗后的清潔流量發送給 駐地設備PE。例如,流量清洗中心可以是一個專門的DDoS攻擊清洗設備或由該專門的DDoS 攻擊清洗設備構成的設備組,當網吧的上下行流量被“牽引”到該流量清洗中心后,其能夠 通過限速或過濾等手段遏制攻擊流量,同時保證合法的數據包能繼續傳送到目標地址。步驟406,駐地設備PE接收流量清洗中心清洗后的清潔流量,并將清潔流量回注 城域網的出口設備。例如,駐地設備PE接收流量清洗中心清洗后的清潔流量,作為流量清 洗中心的出口路由器設備,實現與城域網之間的路由交換,并將清潔流量回注城域網的出 口設備步驟408,城域網的出口設備將駐地設備PE返回的清潔流量回注到目標客戶端所 在的網絡。例如,在駐地設備PE和業務路由器SR之間配置多協議標簽交換協議虛擬專用 網絡MPLS VPN ;MPLS VPN將清洗后的清潔流量注入對端的業務路由器SR ;以及業務路由器 SR接收MPLS VPN注入的清潔流量,并通過相應的VPN路由轉發表接口將清潔流量發送至目 標客戶端。本發明提供的雙向在線方式的網吧流量集中式清洗方法的一個實施例,該方法還 包括在步驟“駐地設備PE牽引網吧上下行流量,并將網吧上下行流量發送至流量清洗中 心”之前,城域網的出口設備接收網吧上下行流量,并將網吧上下行流量發送至駐地設備 PE。本發明提供的雙向在線方式的網吧流量集中式清洗方法的一個實施例,步驟“對 經過的上下行流量進行實時的攻擊監測,對確認的異常流量進行清洗”進一步包括流量 清洗中心對上下行流量區分正常流量和異常,以及根據異常流量的不同攻擊特征,識別攻 擊類型;以及流量清洗中心對flood類、DoS類攻擊直接做識別清洗,對用戶數據報文協議 UDP、控制信道CC、僵尸網絡的應用層的攻擊,結合深度包檢測DPI進行識別清洗。本發明提供的雙向在線方式的網吧流量集中式清洗方法的一個實施例,駐地設備 PE根據流量清洗中心的處理能力,對各個網吧用戶使用DDoS防護進行流量限制。本發明提供的雙向在線方式的網吧流量集中式清洗方法的一個實施例,解決了現 有的DDoS防護技術所存在的清洗容量和清洗精度等問題,為廣大網吧客戶端提供了 DDoS攻擊的防護服務,大大提高了網吧運營的安全性和業務延續性;同時也很好的解決了電信 運維部門面臨的巨大壓力,避免了大流量DDOS攻擊給網絡帶寬造的沖擊。圖5示出本發明提供的雙向在線方式的網吧流量集中式清洗系統啟動集中清洗 的一個具體實施例的流量流向示意圖。本實例將結合電信的城域網對網吧流量的雙向在線式集中清洗方案作進一步的 詳細描述。由于各地市的網吧分布在城域網各個節點,流量實際上是分散的。因此通過部 署MPLS VPN,將各個不同節點上的網吧數據聚集到一臺PE設備節點,然后進行集中的流量清洗。如圖5所示,在城域網出口路由器旁掛PE設備,PE設備通過兩條萬兆(10GE)上 行鏈路分別與兩臺出口設備連接,同時下連流量清洗中心的清洗設備。在SR和PE間建立 MPLS VPN,分散在不同SR上的網吧客戶通過MPLS VPN的方式將網吧流量匯聚到PE路由器。圖5中“ _^ ”所示流向,代表被牽引的網吧正常流量,包括網吧客戶端上
行流量和從骨干網下行的流量;《___.,,所示流向,代表被牽引的異常流量,可以是來
自同一城域網的客戶端,也可以是來自骨干網的其它客戶端;《 ...........^,,所示流向,代
表清洗后回注到目標客戶端的流量。清洗中心采用實時在線的方式,無論攻擊是否存在異 常攻擊流量都把需防護的網吧聯盟用戶的流量通過MPLS VPN引入清洗中心,檢測流量中是 否有異常。從城域網外部進入的數據流量,其目的IP指向網吧的混合數據報文(正常報文 和攻擊報文的混雜),將通過主機路由到清洗中心進行流量的監測和清洗,監測和清洗之后 的清潔流量將通過清洗設備轉到PE,再通過PE采用MPLS VPN技術回注到每個網吧的出口 路由器上。參考前述本發明示例性的描述,本領域技術人員可以清楚的知曉本發明具有以下 優點1、本發明提供的雙向在線方式的網吧流量集中式清洗系統及方法的一個實施例, 解決了現有的DDoS防護技術所存在的清洗容量和清洗精度等問題,為廣大網吧客戶端提 供了 DDoS攻擊的防護服務,大大提高了網吧運營的安全性和業務延續性;同時也很好的解 決了電信運維部門面臨的巨大壓力,避免了大流量DDOS攻擊給網絡帶寬造的沖擊。2、本發明提供的雙向在線方式的網吧流量集中式清洗系統及方法的一個實施例, 為目前組網方式較為簡單的網吧提供了有效的DDoS攻擊防護手段,提高了其抵抗大規模 DDoS攻擊的能力;同時由于采用專用通道實現清潔流量的遠程回注,從而有效節省骨干網 帶寬資源,避免了對網絡資源的占用和浪費,提升防護設備的利用效率。本發明的描述是為了示例和描述起見而給出的,而并不是無遺漏的或者將本發明 限于所公開的形式。很多修改和變化對于本領域的普通技術人員而言是顯然的。選擇和描 述實施例是為了更好說明本發明的原理和實際應用,并且使本領域的普通技術人員能夠理 解本發明從而設計適于特定用途的帶有各種修改的各種實施例。
權利要求
一種雙向在線方式的網吧流量集中式清洗系統,其特征在于,所述系統包括駐地設備PE,用于牽引網吧上下行流量,并將所述網吧上下行流量發送至流量清洗中心;接收所述流量清洗中心清洗后的清潔流量,作為流量清洗中心的出口路由器設備,實現與城域網之間的路由交換,并將所述清潔流量回注城域網的出口設備;所述流量清洗中心,用于接收所述駐地設備PE牽引的所述網吧上下行流量,對經過的上下行流量進行實時的攻擊監測,對確認的異常流量進行清洗,并將清洗后的清潔流量發送給所述駐地設備PE;所述城域網的出口設備,用于接收所述網吧上下行流量,并將所述網吧上下行流量發送至所述駐地設備PE;以及將所述駐地設備PE返回的所述清潔流量回注到目標客戶端所在的網絡。
2.根據權利要求1所述的系統,其特征在于,所述駐地設備PE還用于根據所述流量 清洗中心的處理能力,對各個網吧用戶使用DDoS防護進行流量限制。
3.根據權利要求1所述的系統,其特征在于,所述流量清洗中心還用于區分正常流量 和異常,以及根據所述異常流量的不同攻擊特征,識別攻擊類型。
4.根據權利要求3所述的系統,其特征在于,所述流量清洗中心對Flood類、DoS類攻 擊直接做識別清洗,對用戶數據報文協議UDP、控制信道CC、僵尸網絡的應用層的攻擊,結 合深度包檢測DPI進行識別清洗。
5.根據權利要求1所述的系統,其特征在于,所述系統還包括業務路由器SR,以及在 所述駐地設備PE和所述業務路由器SR之間配置多協議標簽交換協議虛擬專用網絡MPLS VPN ;其中所述MPLS VPN用于將所述清洗后的清潔流量注入對端的業務路由器SR,所述業務路 由器SR用于接收所述MPLS VPN注入的清潔流量,并通過相應的VPN路由轉發表接口將所 述清潔流量發送至目標客戶端。
6.一種雙向在線方式的網吧流量集中式清洗方法,其特征在于,所述方法包括駐地設備PE牽引網吧上下行流量,并將所述網吧上下行流量發送至流量清洗中心;所述流量清洗中心接收所述駐地設備PE牽引的所述網吧上下行流量,對經過的上下 行流量進行實時的攻擊監測,對確認的異常流量進行清洗,并將清洗后的清潔流量發送給 所述駐地設備PE ;所述駐地設備PE接收所述流量清洗中心清洗后的清潔流量,并將所述清潔流量回注 城域網的出口設備;所述城域網的出口設備將所述駐地設備PE返回的所述清潔流量回注到目標客戶端所 在的網絡。
7.根據權利要求6所述的方法,其特征在于,所述方法還包括在步驟“駐地設備PE牽引網吧上下行流量,并將所述網吧上下行流量發送至流量清洗 中心”之前,所述城域網的出口設備接收所述網吧上下行流量,并將所述網吧上下行流量發 送至所述駐地設備PE。
8.根據權利要求7所述的方法,其特征在于,步驟“對經過的上下行流量進行實時的攻 擊監測,對確認的異常流量進行清洗”進一步包括所述流量清洗中心對所述上下行流量區分正常流量和異常,以及根據所述異常流量的不同攻擊特征,識別攻擊類型;以及所述流量清洗中心對Flood類、DoS類攻擊直接做識別清洗,對用戶數據報文協議UDP、 控制信道CC、僵尸網絡的應用層的攻擊,結合深度包檢測DPI進行識別清洗。
9.根據權利要求7所述的方法,其特征在于,步驟“所述駐地設備PE接收所述流量清 洗中心清洗后的清潔流量,并將所述清潔流量回注城域網的出口設備”進一步包括所述駐地設備PE接收所述流量清洗中心清洗后的清潔流量,作為流量清洗中心的出 口路由器設備,實現與城域網之間的路由交換,并將所述清潔流量回注城域網的出口設備; 以及所述駐地設備PE根據所述流量清洗中心的處理能力,對各個網吧用戶使用DDoS防護 進行流量限制。
10.根據權利要求7所述的方法,其特征在于,步驟“所述城域網的出口設備將所述駐 地設備PE返回的所述清潔流量回注到目標客戶端所在的網絡”進一步包括在所述駐地設備PE和所述業務路由器SR之間配置多協議標簽交換協議虛擬專用網絡 MPLS VPN ;所述MPLS VPN將所述清洗后的清潔流量注入對端的業務路由器SR ;以及所述業務路由器SR接收所述MPLS VPN注入的清潔流量,并通過相應的VPN路由轉發 表接口將所述清潔流量發送至目標客戶端。
全文摘要
本發明公開一種雙向在線方式的網吧流量集中式清洗系統及方法,該方法包括駐地設備牽引網吧上下行流量,并將網吧上下行流量發送至流量清洗中心;流量清洗中心接收駐地設備牽引的網吧上下行流量,對經過的上下行流量進行實時的攻擊監測,對確認的異常流量進行清洗,并將清洗后的清潔流量發送給駐地設備;駐地設備接收流量清洗中心清洗后的清潔流量,并將清潔流量回注城域網的出口設備;城域網的出口設備將駐地設備返回的清潔流量回注到目標客戶端所在的網絡。本發明提供了有效的DDoS攻擊防護手段,提高了其抵抗大規模DDoS攻擊的能力;同時由于采用專用通道實現清潔流量的遠程回注,從而有效節省骨干網帶寬資源,避免了對網絡資源的占用和浪費,提升防護設備的利用效率。
文檔編號H04L12/56GK101917425SQ201010248378
公開日2010年12月15日 申請日期2010年8月9日 優先權日2010年8月9日
發明者周斯寧, 沈軍 申請人:中國電信股份有限公司