[发明专利]流量清洗架构、装置及流量牵引、流量回注方法

说明书

技术领域

本发明涉及流量清洗技术，尤指一种流量清洗架构、流量清洗装置及流量牵引、流量回注方法。

背景技术

分布式拒绝服务（DDoS，Distributed Denial of Service）已成为互联网上最常见的攻击类型，攻击工具在互联网上可轻易获得，发动攻击的技术门槛很低。近来，DDoS的攻击流量明显增大，数十G的攻击流量频频出现，最高已达300G，甚至已经逐渐发展成为公开的服务。

目前，较为成熟的防御DDoS攻击的手段是流量清洗，即运营商通过在城域网串接或旁挂流量清洗中心，在不影响正常业务的同时，对城域网中出现的DDoS攻击流量进行过滤，实现对城域网和大客户网络业务的保护。

图1为现有流量清洗解决方案组成及工作模型的示意图，如图1所示，流量清洗解决方案由异常流量探测部件、异常流量清洗部件及业务管理平台三部分组成，其中，

异常流量探测部件，用于通过镜像或者分光的方式复制用户的流量，并实时进行攻击探测及异常流量分析。具体地，异常流量探测部件在网络中运行一段时间，通过对城域网用户业务流量进行逐包的分析和统计，学习出一套与实际网络相似的流量分布情况并自动生成安全策略基线，学习到的安全策略基线上报给业务管理平台，由业务管理平台对该安全策略基线进行进一步加工处理后，再下发给异常流量探测部件或异常流量清洗部件，并应支持安全策略基线的配置。目前，大多数运营商的异常流量探测部件具备深度包检测（DPI，Deep Packet Inspection）和深度流检测（DFI，Deep Flow Inspection）的综合防御检测技术。

异常流量清洗部件，用于通过发布明细路由的方式，牵引发生攻击的用户流量即流量牵引，对牵引过来的流量进行攻击报文的过滤，并把清洗后的“干净”流量回注给用户即流量回注。具体地，当攻击发生时，异常流量清洗部件通过更新旁路设备上的路由表项，将流经所有旁路设备上的被保护对象的流量动态地牵引到清洗部件进行清洗。清洗部件可通过边界网关协议版本4（BGP4，Border Gateway Protocol Version 4）或其它路由协议向旁路设备发布更新路由来实现旁路设备路由表更新。异常流量清洗部件将清洗后的流量回注给被保护对象，并向业务管理平台上报清洗日志以形成相应的报表。

业务管理平台，用于完成对异常流量探测部件、异常流量清洗部件的集中管理，并根据异常流量探测部件上报的异常流量告警，通过邮件、短信的方式通知运营商运维人员或者用户，并下发防御策略。另外，业务管理平台还用于为用户提供详细的流量日志分析报表、攻击事件处理报告等。

对于流量清洗解决方案来讲，如何实现流量牵引和流量回注是两大难题。目前，流量牵引主要有BGP流量牵引。为了能在用户的业务遭受DDoS攻击时，将用户的流量动态的牵引到异常流量清洗部件完成清洗过程，异常流量清洗部件利用内部BGP协议（IBGP）或者外部BGP协议（EBGP），首先与城域网中用户流量路径上的多个核心设备建立BGP对等体（BGP Peer）；在攻击发生时，异常流量清洗部件通过BGP协议会向核心路由器发布BGP更新路由通告，更新核心路由器上的路由表项，将流经所有核心路由器上的被攻击服务器的流量动态的牵引到异常流量清洗部件进行清洗。同时，异常流量清洗部件发布的BGP路由添加不宣告（no-advertise）属性，确保异常流量清洗部件发布的路由不会被扩散到城域网，其中，no-advertise属性是BGP协议中的团体属性中有一个属性，带有该属性的路由信息不通告给任何BGP相邻体。进一步地，在异常流量清洗部件上通过路由策略不接收核心路路由器发布的路由更新。从而严格控制对城域网造成的影响。

而流量回注主要有采用策略路由方式、MPLS VPN方式、VLAN方式等的流量回注方式。其中，

图2为现有采用策略路由方式的流量回注方式的组成示意图，如图2所示，采用策略路由方式的流量回注方式，是通过在旁挂路由器上配置策略路由，将异常流量清洗部件中需要回注的流量指向受保护设备相对应的下一跳，从而绕过旁挂设备的正常转发，实现该用户的流量回注。为了简化策略路由的部署，会将城域网的用户分组，仅为每组用户配置一条策略路由指向该组用户所对应的下一跳设备。这样既可实现针对该组用户的流量回注，而且在初期实施完成后不需要再修改城域网设备配置，其可维护性和可操作性得到了很大的增加，但是，用策略路由方式的流量回注方式直接影响到了城域网中的路由设备。