[发明专利]一种流量清洗方法、装置和系统

权利要求书

1.一种流量清洗方法，应用于流量清洗中心，其特征在于，所述方法包括：

接收第一次地址转换后的异常流量，所述流量转换前将发送到需要流量清洗的目标终端设备，转换后将发送到流量清洗中心；所述第一次地址转换为更改目标终端设备所在域名的DNS映射，使DNS针对所述域名解析出的IP地址都指向流量清洗中心；

使用预设的清洗策略对异常流量进行清洗；

对清洗完成后留存的正常流量进行第二次地址转换，所述流量转换前地址为流量清洗中心，转换后地址为目标终端设备；所述第二次地址转换使用NAT的方式，将正常流量的IP地址转换为目标终端设备的IP地址；

将正常流量发送回目标终端设备。

2.根据权利要求1所述的方法，其特征在于，所述流量清洗中心的地址为包含多个IP的地址池。

3.根据权利要求2所述的方法，其特征在于，所述接收第一次地址转换后的异常流量，所述流量转换前将发送到需要流量清洗的目标终端设备，转换后将发送到流量清洗中心，包括：

流量清洗中心从自身地址池中分配一个目标IP地址给目标终端设备，所述目标IP地址只提供给目标终端设备使用；

接收第一次地址转换后的异常流量，所述流量转换前将发送到需要流量清洗的目标终端设备，转换后将发送到流量清洗中心分配给目标终端设备的目标IP地址。

4.根据权利要求1所述的方法，其特征在于，所述将正常流量发送回目标终端设备之后，还包括：

接收目标终端设备针对正常流量发送的回复流量，对回复流量进行第三次地址转换，所述流量转换前地址为流量清洗中心，转换后地址为所述正常流量的源端；所述第三次地址转换使用NAT的方式，将回复流量的IP地址转换为所述回复流量对应的正常流量的源端IP地址。

5.一种流量清洗方法，应用于目标终端设备，其特征在于，所述方法包括：

发现异常流量时，更改目标终端设备所在域名的DNS映射，使DNS针对所述域名解析出的IP地址都指向流量清洗中心。

6.根据权利要求5所述的方法，其特征在于，所述更改目标终端设备所在域名的DNS映射后，还包括：

启动预先配置的访问控制列表，只接收流量清洗中心发来的流量。

7.根据权利要求6所述的方法，其特征在于，所述启动预先配置的访问控制列表，包括：

如果出现针对目标终端设备IP地址的异常流量，启动预先配置的访问控制列表。

8.一种流量清洗装置，应用于流量清洗中心，其特征在于，所述装置包括：

流量接收模块：用于接收第一次地址转换后的异常流量，所述流量转换前将发送到需要流量清洗的目标终端设备，转换后将发送到流量清洗中心；所述第一次地址转换为更改目标终端设备所在域名的DNS映射，使DNS针对所述域名解析出的IP地址都指向流量清洗中心；

流量清洗模块：用于使用预设的清洗策略对异常流量进行清洗；

地址转换模块：用于对清洗完成后留存的正常流量进行第二次地址转换，所述流量转换前地址为流量清洗中心，转换后地址为目标终端设备；所述第二次地址转换使用NAT的方式，将正常流量的IP地址转换为目标终端设备的IP地址；

流量回注模块：用于将正常流量发送回目标终端设备。

9.一种流量清洗装置，应用于目标终端设备，其特征在于，所述装置包括：

访问控制模块：用于当发现异常流量时，更改目标终端设备所在域名的DNS映射，使DNS针对所述域名解析出的IP地址都指向流量清洗中心。

10.一种流量清洗系统，其特征在于，所述系统包括：

访问控制模块：用于目标终端设备，发现异常流量时，更改目标终端设备所在域名的DNS映射，使DNS针对所述域名解析出的IP地址都指向流量清洗中心；

流量接收模块：用于流量清洗中心，接收第一次地址转换后的异常流量，所述流量转换前将发送到需要流量清洗的目标终端设备，转换后将发送到流量清洗中心；所述第一次地址转换为更改目标终端设备所在域名的DNS映射，使DNS针对所述域名解析出的IP地址都指向流量清洗中心；

流量清洗模块：用于流量清洗中心，使用预设的清洗策略对异常流量进行清洗；

地址转换模块：用于流量清洗中心，对清洗完成后留存的正常流量进行第二次地址转换，所述流量转换前地址为流量清洗中心，转换后地址为目标终端设备；所述第二次地址转换使用NAT的方式，将正常流量的IP地址转换为目标终端设备的IP地址；

流量回注模块：用于流量清洗中心，将正常流量发送回目标终端设备。