[发明专利]一种流量清洗方法、装置和系统

说明书

技术领域

本申请涉及网络安全领域，特别是涉及一种流量清洗方法、装置和系统。

背景技术

DoS攻击(Denial of Service拒绝服务攻击)是指利用各种服务请求耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起，同时由于攻击方法简单、影响较大、难以追查等特点，又使得DDoS攻击(Distributed Denial of Service分布式拒绝服务攻击)得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为DDoS攻击提供了所需的带宽和主机，形成了规模巨大的攻击和网络流量，对被攻击网络造成了极大的危害。

现有技术中，经常使用流量清洗中心来解决这个问题，流量清洗中心通常旁路部署于城域网出口，与核心网络设备相连，从而对省内或市内地址进行保护。如附图1所示，流量清洗主要由流量检测、流量牵引、流量清洗、流量回注4个阶段组成：

1)流量检测：异常流量检测可通过镜像、分光等方式，对指定的流量进行检测，把流量信息反馈给管理中心供用户参考，当发生攻击时，可及时发送告警给管理中心。

2)流量牵引：当管理中心收到告警日志后，给异常流量清洗平台下发防护策略，异常流量清洗平台与核心网络设备进行交互，通过BGP动态路由协议等方式将需要保护的用户流量牵引到异常流量清洗平台上进行防护。

3)流量清洗：异常流量清洗平台收到牵引过来的流量后进行攻击识别，采用专业的DDoS防护技术对攻击报文进行流量清洗。

4)流量回注：完成清洗后，异常流量清洗平台将清洗后的正常流量回注到用户网络中，同时上报清洗日志到管理中心生成流量清洗报表。

现有技术的缺陷是：流量清洗中心旁路部署于城域网出口，与城域网核心网络设备相连，当发现异常流量时，使用BGP、OSPF、策略路由、MPLS等方式将流经所有核心网络设备上的被攻击服务器的流量动态的牵引到清洗中心进行清洗。清洗完成后，再通过策略路由，GRE等方式将正常流量回注到用户网络。现有技术中流量的牵引和回注都是基于清洗平台连接的城域网核心网络设备。也就是说，这种清洗方式只能清洗流经城域网核心网络设备的流量，只能针对一个地域的终端设备进行清洗防护，当有其它地域的终端设备需要流量清洗时，就必须在其它地域的本地重新部署一套流量清洗中心。单独一套流量清洗中心只能面向一个城域网的用户，使用范围有限。

发明内容

为解决上述技术问题，本申请提供一种流量清洗方法，技术方案如下：

一种流量清洗方法，应用于流量清洗中心，其特征在于，所述方法包括：

接收第一次地址转换后的异常流量，所述流量转换前将发送到需要流量清洗的目标终端设备，转换后将发送到流量清洗中心；所述第一次地址转换为更改目标终端设备所在域名的DNS映射，使DNS针对所述域名解析出的IP地址都指向流量清洗中心；

使用预设的清洗策略对异常流量进行清洗；

对清洗完成后留存的正常流量进行第二次地址转换，所述流量转换前地址为流量清洗中心，转换后地址为目标终端设备；所述第二次地址转换使用NAT的方式，将正常流量的IP地址转换为目标终端设备的IP地址；

将正常流量发送回目标终端设备。

一种流量清洗方法，应用于目标终端设备，其特征在于，所述方法包括：

发现异常流量时，更改目标终端设备所在域名的DNS映射，使DNS针对所述域名解析出的IP地址都指向流量清洗中心。

本申请提供了一种流量清洗中心方法，如附图2所示，在发现异常流量时，先修改终端设备的DNS映射，使DNS针对域名解析出的IP地址都指向流量清洗中心，从而将原本发送给终端设备的流量牵引到流量清洗中心，将异常流量清洗完毕后，再通过地址转换将清洗后留存的正常流量的IP地址指向终端设备，从而将正常流量回注到终端设备。本申请使流量清洗中心可以对城域网以外的设备进行清洗。当有其他地域的终端设备需要流量清洗时，不需要在其他地域重新部署流量清洗中心，使流量清洗中心的使用范围更广。

附图说明

图1为本申请现有技术中流量清洗方法的一种示意图；

图2为本申请实施例流量清洗方法的一种示意图；

图3为本申请实施例流量清洗方法应用在流量清洗中心的一种流程图；

图4为本申请实施例流量清洗方法应用在终端设备的一种流程图；

图5为本申请实施例流量清洗装置应用在流量清洗中心的一种示意图；

图6为本申请实施例流量清洗装置应用在终端设备的一种流程图；