[发明专利]一种流量清洗方法、流量清洗系统和设备

说明书

本申请提供一种流量清洗方法、流量清洗系统和设备，包括：流量清洗设备对未命中TCP连接表的数据报文的合法性进行判断，并将合法的数据报文发送给被攻击的业务服务器，所以可以防止合法的TCP数据报文被丢失，进而防止合法TCP长连接的中断。

技术领域

本申请涉及计算机通信领域，尤其涉及一种流量清洗方法、流量清洗系统和设备。

背景技术

在现有流量清洗技术中，位于数据中心边缘的核心转发设备会将发往至被攻击的服务器的流量牵引至流量清洗设备上。

流量清洗设备在流量牵引后会实时创建TCP（Transmission Control Protocol，传输控制协议）连接表，TCP连接表记录了流量牵引后被攻击服务器上新建合法TCP连接。流量清洗设备会采用TCP连接表来识别被牵引的TCP数据报文是否为非法报文。

具体地，流量清洗设备检测被牵引的TCP数据报文是否命中TCP连接表，若未命中，则确定该TCP数据报文为非法报文，并将该TCP数据报文丢弃。

然而，由于TCP连接表记录的是流量牵引后被攻击服务器上新建立的合法TCP连接，而非被攻击服务器上所有已建立的合法TCP连接，所以未命中TCP连接表的数据报文并不全是非法报文，还包括一部分合法TCP连接上承载的合法报文。所以，采用上述的流量清洗方式，虽然可以将非法报文清洗掉，但同时也清洗掉了未命中TCP连接表的合法TCP数据报文。由于该合法TCP数据报文被丢弃，致使被攻击服务器与外部的合法TCP长连接中断。

发明内容

有鉴于此，本申请提供一种流量清洗方法、流量清洗系统和设备，用以防止由于合法TCP数据报文被流量清洗设备丢弃而造成的合法TCP长连接断开的问题。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种流量清洗方法，所述方法应用于流量清洗设备，所述方法包括：

接收流量检测设备发送的告警消息，所述告警消息包括：被攻击的目标业务服务器的标识；

响应于所述告警消息，向数据中心的核心转发设备发布牵引路由，以由所述核心转发设备基于所述牵引路由，将发往至所述目标业务服务器的TCP报文牵引至本设备；

接收所述核心转发设备牵引来的TCP报文，若该TCP报文是数据报文，则在该数据报文未命中已记录的该目标业务服务器对应的TCP连接表时，检测该数据报文对应的TCP连接是否为，牵引路由发布前所述目标业务服务器上已建立的合法TCP连接；

若是，则将所述数据报文通过所述核心转发设备发送至所述目标业务服务器；

其中，所述TCP连接表包括：在牵引路由发布后该目标业务服务器上建立的合法TCP连接的信息。

可选的，所述方法还包括：

响应于所述告警消息，向所述流量检测设备发送携带有目标业务服务器标识的获取请求，并接收所述流量检测设备返回的与所述目标业务服务器对应的可信连接表项；其中，所述可信连接表项包括：牵引路由发布前所述目标业务服务器上已建立的合法TCP连接的信息；

所述检测该数据报文对应的TCP连接是否为，牵引路由发布前所述目标业务服务器上已建立的合法TCP连接，包括：

检测所述数据报文是否命中获取到的可信连接表项；

若命中，则确定该数据报文对应的TCP连接为，牵引路由发布前所述目标业务服务器上已建立的合法TCP连接；

若未命中，则确定该数据报文对应的TCP连接不是，牵引路由发布前所述目标业务服务器上已建立的合法TCP连接。

可选的，所述方法还包括：