【技术实现步骤摘要】
本申请涉及计算机
,特别涉及一种流量的分流方法和设备。
技术介绍
如何提升网络互联网数据中心IDC(Internet Data Center)机房整体防御DDOS(Distributed Denial of service)攻击能力以及节省机房带宽资源已成为计算机
的研究重点之一;在传统的分布式拒绝服务攻击DDOS防御方案中,是以IDC机房为单位进行的,其基本模型如图1所示,该IDC机房包括如下设备:机房网络设备、机房攻击防护(清洗)设备、机房攻击检测设备以及互联网服务提供商ISP(Internet Service Provider)路由器;具体的,当有流量进入对应的IDC机房之后,IDC机房内的网络设备对其进行复制并将复制出的一份流量交给IDC机房内的攻击检测设备,以使该攻击检测设备能够实时监测进入IDC机房内的流量;具体的,如果该攻击检测设备发现该流量中包含有异常流量,则将该异常流量通过ISP先牵引至IDC机房内的攻击防护(清洗)设备,由该攻击防护(清洗)设备将该异常流量进行清洗和过滤后,再回注回IDC机房内的网络设备,最后由IDC机房内的网络设备将流量转发给IDC机房内对应的服务器。但申请人在实现本申请的过程中发现,上述传统的DDOS防御方案至少存在以下问题:对于上述传统的DDOS防御方案而言,其防御能力受限于单个IDC机房的入口带宽;进一步,当带宽不够时,现有技术中提供的方案是:向ISP购买带宽。而众所周知的是向ISP购买带宽的费用是比较昂贵的。如果为了防御一些针对特定服务器的大规模攻击而提升整体带宽的话,还是得不偿失的。因此,本领域 ...
【技术保护点】
一种流量的分流方法,其特征在于,具体包括以下步骤:在发送给指定的目标IDC系统中一个指定的目的IP的流量进入所述目标IDC系统之前,由所述目标IDC系统对该流量进行镜像处理,确定该镜像流量的数值;当所述数值大于目标IDC系统的入口带宽的数值时,根据预设的分流规则将所述发送给指定的目标IDC系统中一个指定的目的IP的流量分流至至少一个可用于分流的IDC系统中,以使所述至少一个可用于分流的IDC系统对所述流量进行清洗;其中,所述可用于分流的IDC系统为根据各IDC系统预设的流量饥饿门限值、流量饱和门限值以及流量极限门限值确定出的。
【技术特征摘要】
1.一种流量的分流方法,其特征在于,具体包括以下步骤:在发送给指定的目标IDC系统中一个指定的目的IP的流量进入所述目标IDC系统之前,由所述目标IDC系统对该流量进行镜像处理,确定该镜像流量的数值;当所述数值大于目标IDC系统的入口带宽的数值时,根据预设的分流规则将所述发送给指定的目标IDC系统中一个指定的目的IP的流量分流至至少一个可用于分流的IDC系统中,以使所述至少一个可用于分流的IDC系统对所述流量进行清洗;其中,所述可用于分流的IDC系统为根据各IDC系统预设的流量饥饿门限值、流量饱和门限值以及流量极限门限值确定出的。2.如权利要求1所述的方法,其特征在于,确定该镜像流量的数值,具体包括:分别确定该镜像流量中由各个IDC系统负责进行汇总的镜像流量的数值;对所述由各个IDC系统负责进行汇总的流量的数值进行汇总;将汇总结果作为所述镜像流量的数值。3.如权利要求1所述的方法,其特征在于,所述预设的分流规则包括:带宽优选原则、公平分流原则以及质量优先原则;对应的,所述可用于分流的IDC系统包括:可用于带宽优先原则下的可用于分流的IDC系统、可用于公平分流原则下的可用于分流的IDC系统、以及可用于质量优先原则下的可用于分流的IDC系统;根据预设的分流规则将所述要发送给指定的目标IDC系统中一个指定的目的IP的流量分流至至少一个可用于分流的IDC系统中,具体包括:若所述预设的分流规则为带宽优选原则时,获取所述可用于带宽优先原则下的各可用于进行分流的IDC系统所对应的预设的流量极限门限值与当前带宽的差值,对所述差值进行排序,并根据排序结果将所述发送给指定的目标IDC系统中一个指定的目的IP的流量逐次分流至所述差值最大的可用于进行分流的IDC系统上;其中,所述当前带宽为在对所述发送给指定的目标IDC系统中一个指定的目的IP的流量进行分流之前进入各IDC系统的流量所占用
\t的带宽;或,若所述预设的分流规则为公平分流原则,获取所述可用于公平分流原则下的各可用于进行分流的IDC系统所对应的预设的流量极限门限值与当前带宽的差值,将所述发送给指定的目标IDC系统中一个指定的目的IP的流量分流至所述预设的极限门限值与当前带宽存在差值的可用于进行分流的IDC系统上;或,若所述预设的分流规则为质量优选原则时,获取所述可用于质量优选原则下的各可用于进行分流的IDC系统所对应的预设的流量饱和门限值与当前带宽的差值,对所述差值进行排序,并根据排序结果将所述发送给指定的目标IDC系统中一个指定的目的IP的流量逐次分流至所述差值最大的可用于进行分流的IDC系统上。4.如权利要求3所述的方法,其特征在于,所述可用于分流的IDC系统的确定方式包括:将在对所述发送给指定的目标IDC系统中一个指定的目的IP的流量进行分流之前各IDC系统的当前带宽分别与各个IDC设备预设的流量饥饿门限值、流量饱和门限值以及流量极限门限值进行比较;当所述当前带宽小于所述流量饥饿门限值时,则确定对应的IDC系统为可用于带宽优先原则、公平分流原则和质量优先原则下的可用于分流的IDC系统;当所述当前带宽在所述流量饥饿门限值与所述流量饱和门限值之间时,则确定对应的IDC系统为可用于带宽优先原则、公平分流原则和质量优先原则下的可用于分流的IDC系统;当所述当前带宽值在所述流量饱和门限值与所述流量极限门限值之间时,则确定对应的IDC系统为可用于带宽优先原则和公平分流原则下的可用于分流的IDC系统。5.如权利要求4所述的方法,其特征在于,还包括:当所述当前带宽将要发送给所述目标IDC系统的部分流量的数值大于所述流量极限门限值时,则确定对应的IDC系统为不可用于分流的IDC系统。6.如权利要求1所述的方法,其特征在于,根据预设的分流规则将所述发送给指定的目标IDC系统中一个指定的目的IP的流量分流至至少一个可用于分流的IDC系统中之后,具体包括:分别确定进入所述可用于分流的IDC系统中的流量的数值;其中,分流之后进入所述可用于分流的IDC系统中的流量包括:发送给指定的目标IDC系统中一个指定的目的IP的流量、以及发送给该可用于分流的IDC系统中指定IP的流量;当该数值超过对应的预设的黑洞阀值时,对该流量中的发送给指定的目标IDC系统中一个指定的目的IP的流量进行黑洞处理。7.如权利要求1所述的方法,其特征在于,在所述至少一个可用于分流的IDC系统均完成对分流给自己的发送给指定的目标IDC系统中一个指定的目的IP的部分流量的清洗之后,将所述清洗后的部分流量回注回所述目标...
【专利技术属性】
技术研发人员:屠一凡,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。