一种流量的分流方法和设备技术

本申请实施例公开了一种流量的分流方法和设备，应用于包括多个IDC系统的网络中，在多个IDC系统中包括一个指定的目标IDC系统、以及至少一个可用于分流的IDC系统，该方法包括：当发往目标IDC系统中目的IP的流量的数值大于该目标IDC系统的入口带宽的数值时，根据带宽优先原则、公平分流原则以及质量优先原则将该发往目标IDC系统中目的IP的流量分流至至少一个可用于分流的IDC系统上，以使至少一个可用于分流的IDC系统对分流给自己的发往目标IDC系统中目的IP的流量进行清洗，并在清洗完成之后，将清洗后的流量回注回目标IDC系统。在本申请实施例公开的方法中，能够实现提升IDC系统整体防御DDOS攻击能力的技术效果。

【技术实现步骤摘要】

本申请涉及计算机
，特别涉及一种流量的分流方法和设备。
技术介绍
如何提升网络互联网数据中心IDC(Internet Data Center)机房整体防御DDOS(Distributed Denial of service)攻击能力以及节省机房带宽资源已成为计算机
的研究重点之一；在传统的分布式拒绝服务攻击DDOS防御方案中，是以IDC机房为单位进行的，其基本模型如图1所示，该IDC机房包括如下设备：机房网络设备、机房攻击防护(清洗)设备、机房攻击检测设备以及互联网服务提供商ISP(Internet Service Provider)路由器；具体的，当有流量进入对应的IDC机房之后，IDC机房内的网络设备对其进行复制并将复制出的一份流量交给IDC机房内的攻击检测设备，以使该攻击检测设备能够实时监测进入IDC机房内的流量；具体的，如果该攻击检测设备发现该流量中包含有异常流量，则将该异常流量通过ISP先牵引至IDC机房内的攻击防护(清洗)设备，由该攻击防护(清洗)设备将该异常流量进行清洗和过滤后，再回注回IDC机房内的网络设备，最后由IDC机房内的网络设备将流量转发给IDC机房内对应的服务器。但申请人在实现本申请的过程中发现，上述传统的DDOS防御方案至少存在以下问题：对于上述传统的DDOS防御方案而言，其防御能力受限于单个IDC机房的入口带宽；进一步，当带宽不够时，现有技术中提供的方案是：向ISP购买带宽。而众所周知的是向ISP购买带宽的费用是比较昂贵的。如果为了防御一些针对特定服务器的大规模攻击而提升整体带宽的话，还是得不偿失的。因此，本领域技术人员亟待找到新的解决方法，来提升IDC机房整体防
御DDOS攻击能力。
技术实现思路
本申请实施例提供一种流量的分流方法和设备，应用于包括多个IDC系统的网络中，在所述多个IDC系统中包括一个指定的目标IDC系统、以及至少一个可用于分流的IDC系统，以实现提升IDC系统整体防御DDOS攻击能力。为了达到上述目的，本申请实施例提供一种流量的分流方法，其特征在于，具体包括以下步骤：在发送给指定的目标IDC系统中一个指定的目的IP的流量进入所述目标IDC系统之前，由所述目标IDC系统对该流量进行镜像处理，确定该镜像流量的数值；当所述数值大于目标IDC系统的入口带宽的数值时，根据预设的分流规则将所述发送给指定的目标IDC系统中一个指定的目的IP的流量分流至至少一个可用于分流的IDC系统中，以使所述至少一个可用于分流的IDC系统对所述流量进行清洗；其中，所述可用于分流的IDC系统为根据各IDC系统预设的流量饥饿门限值、流量饱和门限值以及流量极限门限值确定出的。本申请实施例还提供一种IDC设备流量的分流设备，其特征在于，具体包括：确定模块，用于在发送给指定的目标IDC系统中一个指定的目的IP的流量进入所述目标IDC系统之前，由所述目标IDC系统对该流量进行镜像处理，确定该镜像流量的数值；分流模块，用于当所述数值大于所述入口带宽的数值时，根据预设的分流规则将所述发送给指定的目标IDC系统中一个指定的目的IP的流量分流至至少一个可用于分流的IDC系统中，以使所述至少一个可用于分流的IDC系统对所述流量进行清洗；其中，所述可用于分流的IDC系统为根据各IDC系统预设的饥饿门限值、饱和门限值以及流极限门限值确定出的。与现有技术相比，本申请实施例公开的方法和设备至少具有以下优点：本申请实施例公开了一种流量的分流方法和设备，应用于包括多个IDC系统的网络中，在多个IDC系统中包括一个指定的目标IDC系统、以及至少一个可用于分流的IDC系统，该方法包括：当发往目标IDC系统中目的IP的流量的数值大于该目标目标IDC系统的入口带宽的数值时，根据带宽优先原则、公平分流原则以及质量优先原则将该发往目标IDC系统中目的IP的流量分流至至少一个可用于分流的IDC系统上，以使至少一个可用于分流的IDC系统对分流给自己的发往目标IDC系统中目的IP的流量进行清洗，并在清洗完成之后，将清洗后的流量回注回目标IDC系统。在本申请部分实施例公开的方法中，能够实现提升IDC机房整体防御DDOS攻击能力的技术效果。附图说明为了更清楚地说明本申请的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是一种传统DDOS防御方案的模型的示意图；图2是一种环形组网的示意图；图3是本申请实施例一提供的一种流量的分流方法的流程示意图；图4是本申请实施例二提供的一种流量的分流方法的系统结构示意图；图5是本申请实施例三提供的一种流量的分流设备的结构示意图。具体实施方式下面将结合本申请的实施例进行详细的描述。黑洞处理是指将发往目标IDC系统中的目的IP的流量全部丢弃的一种方法，多见于ISP侧设备上。具体的黑洞处理过程，如图2所示：当目标IDC系统A中的目的IP 2.1.0.1
遭受了100Gbit的DDOS攻击流量，且该DDOS攻击流量的大小超过了目标IDC系统A的入口带宽的大小时，在实际应用场景中，IDC系统的入口带宽一般为20Gbit；如果按照传统的DDOS防御方案，为了保护目标IDC系统A中的其他IP(例如IP 2.2.0.1、IP 2.3.0.1等)不受影响，会将目的IP 2.1.0.1通知目标IDC系统A的上游ISP侧直接进行黑洞处理；这样虽然损失了发往目的IP 2.1.0.1的流量，但是可以保护IDC系统A内其他的IP免受影响。但是，在黑洞处理彻底生效之前，目标IDC系统A内其他正常服务器对应的业务会因为带宽拥塞原因基本处于瘫痪状态。为了解决这个问题，根据本申请一个实施例，当目标IDC系统A中的目的IP 2.1.0.1遭受了100Gbit的DDOS攻击流量，且该DDOS攻击流量的大小超过了目标IDC系统A的入口带宽20Gbit的大小时，是将需要防御的目的IP 2.1.0.1发布给IDC系统B、C和D，此时IDC系统B、C和D也具有了IP 2.1.0.1；需要说明的是，在将需要防御的目的IP 2.1.0.1发布给IDC系统B、C和D之前，IDC系统B、C和D内的IP并不包括IP 2.1.0.1，其中只分别包括如图2所示的IP 2.1.0.2、IP 2.1.0.3以及IP 2.1.0.4等，该IDC系统B、C和D是在将需要防御的目的IP 2.1.0.1发布给自身之后才具有了IP 2.1.0.1；进一步，IDC系统B、C和D在具有了IP 2.1.0.1之后，将根据它们自己带宽的承载能力针对所述需要防御的目的IP 2.1.0.1发布不同优先级的路由给ISP侧，具体的，带宽的承载能力较强的也即有更多的空余带宽的IDC系统，其所发布的路由的优先级要高于带宽的承载能力相对较弱的也即没有更多的空余带宽的IDC系统发布的路由的优先级，这样做能够保证流量优先进入该带宽的承载能力较强的也即有更多的空余带宽的IDC系统，当进入的流量达到该带宽的承载能力较强的也即有更多的空余带宽的IDC系统的分流极限之后，流量才进入带宽的承载能力相对较弱的也即本文档来自技高网...

【技术保护点】
一种流量的分流方法，其特征在于，具体包括以下步骤：在发送给指定的目标IDC系统中一个指定的目的IP的流量进入所述目标IDC系统之前，由所述目标IDC系统对该流量进行镜像处理，确定该镜像流量的数值；当所述数值大于目标IDC系统的入口带宽的数值时，根据预设的分流规则将所述发送给指定的目标IDC系统中一个指定的目的IP的流量分流至至少一个可用于分流的IDC系统中，以使所述至少一个可用于分流的IDC系统对所述流量进行清洗；其中，所述可用于分流的IDC系统为根据各IDC系统预设的流量饥饿门限值、流量饱和门限值以及流量极限门限值确定出的。

【技术特征摘要】
1.一种流量的分流方法，其特征在于，具体包括以下步骤：在发送给指定的目标IDC系统中一个指定的目的IP的流量进入所述目标IDC系统之前，由所述目标IDC系统对该流量进行镜像处理，确定该镜像流量的数值；当所述数值大于目标IDC系统的入口带宽的数值时，根据预设的分流规则将所述发送给指定的目标IDC系统中一个指定的目的IP的流量分流至至少一个可用于分流的IDC系统中，以使所述至少一个可用于分流的IDC系统对所述流量进行清洗；其中，所述可用于分流的IDC系统为根据各IDC系统预设的流量饥饿门限值、流量饱和门限值以及流量极限门限值确定出的。2.如权利要求1所述的方法，其特征在于，确定该镜像流量的数值，具体包括：分别确定该镜像流量中由各个IDC系统负责进行汇总的镜像流量的数值；对所述由各个IDC系统负责进行汇总的流量的数值进行汇总；将汇总结果作为所述镜像流量的数值。3.如权利要求1所述的方法，其特征在于，所述预设的分流规则包括：带宽优选原则、公平分流原则以及质量优先原则；对应的，所述可用于分流的IDC系统包括：可用于带宽优先原则下的可用于分流的IDC系统、可用于公平分流原则下的可用于分流的IDC系统、以及可用于质量优先原则下的可用于分流的IDC系统；根据预设的分流规则将所述要发送给指定的目标IDC系统中一个指定的目的IP的流量分流至至少一个可用于分流的IDC系统中，具体包括：若所述预设的分流规则为带宽优选原则时，获取所述可用于带宽优先原则下的各可用于进行分流的IDC系统所对应的预设的流量极限门限值与当前带宽的差值，对所述差值进行排序，并根据排序结果将所述发送给指定的目标IDC系统中一个指定的目的IP的流量逐次分流至所述差值最大的可用于进行分流的IDC系统上；其中，所述当前带宽为在对所述发送给指定的目标IDC系统中一个指定的目的IP的流量进行分流之前进入各IDC系统的流量所占用
\t的带宽；或，若所述预设的分流规则为公平分流原则，获取所述可用于公平分流原则下的各可用于进行分流的IDC系统所对应的预设的流量极限门限值与当前带宽的差值，将所述发送给指定的目标IDC系统中一个指定的目的IP的流量分流至所述预设的极限门限值与当前带宽存在差值的可用于进行分流的IDC系统上；或，若所述预设的分流规则为质量优选原则时，获取所述可用于质量优选原则下的各可用于进行分流的IDC系统所对应的预设的流量饱和门限值与当前带宽的差值，对所述差值进行排序，并根据排序结果将所述发送给指定的目标IDC系统中一个指定的目的IP的流量逐次分流至所述差值最大的可用于进行分流的IDC系统上。4.如权利要求3所述的方法，其特征在于，所述可用于分流的IDC系统的确定方式包括：将在对所述发送给指定的目标IDC系统中一个指定的目的IP的流量进行分流之前各IDC系统的当前带宽分别与各个IDC设备预设的流量饥饿门限值、流量饱和门限值以及流量极限门限值进行比较；当所述当前带宽小于所述流量饥饿门限值时，则确定对应的IDC系统为可用于带宽优先原则、公平分流原则和质量优先原则下的可用于分流的IDC系统；当所述当前带宽在所述流量饥饿门限值与所述流量饱和门限值之间时，则确定对应的IDC系统为可用于带宽优先原则、公平分流原则和质量优先原则下的可用于分流的IDC系统；当所述当前带宽值在所述流量饱和门限值与所述流量极限门限值之间时，则确定对应的IDC系统为可用于带宽优先原则和公平分流原则下的可用于分流的IDC系统。5.如权利要求4所述的方法，其特征在于，还包括：当所述当前带宽将要发送给所述目标IDC系统的部分流量的数值大于所述流量极限门限值时，则确定对应的IDC系统为不可用于分流的IDC系统。6.如权利要求1所述的方法，其特征在于，根据预设的分流规则将所述发送给指定的目标IDC系统中一个指定的目的IP的流量分流至至少一个可用于分流的IDC系统中之后，具体包括：分别确定进入所述可用于分流的IDC系统中的流量的数值；其中，分流之后进入所述可用于分流的IDC系统中的流量包括：发送给指定的目标IDC系统中一个指定的目的IP的流量、以及发送给该可用于分流的IDC系统中指定IP的流量；当该数值超过对应的预设的黑洞阀值时，对该流量中的发送给指定的目标IDC系统中一个指定的目的IP的流量进行黑洞处理。7.如权利要求1所述的方法，其特征在于，在所述至少一个可用于分流的IDC系统均完成对分流给自己的发送给指定的目标IDC系统中一个指定的目的IP的部分流量的清洗之后，将所述清洗后的部分流量回注回所述目标...

【专利技术属性】
技术研发人员：屠一凡，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY