一种流量牵引方法及装置制造方法及图纸

本申请提供流量牵引方法及装置，所述方法包括：在检测DDoS攻击后，流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由；其中，第一路由和第二路由的下一跳均为所述流量清洗设备，第一路由的优先级高于地市城域网路由的优先级；省网核心设备接收到流量清洗设备发送的第一路由和第二路由后，将其转发至骨干网设备；骨干网设备根据优先级高的第一路由的下一跳，将被攻击ip所在网段的流量转发至省网核心设备；省核心路由根据第一路由和第二路由的下一跳，转发被攻击ip所在网段的流量至流量清洗设备；流量清洗设备接收被攻击ip所在网段的流量。在网络扁平化处理后，应用本申请实施例，可以实现降低流量牵引的成本。

Flow traction method and device

This application provides flow traction method and device, the method comprises the following steps: the detection of DDoS in attack after the flow of cleaning equipment to the second first routing routing network core equipment 25 bit mask and 32 bit mask; among them, the first second routing and routing next hop for the flow of the cleaning equipment, the first route a higher priority than the City metropolitan area network routing priority; network core equipment receives the transmission flow of cleaning equipment and the first route route second, transmit it to the backbone network equipment; backbone network equipment according to the first routing high priority next hop will be attacked IP local network traffic is forwarded to the network core core routing equipment; according to the first and second routing routing next hop forwarding attack IP local network traffic to flow cleaning equipment; cleaning equipment receiving attack IP flow Network traffic. After the application of the network, the application of this application can reduce the cost of traction.

【技术实现步骤摘要】

本申请涉及通信
，尤其涉及一种流量牵引方法及装置。
技术介绍
分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是互联网上最常见的网络攻击类型。由于发动DDoS攻击的技术门槛较低，而攻击效果较好，近年来DDoS攻击事件变得越来越多，造成的危害也越来越大。目前，防御DDoS攻击的较为有效的手段就是流量清洗，即运行商在省核心网中部署流量清洗设备，在不影响正常业务的同时，将被攻击ip的流量牵引到所述流量清洗设备中进行清洗。以下结合图1所示的一种实现流量牵引的应用场景示意图。图1中，流量清洗设备部署在省网核心设备上。在发生DDoS攻击时，所述流量清洗设备通过BGP(Border Gateway Protocol,边界网关协议)向省网核心设备下发包含32位掩码、下一跳为该流量清洗设备的路由(牵引路由)；接着，所述省网核心设备将所述32为掩码的路由转发至骨干网设备，其中，转发过程中将下一跳修改为该省网核心设备。所述省网核心设备根据流量清洗设备发送的所述32位掩码的路由，优先将被攻击ip的流量转发至下一跳即转发到所述流量清洗设备上，如此，完成流量牵引的过程。随着各地市城域网的流量逐渐增大，为了减少省网核心设备压力，同时增加流量转发速度，网络运行商将网络进行扁平化处理。如图2所示的一种扁平化网络的示意图中，网络运营商将省网核心的作用进行更改，将省网核心用于地市城域网之间的流量交互使用，以及用于省内外流量的备份链路使用，而省内和省外的流量交互不再经过省网核心设备，如图2所示，直接由骨干网设备和地市城域网设备进行交互。经过扁平化处理后，由于省内和省外的流量交互不再经过省网核心设备，直接由骨干网设备和地市城域网设备进行交互，上述方式部署的流量清洗设备就无法牵引被攻击ip的流量。现有技术中，针对扁平化网络实现流量牵引的方案，如图3所示为一种扁平化网络中实现流量牵引的示意图，图3中网络运营商是将流量清洗设备逐地市进行部署，即将流量清洗设备部署在各地市城域网出口路由处。但是，这种逐地市部署的方案，由于流量清洗设备的采购成本较高，后期进行维护的成本及维护人员的人工成本也较高，导致整个流量牵引成本过高。
技术实现思路
本申请提供了一种流量牵引方法及装置，以解决现有流量牵引成本过高的问题。根据本申请实施例提供的一种流量牵引方法，所述方法包括：在检测DDoS攻击后，流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由；其中，所述第一路由和第二路由的下一跳均为所述流量清洗设备，所述第一路由的优先级高于地市城域网路由的优先级；省网核心设备接收到所述流量清洗设备发送的第一路由和第二路由后，将其转发至骨干网设备；其中，转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备；所述骨干网设备根据优先级高的第一路由的下一跳，将被攻击ip所在网段的流量转发至所述省网核心设备；所述省核心路由根据所述第一路由和第二路由的下一跳，转发所述被攻击ip所在网段的流量至所述流量清洗设备；所述流量清洗设备接收所述被攻击ip所在网段的流量。可选的，所述流量清洗设备发送的第一路由和第二路由，具体包括：25位掩码的第一路由，下一跳为所述流量清洗设备上的清洗板卡，所述清洗板卡用于对所述流量进行清洗，所述第一路由的优先级高于地市城域网路由的优先级；32位掩码的第二路由，下一跳为所述流量清洗设备上的交换板卡；所述交换板卡用于将所述流量进行转发。根据本申请实施例提供的一种流量牵引方法，所述方法应用在流量清洗设备，所述方法包括：在检测DDoS攻击后，向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由；其中，所述第一路由和第二路由的下一跳均为所述流量清洗设备，所述第一路由的优先级高于地市城域网路由的优先级；接收所述省网核心设备转发的被攻击ip所在网段的流量。可选的，所述第一路由和第二路由，具体包括：25位掩码的第一路由，下一跳为所述流量清洗设备上的清洗板卡，所述清洗板卡用于对所述流量进行清洗，所述第一路由的优先级高于地市城域网路由的优先级；32位掩码的第二路由，下一跳为所述流量清洗设备上的交换板卡；所述交换板卡用于将所述流量进行转发。根据本申请实施例提供的一种流量牵引方法，所述方法应用在省网核心设备，所述方法包括：接收到流量清洗设备发送的25位掩码的第一路由和32位掩码的第二路由后，将其转发至骨干网设备；其中，所述第一路由和第二路由的下一跳均为所述流量清洗设备，所述第一路由的优先级高于地市城域网路由的优先级；转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备；接收所述骨干网设备发送被攻击ip所在网段的流量；根据所述第一路由和第二路由的下一跳，转发所述被攻击ip所在网段的流量至所述流量清洗设备。可选的，所述流量清洗设备发送的第一路由和第二路由，具体包括：25位掩码的第一路由，下一跳为所述流量清洗设备上的清洗板卡，所述清洗板卡用于对所述流量进行清洗，所述第一路由的优先级高于地市城域网路由的优先级；32位掩码的第二路由，下一跳为所述流量清洗设备上的交换板卡；所述交换板卡用于将所述流量进行转发。根据本申请实施例提供的一种流量牵引系统，所述系统包括骨干网设备、省网核心设备、部署在省网核心设备上的流量清洗设备，其中：所述流量清洗设备，用于在检测DDoS攻击后，向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由；其中，所述第一路由和第二路由的下一跳均为所述流量清洗设备，所述第一路由的优先级高于地市城域网路由的优先级；还用于接收所述省网核心设备转发的被攻击ip所在网段的流量；所述省网核心设备，用于在接收到所述流量清洗设备发送的第一路由和第二路由后，将其转发至骨干网设备，转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备；还用于接收所述骨干网设备发送被攻击ip所在网段的流量；还用于根据所述第一路由和第二路由的下一跳，转发所述被攻击ip所在网段的流量至所述流量清洗设备；所述骨干网设备，用于根据优先级高的第一路由的下一跳，将被攻击ip所在网段的流量转发至所述省网核心设备。根据本申请实施例提供的一种流量牵引装置，所述装置包括：发送路由单元，用于在检测DDoS攻击后，流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由；其中，所述第一路由和第二路由的下一跳均为所述流量清洗设备，所述第一路由的优先级高于地市城域网路由的优先级；转发路由单元，用于省网核心设备接收到所述流量清洗设备发送的第一路由和第二路由后，将其转发至骨干网设备；其中，转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备；第一流量牵引单元，用于所述骨干网设备根据优先级高的第一路由的下一跳，将被攻击ip所在网段的流量转发至所述省网核心设备；第二流量牵引单元，用于所述省核心路由根据所述第一路由和第二路由的下一跳，转发所述被攻击ip所在网段的流量至所述流量清洗设备；流量接收单元，用于所述流量清洗设备接收所述被攻击ip所在网段的流量。根据本申请实施例提供的一种流量清洗设备，所述流量清洗设备包括：发送单元，用于在检测DDoS攻击后，向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由；其中，所本文档来自技高网...

【技术保护点】
一种流量牵引方法，其特征在于，所述方法包括：在检测DDoS攻击后，流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由；其中，所述第一路由和第二路由的下一跳均为所述流量清洗设备，所述第一路由的优先级高于地市城域网路由的优先级；省网核心设备接收到所述流量清洗设备发送的第一路由和第二路由后，将其转发至骨干网设备；其中，转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备；所述骨干网设备根据优先级高的第一路由的下一跳，将被攻击ip所在网段的流量转发至所述省网核心设备；所述省核心路由根据所述第一路由和第二路由的下一跳，转发所述被攻击ip所在网段的流量至所述流量清洗设备；所述流量清洗设备接收所述被攻击ip所在网段的流量。

【技术特征摘要】
1.一种流量牵引方法，其特征在于，所述方法包括：在检测DDoS攻击后，流量清洗设备向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由；其中，所述第一路由和第二路由的下一跳均为所述流量清洗设备，所述第一路由的优先级高于地市城域网路由的优先级；省网核心设备接收到所述流量清洗设备发送的第一路由和第二路由后，将其转发至骨干网设备；其中，转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备；所述骨干网设备根据优先级高的第一路由的下一跳，将被攻击ip所在网段的流量转发至所述省网核心设备；所述省核心路由根据所述第一路由和第二路由的下一跳，转发所述被攻击ip所在网段的流量至所述流量清洗设备；所述流量清洗设备接收所述被攻击ip所在网段的流量。2.根据权利要求1所述的方法，其特征在于，所述流量清洗设备发送的第一路由和第二路由，具体包括：25位掩码的第一路由，下一跳为所述流量清洗设备上的清洗板卡，所述清洗板卡用于对所述流量进行清洗，所述第一路由的优先级高于地市城域网路由的优先级；32位掩码的第二路由，下一跳为所述流量清洗设备上的交换板卡；所述交换板卡用于将所述流量进行转发。3.一种流量牵引方法，其特征在于，所述方法应用在流量清洗设备，所述方法包括：在检测DDoS攻击后，向省网核心设备发送25位掩码的第一路由及32位掩码的第二路由；其中，所述第一路由和第二路由的下一跳均为所述流量清洗设备，所述第一路由的优先级高于地市城域网路由的优先级；接收所述省网核心设备转发的被攻击ip所在网段的流量。4.根据权利要求3所述的方法，其特征在于，所述第一路由和第二路由，具体包括：25位掩码的第一路由，下一跳为所述流量清洗设备上的清洗板卡，所述清洗板卡用于对所述流量进行清洗，所述第一路由的优先级高于地市城域网路由的优先级；32位掩码的第二路由，下一跳为所述流量清洗设备上的交换板卡；所述交换板卡用于将所述流量进行转发。5.一种流量牵引方法，其特征在于，所述方法应用在省网核心设备，所述方法包括：接收到流量清洗设备发送的25位掩码的第一路由和32位掩码的第二路由后，将其转发至骨干网设备；其中，所述第一路由和第二路由的下一跳均为所述流量清洗设备，所述第一路由的优先级高于地市城域网路由的优先级；转发过程中将所述第一路由和第二路由的下一跳修改为该省网核心设备；接收所述骨干网设备发送被攻击ip所在网段的流量；根据所述第一路由和第二路由的下一跳，转发所述被攻击ip所在网段的流量至所述流量清洗设备。6.根据权利要求5所述的方法，其特征在于，所述流量清洗设备发送的第一路由和第二路由，具体包括：25位掩码的第一路由，下一跳为所述流量清洗设备上的清洗板卡，所述清洗板卡用于对所述流量进行清洗，所述第一路由的优先级高于地市城域网路由的优先级；32位掩码的第二路由，下一跳为所述流量清洗设备上的交换板...

【专利技术属性】
技术研发人员：王佳，王孝鹏，项朝君，佟立超，
申请(专利权)人：杭州迪普科技有限公司，
类型：发明
国别省市：浙江;33