识别网络环路的方法、装置、流量清洗设备及系统制造方法及图纸

本申请提供一种识别网络环路的方法、装置、流量清洗设备及系统，该方法包括：从被牵引的网络流量中确定存活时长小于第一预设阈值的第一数据报文并确定所述第一数据报文的目的IP地址；在确定所述第一数据报文的目的IP地址之后的第一设定时间段内，确定接收到的需要发往所述目的IP地址的多个第二数据报文；根据所述多个第二数据报文的存活时长确定所述目的IP地址是否存在网络环路。在本申请的技术方案可以及时发现网络环路并停止牵引存在网络环路的IP地址，避免网路环路影响网络可用性。

【技术实现步骤摘要】

本申请涉及网络
，尤其涉及一种识别网络环路的方法、装置、流量清洗设备及系统。
技术介绍
随着网络的发展，攻击流量越来越大，在旁路部署的模式下，通过静态路由、边界网关协议(BorderGatewayProtocol，简称为BGP)路由等动态路由将流量动态的指向清洗分布式拒绝服务(DistributedDenialofService，简称为DDoS)清洗设备，DDoS清洗设备再通过各种流量注入方式，将流量回注到链路中。然而，DDoS清洗设备在旁路部署的模式下，会由于策略路由配置错误牵引网络之间互连的协议(InternetProtocol，简称为IP)地址错误，从而导致网络存在环路，进而导致网络不可用。
技术实现思路
有鉴于此，本申请提供一种新的技术方案，可以通过数据报文识别出网络环路，避免由于策略路由配置导致的网络环路影响网络可用性。为实现上述目的，本申请提供技术方案如下：根据本申请的第一方面，提出了一种识别网络环路的方法，包括：从被牵引的网络流量中确定存活时长小于第一预设阈值的第一数据报文并确定所述第一数据报文的目的IP地址；在确定所述第一数据报文的目的IP地址之后的第一设定时间段内，确定接收到的需要发往所述目的IP地址的多个第二数据报文；根据所述多个第二数据报文的存活时长确定所述目的IP地址是否存在网络环路。根据本申请的第二方面，提出了一种识别网络环路的装置，包括：第一确定模块，用于从被牵引的网络流量中确定存活时长小于第一预设阈值的第一数据报文并确定所述第一数据报文的目的IP地址；第二确定模块，用于在所述第一确定模块确定所述第一数据报文的目的IP地址之后的第一设定时间段内，确定接收到的需要发往所述目的IP地址的多个第二数据报文；第三确定模块，用于根据所述第二确定模块确定的所述多个第二数据报文的存活时长确定所述目的IP地址是否存在网络环路。根据本专利技术的第三方面，提出了一种流量清洗设备，包括：处理器；用于存储所述处理器可执行指令的存储器；其中，所述处理器，用于从被牵引的网络流量中确定存活时长小于第一预设阈值的第一数据报文并确定所述第一数据报文的目的IP地址；在确定所述第一数据报文的目的IP地址之后的第一设定时间段内，确定接收到的需要发往所述目的IP地址的多个第二数据报文；根据所述多个第二数据报文的存活时长确定所述目的IP地址是否存在网络环路。根据本专利技术的第三方面，提出了一种流量清洗设备，包括流量检测设备和上述技术方案所述的识别网络环路的装置；其中，所述流量检测装置，用于检测流经路由器的网络流量中属于攻击流量的数据报文；所述识别网络环路的装置，用于通过属于所述攻击流量的数据报文中的TTL识别网络环路，将存在所述网络环路的目的IP地址存储在环路牵引黑名单中。根据本专利技术的第四方面，提出了一种流量清洗系统，包括：流量检测设备和流量清洗设备；其中，所述流量检测设备，用于检测由路由器镜像的网络流量中属于攻击流量的数据报文；所述流量清洗设备，用于通过属于所述攻击流量的数据报文中的存活时长识别网络环路，停止清洗存在所述网络环路的目的IP地址的网络流量。根据本专利技术的第五方面，提出了一种流量清洗系统，包括：流量检测设备和流量清洗设备；其中，所述流量检测设备，用于检测由路由器镜像的网络流量中属于攻击流量的数据报文，通过属于所述攻击流量的数据报文中的存活时长识别网络环路；所述流量清洗设备，用于在所述流量检测设备确定所述属于攻击流量的数据报文的目的IP地址存在网络环路后，停止清洗存在所述网络环路的目的IP地址的网络流量。由以上技术方案可见，本申请从被牵引的网络流量中确定存活时长小于第一预设阈值的第一数据报文并确定第一数据报文的目的IP地址，根据需要发往目的IP地址的多个第二数据报文的存活时长确定目的IP地址是否存在网络环路，可以及时发现网络环路并停止牵引存在网络环路的IP地址，避免网路环路影响网络可用性。附图说明图1A示出了本申请实施例所适用的网络架构的示意图之一；图1B示出了本申请实施例所适用的网络架构的示意图之二；图2示出了根据本专利技术的一示例性实施例的识别网络环路的方法的流程示意图；图3示出了根据本专利技术的又一示例性实施例的识别网络环路的方法的流程示意图；图4示出了根据本专利技术的再一示例性实施例的识别网络环路的方法的流程示意图；图5A示出了根据本专利技术的一示例性实施例的流量清洗系统的结构示意图；图5B示出了根据本专利技术的又一示例性实施例的流量清洗系统的结构示意图；图6示出了根据本专利技术的一示例性实施例的流量清洗设备的结构示意图；图7示出了根据本专利技术的一示例性实施例的识别网络环路的装置的结构示意图；图8示出了根据本专利技术的又一示例性实施例的识别网络环路的装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。图1A示出了本申请实施例所适用的网络架构的示意图之一，图1B示出了本申请实施例所适用的网络架构的示意图之二；在图1A所示的网络架构中，流量清洗设备11设置在近目的端的服务器12侧，旁路引起网络环路的可能性为：第一路由器13使用BGP协议将流量从第一路由器13牵引到流量清洗设备11，在流量清洗设备11对流量清洗完成后，将流量注入回第一路由器13，此时需要配置策略路由(Policy-BasedRouting，简称为PBR)将清洗后的流量直接指向第二路由器14，从而可以避免反复牵引。如果PBR配置出现错误，那么网络就会存在环路，致使网络不可用。在图1B所示的网络架构中，流量清洗设备15设置在近源端的服务器16侧，旁路引起网络环路的可能性为：流量清洗设备15牵引的流量以外部IP为目的地址，例如，服务器16内部的用户IPA需要访问internet中的用户IPB，则第三路由器17需要牵引用户IPB的IP地址，从而正常工作，如果攻击检测错误，将用户IPA的IP地址牵引到流量清洗设备15，那么流量清洗设备15清洗后的流量经过PBR，指向第四路由器18，第四路由器18发现IP地址为用户IPA的IP地址，仍然会将流量指向第三路由器17，从而再次环路。本申请可以识别出上述图1A和图1B所示的网络架构存在的网络环路，例如，流量清洗设备11本文档来自技高网...

【技术保护点】
一种识别网络环路的方法，其特征在于，所述方法包括：从被牵引的网络流量中确定存活时长小于第一预设阈值的第一数据报文并确定所述第一数据报文的目的IP地址；在确定所述第一数据报文的目的IP地址之后的第一设定时间段内，确定接收到的需要发往所述目的IP地址的多个第二数据报文；根据所述多个第二数据报文的存活时长确定所述目的IP地址是否存在网络环路。

【技术特征摘要】
1.一种识别网络环路的方法，其特征在于，所述方法包括：从被牵引的网络流量中确定存活时长小于第一预设阈值的第一数据报文并确定所述第一数据报文的目的IP地址；在确定所述第一数据报文的目的IP地址之后的第一设定时间段内，确定接收到的需要发往所述目的IP地址的多个第二数据报文；根据所述多个第二数据报文的存活时长确定所述目的IP地址是否存在网络环路。2.根据权利要求1所述的方法，其特征在于，所述根据所述多个第二数据报文的存活时长确定所述目的IP地址是否存在网络环路，包括：在所述第一设定时间段内确定所述多个第二数据报文对应的多个存活时长中是否存在设定个数的减少到第二预设阈值的存活时长；如果存在设定个数的减少到所述第二预设阈值的存活时长，确定所述目的IP地址存在网络环路。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：如果不存在设定个数的减少到所述第二预设阈值的存活时长，确定所述目的IP地址不存在所述网络环路；在确定所述目的IP地址不存在所述网络环路之后的第二设定时间段内，继续监控来自所述目的IP地址的数据报文。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：如果所述目的IP地址存在网络环路，将所述目的IP地址记录在环路牵引黑名单中；停止对需要发往所述目的IP地址的数据报文的牵引；在检测到所述目的IP地址对应的网络环路修复后，从所述环路牵引黑名单中删除所述目的IP地址。5.根据权利要求1-4任一所述的方法，其特征在于，所述方法还包括：将所述第一数据报文的目的IP地址记录在用于监测网络环路的IP地址名单中。6.一种识别网络环路的装置，其特征在于，所述装置包括：第一确定模块，用于从被牵引的网络流量中确定存活时长小于第一预设阈值的第一数据报文并确定所述第一数据报文的目的IP地址；第二确定模块，用于在所述第一确定模块确定所述第一数据报文的目的IP地址之后的第一设定时间段内，确定接收到的需要发往所述目的IP地址的多个第二数据报文；第三确定模块，用于根据所述第二确定模块确定的所述多个第二数据报文的存活时长确定所述目的IP地址是否存在网络环路。7.根据权利要求6所述的装置，其特征在于，所述第三确定模块包括：第一确定单元，用于在所述第一设定时间段内确定所述多个第二数据报文对应的多个存活时长中是否存在设定个数的减少到第二预设阈值的存活时长；第二确定单元，用于如果所述第一确定单元确定存在设定个数的减少到所述第二预设阈值的存活时长，确定所述目的IP地址存在网络环路。8.根据权利要求7所述的装置，其特征在于，所述装置还包括：第四确定模块，用于如果所述第一确定单元确定不存在设定个数的减少到所述第二预设阈值的存活时长，确定所述目的IP地址不存在所述网络环路；监控模块，用于在所述第四确定模块确定所述目的IP地址不存在所述网络环路之后的第二设定时间段内，继续监控来自所述目的IP地址的数据报文。9.根据权利要求6所述的装置，其特征在于，所述装置还包括：第一记录模块，用于如果所述第三确定模块确定所述目的IP地址存在网络环路，将所述目的IP地址记录在环路牵引黑名单中；控制模块，用于在所述第三确定模块确定所述目的IP地址存在网络环路
\t后，停止对需要发往所述目的IP地址的数据报文的牵引；删除模块，用于在检测到所述目的IP地址对应的网络环路修复后，从所述第一记录模块记录的所述环路牵引黑名单中删除所述目的IP地址。10.根据权利要求6-9任一所述的装置，其特征在于，所述装置还包括：第二记录模块，用于将...

【专利技术属性】
技术研发人员：宋阳阳，马乐乐，胡闽，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY