本申请提供一种监控网络流量的方法、装置及服务器,该方法包括:确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址;如果所述源IP地址为非伪造的IP地址,向所述源IP地址发送探测报文;如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文,向所述源IP地址侧对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。在本申请的技术方案可以使源IP地址对应的流量清洗设备对源IP地址发送的网络流量进行近源清洗,实现了按照攻击源的地区下发清洗策略,将攻击在源头进行堵截,减少了攻击目的地的网络拥塞情况,降低了目的地的防御难度和防御带宽成本。
【技术实现步骤摘要】
监控网络流量的方法、装置及服务器
本申请涉及网络
,尤其涉及一种监控网络流量的方法、装置及服务器。
技术介绍
当互联网数据中心(InternetDataCenter,简称为IDC)内部的任意一台服务器遭受大流量分布式拒绝服务(DistributedDenialofService,简称为DDoS)攻击时,均可能引起互联网服务提供商(InternetServiceProvider,简称为ISP)到IDC的网络拥塞,现有技术通常会在ISP网络设备上将流量进行黑洞处理,例如,当IDC内部的服务器A遭受大流量DDoS攻击时,ISP网络设备如果发现网络目的地址为IDC内的服务器A,则将网络流量丢弃,从而使网络流量不会转发到IDC网络设备上,保护了ISP到IDC的带宽。现有技术只是为了保障ISP到IDC的带宽不被拥塞,对于被丢弃的流量完全不可知。
技术实现思路
有鉴于此,本申请提供一种新的技术方案,可以通过对IDC网络设备丢弃的网络流量进行检测和分析,从而清晰地了解到网络流量的攻击状态,进而在网络流量的源IP地址侧堵住流量攻击,降低防御难度和防御带宽成本。为实现上述目的,本申请提供技术方案如下:根据本申请的第一方面,提出了一种监控网络流量的方法,包括:确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址;如果所述源IP地址为非伪造的IP地址,向所述源IP地址发送探测报文;如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文,向所述源IP地址侧对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。根据本申请的第二方面,提出了一种监控网络流量的装置,包括:第一确定模块,用于确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址;第一发送模块,用于如果所述第一确定模块确定所述源IP地址为非伪造的IP地址,向所述源IP地址发送探测报文;第二发送模块,用于如果接收到所述源IP地址对应的设备根据所述第一发送模块发送的所述探测报文返回的应答报文,向所述源IP地址侧对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。根据本申请的第三方面,提出了一种服务器,所述服务器包括:处理器;用于存储所述处理器可执行指令的存储器;网络接口;其中,所述网络接口,用于接收来自ISP侧的网络设备的网络流量;处理器,用于确定所述网络接口接收到的网络流量的源IP地址是否为伪造的IP地址;所述网络接口,还用于如果所述处理器确定所述源IP地址为非伪造的IP地址,向所述源IP地址发送探测报文;如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文,向所述源IP地址侧对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。由以上技术方案可见,本申请在源IP地址为非伪造的IP地址时,向源IP地址发送探测报文,如果接收到源IP地址对应的设备根据探测报文返回的应答报文,向源IP地址侧对应的第一流量清洗设备发送用于对源IP地址的网络流量进行流量清洗的第一通知消息,从而可以使源IP地址对应的流量清洗设备对源IP地址发送的网络流量进行近源清洗,实现了按照攻击源的地区下发清洗策略,将攻击在源头进行堵截,减少了攻击目的地的网络拥塞情况,降低了目的地的防御难度和防御带宽成本。附图说明图1示出了根据本专利技术实施例提供的监控网络流量的方法所适用的网络拓扑图;图2示出了根据本专利技术的一示例性实施例的监控网络流量的方法的流程示意图;图3示出了根据本专利技术的又一示例性实施例的监控网络流量的方法的流程示意图;图4示出了根据本专利技术的再一示例性实施例的监控网络流量的方法的流程示意图;图5示出了根据本专利技术的一示例性实施例的网络设备的结构示意图;图6示出了根据本专利技术的一示例性实施例的监控网络流量的装置的结构示意图;图7示出了根据本专利技术的又一示例性实施例的监控网络流量的装置的结构示意图;图8示出了根据本专利技术的再一示例性实施例的监控网络流量的装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。图1示出了根据本专利技术实施例提供的监控网络流量的方法所适用的网络拓扑图;如图1所示,IDC侧包括网络设备11、服务器121、服务器122、…服务器12N、流量清洗设备14(也可称为本申请下述实施例中的第二流量清洗设备)、清洗设备配置服务器15,其中,N为IDC侧的提供业务的服务器的数量,ISP侧包括网络设备16。其中,可以在IDC侧配置有网络设备13和至少一台服务器120(图1以一台服务器120作为示例性说明),网络设备13用于将网络设备11需要黑洞的网络流量按照网络设备11指定的目的地转发至至少一个服务器120中的对应服务器。其中,服务器120也可以称为蜜罐处理设备,网络设备13可以称为蜜罐网络设备。在通常情况下,流量清洗设备14通过镜像流量清洗设备14和网络设备11之间的流量对出入IDC机房的流量进行监测。监测的方式是,通过计算设定时间段内到达IDC机房内的服务器的流量与该服务器对应的流量阈值进行比较。如果网络流量的大小超过清洗阈值,则流量清洗设备14启动流量清洗;如果网络流量的大小超过黑洞阈值,可以将网络流量视为攻击流量,向网络设备11发布蜜罐牵引请求,网络设备11在接收到蜜罐牵引请求后,向网络设备16发布蜜罐牵引请求,网络设备16接收到蜜罐牵引请求后,按照牵引目的地将流量牵引至网络设备13,网络设备13按照指定目的地将网络流量转发至服务器120,从而使服务器120通过本申请对网络流量进行监控。清洗设备配置服务器15用于记录服务器121、服务器122、…服务器12N各自对应的牵引阈值和黑洞阈值,例如,服务器121的牵引阈值为20Mbit/s,黑洞阈值为100Mbit/s,服务器121的IP地址为10.1.1.1,正常流量信息为10Mbit/s。流量清洗设备14以秒为单位统计目的IP地址为10.1.1.1的网络流量,一旦网络流量达到牵引阈值20Mbit/s,流量清洗设备14执行清洗,如果从网络设备11到达服务器121的网络流量到达100Mbit/s,流量清洗本文档来自技高网...
【技术保护点】
一种监控网络流量的方法,其特征在于,所述方法包括:确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址;如果所述源IP地址为非伪造的IP地址,向所述源IP地址发送探测报文;如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文,向所述源IP地址侧对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。
【技术特征摘要】
1.一种监控网络流量的方法,其特征在于,所述方法包括:确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址;如果所述源IP地址为非伪造的IP地址,向所述源IP地址发送探测报文;如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文,向所述源IP地址侧对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。2.根据权利要求1所述的方法,其特征在于,所述确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址,包括:从来自ISP侧的网络设备的网络流量的数据报文中获取源IP地址所在的地理位置信息以及所述数据报文的生存时间;如果所述地理位置信息与所述生存时间相一致,确定所述网络流量的源IP地址为非伪造的IP地址;如果所述地理位置信息与所述生存时间不一致,确定所述网络流量的源IP地址为伪造的IP地址。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:确定所述网络流量所包含的数据报文的类型;根据所述数据报文的类型确定需要向所述源IP地址发送的探测报文。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:根据来自ISP侧的网络设备的网络流量的目的IP地址对所述网络流量进行统计,得到统计结果;将所述统计结果发送给清洗设备配置服务器,以供所述清洗设备配置服务器将所述统计结果转发给IDC侧的第二流量清洗设备后,所述第二流量清洗设备根据所述统计结果确定与所述网络流量相对应的清洗策略。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:根据所述统计结果确定当前被攻击目的IP地址的流量;当所述当前被攻击目的IP地址的流量小于预设阈值时,向所述ISP侧的网络设备发送用于停止流量牵引的第二通知消息。6.根据权利要求1-5任一所述的方法,其特征在于,所述来自ISP侧的网络设备的网络流量为所述ISP侧的网络设备需要执行黑洞的网络流量。7.一种监控网络流量的装置,其特征在于,所述装置包括:第一确定模块,用于确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址;第一发送模块,用于如果所述第一确定模块确定所述源IP地址为非伪造的IP地址,向所述源IP地址发送探测报文;第二发送模块,用于如果接收到所述源IP地址对应的设备根据所述第一发送模块发送的所述探测报文返回的应答报文,向所述源IP地址侧对应的第一流量清洗设备发送用于对所述源IP地址的网...
【专利技术属性】
技术研发人员:屠一凡,马乐乐,乔会来,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。