一种流量清洗方法、装置和系统制造方法及图纸

本申请提供一种流量清洗方法、装置和系统。本申请在发现异常流量时，先修改终端设备的DNS映射，使DNS针对域名解析出的IP地址都指向流量清洗中心，从而将原本发送给终端设备的流量牵引到流量清洗中心，将异常流量清洗完毕后，再通过地址转换将清洗后留存的正常流量的IP地址指向终端设备，从而将正常流量回注到终端设备。本申请使流量清洗中心可以对城域网以外的设备进行清洗。当有其他地域的终端设备需要流量清洗时，不需要在其他地域重新部署流量清洗中心，使流量清洗中心的使用范围更广。

A flow cleaning method, device and system

The present application provides a flow cleaning method, device and system. The application in abnormal flow, DNS mapping to amend the terminal equipment, the DNS for the domain name IP address to traffic cleaning center, which was originally sent to the terminal equipment flow of traction to the traffic cleaning center, the abnormal flow after cleaning, and then through the address translation will be retained after cleaning the normal flow the IP address to terminal equipment, which will be injected into the normal flow of terminal equipment. This application enables the flow cleaning center to clean the equipment outside the metropolitan area network. When there are other regional terminal devices that need flow cleaning, there is no need to redeploy the traffic cleaning center in other areas, so that the flow cleaning center can be widely used.

【技术实现步骤摘要】
一种流量清洗方法、装置和系统
本申请涉及网络安全领域，特别是涉及一种流量清洗方法、装置和系统。
技术介绍
DoS攻击(DenialofService拒绝服务攻击)是指利用各种服务请求耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起，同时由于攻击方法简单、影响较大、难以追查等特点，又使得DDoS攻击(DistributedDenialofService分布式拒绝服务攻击)得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为DDoS攻击提供了所需的带宽和主机，形成了规模巨大的攻击和网络流量，对被攻击网络造成了极大的危害。现有技术中，经常使用流量清洗中心来解决这个问题，流量清洗中心通常旁路部署于城域网出口，与核心网络设备相连，从而对省内或市内地址进行保护。如附图1所示，流量清洗主要由流量检测、流量牵引、流量清洗、流量回注4个阶段组成：1)流量检测：异常流量检测可通过镜像、分光等方式，对指定的流量进行检测，把流量信息反馈给管理中心供用户参考，当发生攻击时，可及时发送告警给管理中心。2)流量牵引：当管理中心收到告警日志后，给异常流量清洗平台下发防护策略，异本文档来自技高网...

【技术保护点】
一种流量清洗方法，应用于流量清洗中心，其特征在于，所述方法包括：接收第一次地址转换后的异常流量，所述流量转换前将发送到需要流量清洗的目标终端设备，转换后将发送到流量清洗中心；所述第一次地址转换为更改目标终端设备所在域名的DNS映射，使DNS针对所述域名解析出的IP地址都指向流量清洗中心；使用预设的清洗策略对异常流量进行清洗；对清洗完成后留存的正常流量进行第二次地址转换，所述流量转换前地址为流量清洗中心，转换后地址为目标终端设备；所述第二次地址转换使用NAT的方式，将正常流量的IP地址转换为目标终端设备的IP地址；将正常流量发送回目标终端设备。

【技术特征摘要】
1.一种流量清洗方法，应用于流量清洗中心，其特征在于，所述方法包括：接收第一次地址转换后的异常流量，所述流量转换前将发送到需要流量清洗的目标终端设备，转换后将发送到流量清洗中心；所述第一次地址转换为更改目标终端设备所在域名的DNS映射，使DNS针对所述域名解析出的IP地址都指向流量清洗中心；使用预设的清洗策略对异常流量进行清洗；对清洗完成后留存的正常流量进行第二次地址转换，所述流量转换前地址为流量清洗中心，转换后地址为目标终端设备；所述第二次地址转换使用NAT的方式，将正常流量的IP地址转换为目标终端设备的IP地址；将正常流量发送回目标终端设备。2.根据权利要求1所述的方法，其特征在于，所述流量清洗中心的地址为包含多个IP的地址池。3.根据权利要求2所述的方法，其特征在于，所述接收第一次地址转换后的异常流量，所述流量转换前将发送到需要流量清洗的目标终端设备，转换后将发送到流量清洗中心，包括：流量清洗中心从自身地址池中分配一个目标IP地址给目标终端设备，所述目标IP地址只提供给目标终端设备使用；接收第一次地址转换后的异常流量，所述流量转换前将发送到需要流量清洗的目标终端设备，转换后将发送到流量清洗中心分配给目标终端设备的目标IP地址。4.根据权利要求1所述的方法，其特征在于，所述将正常流量发送回目标终端设备之后，还包括：接收目标终端设备针对正常流量发送的回复流量，对回复流量进行第三次地址转换，所述流量转换前地址为流量清洗中心，转换后地址为所述正常流量的源端；所述第三次地址转换使用NAT的方式，将回复流量的IP地址转换为所述回复流量对应的正常流量的源端IP地址。5.一种流量清洗方法，应用于目标终端设备，其特征在于，所述方法包括：发现异常流量时，更改目标终端设备所在域名的DNS映射，使DNS针对所述域名解析出的IP地址都指向流量清洗中心。6.根据权利要求5所述的方法，其特征在于，所述更改目标终端设备所在域名的DNS映射后，还包括：启动预先配置的访问控制列表，只接收流量清洗中心发来的流量。7.根据权利要求6所述的方法，其特...

【专利技术属性】
技术研发人员：佟立超，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33