一种可扩展的DDoS防御方法及系统技术方案

本发明专利技术公开了一种用于实现可扩展的DDoS防御方法，该方法应用于DDoS防御系统，DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器，方法包括：为接入交换机和核心交换机部署SRv6；设置SRv6的压缩路由网段，为接入交换机和所述核心交换机的多个端口配置sid号和SRv6表项。根据本发明专利技术的另一个方面，还公开了可扩展的DDoS防御方法及系统，能够通过核心交换机和接入交换机使用的SRv6技术，给相应的接口编上sid号，从而实现集中控制所有路由，在新增其他防御设备时，减少重复工作量。作量。作量。

【技术实现步骤摘要】
一种可扩展的DDoS防御方法及系统


[0001]本专利技术涉及计算机网络安全
，尤其涉及一种可扩展的DDoS防御方法及系统。

技术介绍

[0002]DDoS（Distributed Denial of Service，分布式拒绝服务攻击）是指攻击者通过控制网络中大量的设备向目标发送大流量数据，耗尽目标的资源，导致其无法正常的响应服务请求。由于网络协议缺乏安全考虑和它的开放性，使得DDOS攻击形式多样，在网络层、传输层、应用层都出现了各种各样的DDOS攻击手段，特别是近年来，DDOS攻击的趋势是攻击手段越来越多样，流量越来越大。
[0003]为了应对DDOS的攻击，通常采用目的地址、下一跳的路由方式、网络集群部署等方式进行应对。但是通过这种方式所部署的防御功能系统工作量大、变更复杂，且只适用于二层网络，集群规模有限，扩展性差。

技术实现思路

[0004]本专利技术所要解决的技术问题在于，提供一种可扩展的DDoS防御方法，能够通过核心交换机和接入交换机使用的SRv6技术，给相应的接口编上sid号，从而实现集中控制所有路由，而且SRv6实际上是一种隧道技术，支持三层部署，解决了扩展性问题，在新增其他防御设备时，减少重复工作量。
[0005]为了解决上述技术问题，本专利技术第一方面公开了一种用于实现可扩展的DDoS防御方法，所述方法应用于DDoS防御系统，所述DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器，所述方法包括：为接入交换机和核心交换机部署SRv6；设置所述SRv6的压缩路由网段，为所述接入交换机和所述核心交换机的多个端口配置sid号和SRv6表项。
[0006]在一些实施方式中，DDoS防御系统还包括硬件清洗机，所述方法包括：为硬件清洗机部署SRv6；为所述硬件清洗机的端口配置sid号和SRv6表项。
[0007]本专利技术第二方面公开了一种可扩展的DDoS防御方法，所述方法应用于DDoS防御系统，所述DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器，所述方法包括：检测当前是否存在攻击流量；当存在攻击流量时，基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号；获取所述攻击流量所对应的被攻击IP，下发所述被攻击IP的SRv6路由至所述核心交换机；所述核心交换机在报文的二层头后封装IPv6头并设置目的地址，并根据设置的压缩路由网段将报文发送至接入交换机；所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口，并剥掉封装的IPv6头；所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
[0008]在一些实施方式中，防御系统还包括硬件清洗机，其中，所述硬件清洗机部署了SRv6，所述核心交换机在报文的二层头后封装IPv6头并设置目的地址，并根据设置的压缩
路由网段将报文发送至接入交换机，之后还包括：所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改；硬件清洗机根据设置的压缩路由网段将报文发送至所述硬件清洗机对应的端口并对目的IP进行更改；所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口，并剥掉封装的IPv6头；所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
[0009]在一些实施方式中，防御系统还包括硬件清洗机，其中，所述硬件清洗机未部署SRv6，所述核心交换机在报文的二层头后封装IPv6头并设置目的地址，并根据设置的压缩路由网段将报文发送至接入交换机，之后还包括：所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改；硬件清洗机根据设置的压缩路由网段将报文发送至接入交换机；所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口，并剥掉封装的IPv6头；所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
[0010]本专利技术第三方面公开了一种可扩展的DDoS防御系统，该系统包括DDoS防御系统，所述DDoS防御系统包括：通过路由控制的接入交换机、核心交换机和清洗服务器，所述系统还包括：控制模块，用于检测当前是否存在攻击流量，当存在攻击流量时，基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号，获取所述攻击流量所对应的被攻击IP，下发所述被攻击IP的SRv6路由至所述核心交换机；所述核心交换机，还用于在报文的二层头后封装IPv6头并设置目的地址，并根据设置的压缩路由网段将报文发送至接入交换机；所述接入交换机，还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口，并剥掉封装的IPv6头；所述清洗服务器，用于通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。
[0011]在一些实施方式中，防御系统还包括硬件清洗机，其中，所述硬件清洗机部署了SRv6，所述接入交换机，还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改；硬件清洗机，用于根据设置的压缩路由网段将报文发送至所述硬件清洗机对应的端口并对目的IP进行更改。
[0012]在一些实施方式中，防御系统还包括硬件清洗机，其中，所述硬件清洗机未部署SRv6，所述接入交换机，还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改；硬件清洗机，用于根据设置的压缩路由网段将报文发送至接入交换机。
[0013]本专利技术第四方面公开了可扩展的DDoS防御装置，所述装置包括： 存储有可执行程序代码的存储器；与所述存储器耦合的处理器；所述处理器调用所述存储器中存储的所述可执行程序代码，执行如上述的可扩展的DDoS防御方法。
[0014]本专利技术第五方面公开了一种计算机存储介质，所述计算机存储介质存储有计算机指令，所述计算机指令被调用时，用于执行如上述的可扩展的DDoS防御方法与现有技术相比，本专利技术的有益效果在于：实施本专利技术能够通过在核心交换机和接入交换机上都部署SRv6技术，以及给相应的接口部署sid号。再通过相应的负载均衡、路由计算等实现集中控制所有路由，这样在新增其他防御设备时，减少了重复工作量。并且，SRv6是一种隧道技术，支持三层部署，从而解决了扩展性问题。而且，由于普通的SRv6技术每个IPv6代表一个sid，若串联的设备过多，对硬件
设备要求过高，且封装的报文头过长。本专利技术通过设置压缩网段，利用了SRv6的压缩技术，增加SRv6路径中的节点数，进一步提升了整个系统的扩展性。
附图说明
[0015]图1为本专利技术实施例公开的一种现有技术的基本的DDOS防御系统的示意图；图2为本专利技术实施例公开的又一种现有技术的基本的DDOS防御系统的示意图；图3为本专利技术实施例公开的一种用于实现可扩展的DDoS防御方法的流程示意图；图4为本专利技术实施例公开的一种可扩展的DDoS防御方法的流程示意图；图5为本专利技术实施例公开的又一种可扩展的DDoS防御方法的流程示意图；图6为本本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种可扩展的DDoS防御方法，其特征在于，所述方法应用于DDoS防御系统，所述DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器，所述方法包括：检测当前是否存在攻击流量；当存在攻击流量时，基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号；获取所述攻击流量所对应的被攻击IP，下发所述被攻击IP的SRv6路由至所述核心交换机；所述核心交换机在报文的二层头后封装IPv6头并设置目的地址，并根据设置的压缩路由网段将报文发送至接入交换机；所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口，并剥掉封装的IPv6头；所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。2.根据权利要求1所述的可扩展的DDoS防御方法，其特征在于，所述防御系统还包括硬件清洗机，其中，所述硬件清洗机部署了SRv6，所述核心交换机在报文的二层头后封装IPv6头并设置目的地址，并根据设置的压缩路由网段将报文发送至接入交换机，之后还包括：所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改；硬件清洗机根据设置的压缩路由网段将报文发送至所述硬件清洗机对应的端口并对目的IP进行更改；所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口，并剥掉封装的IPv6头；所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。3.根据权利要求2所述的可扩展的DDoS防御方法，其特征在于，所述防御系统还包括硬件清洗机，其中，所述硬件清洗机未部署SRv6，所述核心交换机在报文的二层头后封装IPv6头并设置目的地址，并根据设置的压缩路由网段将报文发送至接入交换机，之后还包括：所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改；硬件清洗机根据设置的压缩路由网段将报文发送至接入交换机；所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口，并剥掉封装的IPv6头；所述清洗服务器通过对...

【专利技术属性】
技术研发人员：金海洋，丁瑞，郑坤，蔡磊，卢华，
申请(专利权)人：广东省新一代通信与网络创新研究院，
类型：发明
国别省市：