本说明书提供一种流量的处理方法和路由器,该方法包括:接收客户端发送的第一流量,判断所述第一流量携带的源IP地址是否为可信的IP地址,若不是,则将所述第一流量发送给第二服务器,否则,将所述第一流量发送给第一服务器。通过该方法可以有效的抵御DDoS攻击。通过该方法可以有效的抵御DDoS攻击。通过该方法可以有效的抵御DDoS攻击。
【技术实现步骤摘要】
一种流量的处理方法和路由器
[0001]本公开涉及通信
,尤其涉及一种流量的处理方法和路由器。
技术介绍
[0002]DDoS攻击是一种比较有效的针对服务器的攻击,属于危害性比较大网络攻击,很多知名网站比如GitHub、亚马逊等都遭遇过这种攻击,其原理是利用大量肉鸡(傀儡机)针对同一个服务器发起大量的连接,导致服务器资源耗尽无法对正常的连接提供服务。目前针对DDoS攻击的抵御方法比较有效的方法是分布式集群防御,根本原理还是利用高成本的服务器性能和数量,虽然对DDoS攻击有一定的抵御能力,但是会产生大量成本。
技术实现思路
[0003]本公开提供了一种流量的处理方法和路由器,通过该方法,可以有效的抵御DDoS攻击。
[0004]本公开提供了一种流量的处理方法,该方法应用于网络设备中,该网络设备分别连接第一服务器和第二服务器,该方法包括:
[0005]接收客户端发送的第一流量;
[0006]判断所述第一流量携带的源IP地址是否为可信的IP地址;
[0007]若不是,则将所述第一流量发送给第二服务器;
[0008]否则,将所述第一流量发送给第一服务器;
[0009]其中,所述第二服务器用于执行安全校验功能。
[0010]可选的,若将所述第一流量发送给第二服务器后,所述方法还包括:
[0011]接收到第二服务器发送的通知,若所述通知中包括第一流量的源IP地址,则将所述第一流量发送给第一服务器;
[0012]其中,所述通知为第二服务器根据预设的安全规则判断第一流量为可信任流量时,根据第一流量的源IP地址生成的。
[0013]可选的,所述安全规则包括:判断发送第一流量的客户端在预设时间内的动作是否满足预设动作,若满足可确定第一流量为可信任的流量,或者判断发送第一流量的客户端执行的动作是否符合DDoS攻击,若不符合则确定第一流量为可信任的流量。
[0014]可选的,在所述接收客户端发送的第一流量前,所述方法还包括:使能基于流量源IP的负载均衡功能。
[0015]可选的,所述判断所述第一流量携带的源IP地址是否为可信的IP地址,具体包括:
[0016]根据自身存储的可信IP地址列表对第一流量的源IP地址进行是否为可信的IP地址判断;
[0017]若不是,则根据负载均衡功能将所述第一流量发送给第二服务器;
[0018]否则,则根据负载均衡功能将所述第一流量发送给第一服务器。
[0019]通过上述方法可以看出,本公开通过置于服务器前的网络设备对目的地址为第一
服务器的流量进行源IP地址是否可信的判断,若判断出该流量的源IP地址不是可信的IP地址,则将该流量发送给第二服务器,并通过第二服务器对该流量进行安全校验,当确认安全后在发送给第一服务器,从而可避免第一服务器收到DDoS攻击,由于第二服务器执行安全校验功能,所以即使该流量为攻击流量,那也只针对于第二服务器,而处理业务的第一服务器不受收到攻击影响。
[0020]本公开还提供了一种路由器,该路由器分别连接第一服务器和第二服务器,该路由器包括:
[0021]接收单元,用于接收客户端发送的第一流量;
[0022]处理单元,用于判断所述第一流量携带的源IP地址是否为可信的IP地址;
[0023]发送单元,用于若判断出该源IP地址不是可信的IP地址,则将所述第一流量发送给第二服务器;或者,若判断出该源IP地址是可信的IP地址,则将所述第一流量发送给第一服务器;
[0024]其中,所述第二服务器用于执行安全校验功能。
[0025]可选的,在将所述第一流量发送给第二服务器后,所述接收模块,还用于接收到第二服务器发送的通知,若所述通知中包括第一流量的源IP地址,则将所述第一流量发送给第一服务器;
[0026]其中,所述通知为第二服务器根据预设的安全规则判断第一流量为可信任流量时,根据第一流量的源IP地址生成的。
[0027]可选的,所述安全规则被配置于所述路由器的存储介质中,所述安全规则包括:判断发送第一流量的客户端在预设时间内的动作是否满足预设动作,若满足可确定第一流量为可信任的流量,或者判断发送第一流量的客户端执行的动作是否符合DDoS攻击,若不符合则确定第一流量为可信任的流量。
[0028]可选的,在所述接收客户端发送的第一流量前,所述路由器使能基于流量源IP的负载均衡功能。
[0029]可选的,所述处理单元,具体用于根据自身存储的可信IP地址列表对第一流量的源IP地址进行是否为可信的IP地址判断;
[0030]若不是,则根据负载均衡功能通过发送单元将所述第一流量发送给第二服务器;
[0031]否则,则根据负载均衡功能通过发送单元将所述第一流量发送给第一服务器。
附图说明
[0032]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
[0033]图1为本公开实施例提供的一种流量的处理方法的流程示意图。
具体实施方式
[0034]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
[0035]在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0036]应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0037]目前,针对DDoS攻击可以采用分布式集群防御方式,该方法是需要多个分布式的集群节点,每个节点服务器配置多个IP地址,并且每个节点能承受一定量的DDOS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态。
[0038]然而,上述方式存在两个比较明显的缺点:
[0039]1.成本比较高,一般比较适用于规模比较大的公司,对于中小企业来说,盈利能力和规模都有限,投入防御的成本和能力也有限.
[0040]2.现在有一种比较流行的反射器DDoS本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种流量的处理方法,其特征在于,所述方法应用于网络设备中,所述网络设备分别连接第一服务器和第二服务器,所述方法包括:接收客户端发送的第一流量;判断所述第一流量携带的源IP地址是否为可信的IP地址;若不是,则将所述第一流量发送给第二服务器;否则,将所述第一流量发送给第一服务器;其中,所述第二服务器用于执行安全校验功能。2.根据权利要求1所述的方法,其特征在于,若将所述第一流量发送给第二服务器后,所述方法还包括:接收到第二服务器发送的通知,若所述通知中包括第一流量的源IP地址,则将所述第一流量发送给第一服务器;其中,所述通知为第二服务器根据预设的安全规则判断第一流量为可信任流量时,根据第一流量的源IP地址生成的。3.根据权利要求2所述的方法,其特征在于,所述安全规则包括:判断发送第一流量的客户端在预设时间内的动作是否满足预设动作,若满足可确定第一流量为可信任的流量,或者判断发送第一流量的客户端执行的动作是否符合DDoS攻击,若不符合则确定第一流量为可信任的流量。4.根据权利要求1所述的方法,其特征在于,在所述接收客户端发送的第一流量前,所述方法还包括:使能基于流量源IP的负载均衡功能。5.根据权利要求4所述的方法,其特征在于,所述判断所述第一流量携带的源IP地址是否为可信的IP地址,具体包括:根据自身存储的可信IP地址列表对第一流量的源IP地址进行是否为可信的IP地址判断;若不是,则根据负载均衡功能将所述第一流量发送给第二服务器;否则,则根据负载均衡功能将所述第一流量发送给第一服务器。6.一种路由器,其特征在于,所述路由器分别连接第一服务器和第二服务器...
【专利技术属性】
技术研发人员:贺佳,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。