本申请实施例公开了一种出口链路的防护方法、装置、设备和介质,预先按照设定的BGP路由信息和路由间交换功能,对Flowspec进行配置;配置了Flowspec的BGP路由可以对进入内网之前的数据访问流量的合法性进行验证。依据BGP路由信息配置Flowspec,可以便于BGP路由记录属于BGP的路由。路由间交换功能用于支持数据访问流量在路由之间的正常传输。在获取到数据访问流量时,对数据访问流量中所包含的目的地址的路由类型以及发起端的身份进行合法性验证。在数据访问流量中所包含的目的地址的路由类型或者发起端的身份未通过合法性验证时,拒绝数据访问流量对内网的访问,实现了对出口链路的抗DDoS攻击。链路的抗DDoS攻击。链路的抗DDoS攻击。
【技术实现步骤摘要】
一种出口链路的防护方法、装置、设备和介质
[0001]本申请涉及网络安全
,特别是涉及一种出口链路的防护方法、装置、设备和计算机可读存储介质。
技术介绍
[0002]分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。现有的对抗DDoS攻击的方式主要针对的是企业内部遭受攻击的情况,通过在出口路由器旁挂或者串联对抗DDoS攻击的设备,达到流量清洗和检测的目的。
[0003]在实际应用中,出口路由器旁挂或者串联对抗DDoS攻击的设备可以采用Anti
‑
DDoS设备,可以将需要检测的流量完全引流或者检测后部分引流到Anti
‑
DDoS设备进行流量清洗。但是该方式对于出口链路未能到有效的保护。
[0004]可见,如何实现对出口链路的抗DDoS攻击,是本领域技术人员需要解决的问题。
技术实现思路
[0005]本申请实施例的目的是提供一种出口链路的防护方法、装置、设备和计算机可读存储介质,可以实现对出口链路的抗DDoS攻击。
[0006]为解决上述技术问题,本申请实施例提供一种出口链路的防护方法,包括:
[0007]预先按照设定的BGP路由信息和路由间交换功能,对Flowspec进行配置;
[0008]在获取到数据访问流量时,对所述数据访问流量中所包含的目的地址的路由类型以及发起端的身份进行合法性验证;其中,所述目的地址的路由类型依据所述BGP路由信息确定;
[0009]在所述数据访问流量中所包含的目的地址的路由类型或者发起端的身份未通过合法性验证时,则拒绝所述数据访问流量对内网的访问。
[0010]可选地,所述对所述数据访问流量中所包含的目的地址的路由类型以及发起端的身份进行合法性验证包括:
[0011]选取出与所述数据访问流量中携带的目的地址匹配的单播路由;
[0012]判断所述单播路由是否为BGP路由;
[0013]若所述单播路由不为BGP路由,则执行所述拒绝所述数据访问流量对内网的访问的步骤;
[0014]若所述单播路由为BGP路由,则判断所述数据访问流量的发起端与所述BGP路由对应的发起端是否一致;
[0015]若所述数据访问流量的发起端与所述BGP路由对应的发起端不一致,则执行所述拒绝所述数据访问流量对内网的访问的步骤。
[0016]可选地,还包括:
[0017]若所述单播路由为BGP路由,并且所述数据访问流量的发起端与所述BGP路由对应的发起端一致,则判定所述数据访问流量为合法流量。
[0018]可选地,若所述数据访问流量的传输路径对应至少三个路由,相应的,与所述数据访问流量中携带的目的地址匹配的单播路由包括至少三个路由;所述判断所述单播路由是否为BGP路由包括:
[0019]按照传输路径依次判断所述至少三个路由是否均为BGP路由;
[0020]若所述至少三个路由不均为BGP路由,则执行所述拒绝所述数据访问流量对内网的访问的步骤;
[0021]若所述至少三个路由均为BGP路由,则判断任意相邻的两个路由是否属于同一区域;
[0022]若任意相邻的两个路由属于同一区域,则执行所述判断所述数据访问流量的发起端与所述BGP路由对应的发起端是否一致的步骤。
[0023]可选地,所述预先按照设定的BGP路由信息和路由间交换功能,对Flowspec进行配置包括:
[0024]在BGP实例视图中创建BGP IPv4 Flowspec地址族;并添加支持路由间交换功能的配置信息。
[0025]可选地,还包括:
[0026]预先配置黑洞路由;其中,所述黑洞路由对应不可访问的IP地址范围;
[0027]判断所述数据访问流量访问的IP地址是否属于不可访问的IP地址范围;
[0028]若所述数据访问流量访问的IP地址属于不可访问的IP地址范围,则基于配置的黑洞路由,将所述数据访问流量丢弃到所述黑洞路由中。
[0029]可选地,还包括:
[0030]在接收到合法性验证的关闭指令时,将所述Flowspec的配置恢复至默认状态。
[0031]本申请实施例还提供了一种出口链路的防护装置,包括配置单元、验证单元和拒绝单元;
[0032]所述配置单元,用于预先按照设定的BGP路由信息和路由间交换功能,对Flowspec进行配置;
[0033]所述验证单元,用于在获取到数据访问流量时,对所述数据访问流量中所包含的目的地址的路由类型以及发起端的身份进行合法性验证;其中,所述目的地址的路由类型依据所述BGP路由信息确定;
[0034]所述拒绝单元,用于在所述数据访问流量中所包含的目的地址的路由类型或者发起端的身份未通过合法性验证时,则拒绝所述数据访问流量对内网的访问。
[0035]可选地所述验证单元包括选取子单元、第一判断子单元和第二判断子单元;
[0036]所述选取子单元,用于选取出与所述数据访问流量中携带的目的地址匹配的单播路由;
[0037]所述第一判断子单元,用于判断所述单播路由是否为BGP路由;若所述单播路由不为BGP路由,则触发所述拒绝单元执行所述拒绝所述数据访问流量对内网的访问的步骤;
[0038]所述第二判断子单元,用于若所述单播路由为BGP路由,则判断所述数据访问流量的发起端与所述BGP路由对应的发起端是否一致;若所述数据访问流量的发起端与所述BGP
路由对应的发起端不一致,则触发所述拒绝单元执行所述拒绝所述数据访问流量对内网的访问的步骤。
[0039]可选地,还包括判定单元;
[0040]所述判定单元,用于若所述单播路由为BGP路由,并且所述数据访问流量的发起端与所述BGP路由对应的发起端一致,则判定所述数据访问流量为合法流量。
[0041]可选地,若所述数据访问流量的传输路径对应至少三个路由,相应的,与所述数据访问流量中携带的目的地址匹配的单播路由包括至少三个路由;所述装置还包括区域判断单元;
[0042]所述第一判断子单元用于按照传输路径依次判断所述至少三个路由是否均为BGP路由;若所述至少三个路由不均为BGP路由,则触发所述拒绝单元执行所述拒绝所述数据访问流量对内网的访问的步骤;
[0043]所述区域判断单元,用于若所述至少三个路由均为BGP路由,则判断任意相邻的两个路由是否属于同一区域;若任意相邻的两个路由属于同一区域,则触发所述第二判断子单元执行所述判断所述数据访问流量的发起端与所述BGP路由对应的发起端是否一致的步骤。
[0044]可选地,所述配置单元用于在BGP实例视图中创建BGP IPv4Flowspec地址族;并添加支持路由间交换功能的配置信息。
[0045]可选地,还包括路由配置单元、流量判断单本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种出口链路的防护方法,其特征在于,包括:预先按照设定的BGP路由信息和路由间交换功能,对Flowspec进行配置;在获取到数据访问流量时,对所述数据访问流量中所包含的目的地址的路由类型以及发起端的身份进行合法性验证;其中,所述目的地址的路由类型依据所述BGP路由信息确定;在所述数据访问流量中所包含的目的地址的路由类型或者发起端的身份未通过合法性验证时,则拒绝所述数据访问流量对内网的访问。2.根据权利要求1所述的出口链路的防护方法,其特征在于,所述对所述数据访问流量中所包含的目的地址的路由类型以及发起端的身份进行合法性验证包括:选取出与所述数据访问流量中携带的目的地址匹配的单播路由;判断所述单播路由是否为BGP路由;若所述单播路由不为BGP路由,则执行所述拒绝所述数据访问流量对内网的访问的步骤;若所述单播路由为BGP路由,则判断所述数据访问流量的发起端与所述BGP路由对应的发起端是否一致;若所述数据访问流量的发起端与所述BGP路由对应的发起端不一致,则执行所述拒绝所述数据访问流量对内网的访问的步骤。3.根据权利要求2所述的出口链路的防护方法,其特征在于,还包括:若所述单播路由为BGP路由,并且所述数据访问流量的发起端与所述BGP路由对应的发起端一致,则判定所述数据访问流量为合法流量。4.根据权利要求2所述的出口链路的防护方法,其特征在于,若所述数据访问流量的传输路径对应至少三个路由,相应的,与所述数据访问流量中携带的目的地址匹配的单播路由包括至少三个路由;所述判断所述单播路由是否为BGP路由包括:按照传输路径依次判断所述至少三个路由是否均为BGP路由;若所述至少三个路由不均为BGP路由,则执行所述拒绝所述数据访问流量对内网的访问的步骤;若所述至少三个路由均为BGP路由,则判断任意相邻的两个路由是否属于同一区域;若任意相邻的两个路由属于同一区域,则执行所述判断所述数...
【专利技术属性】
技术研发人员:潘秋枫,范渊,杨勃,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。