專利名稱:流量清洗的方法�、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息技術(shù)領(lǐng)域���,尤其涉及一種流量清洗的方法���、系統(tǒng)和設(shè)備���。
背景技術(shù):
在互聯(lián)網(wǎng)不斷發(fā)展的同時(shí),黑客技術(shù)也在不斷發(fā)展���,利用后門軟件的 植入�,越來越多的寬帶用戶PC (Personal Computer,個(gè)人電腦)已淪為助 對(duì)為虐的"傀儡機(jī)"�,傀儡網(wǎng)絡(luò)越來越龐大;另外一方面����,經(jīng)濟(jì)利益的引謙、 攻擊源的難于追查����,使越來越多的黑客鋌而走險(xiǎn),把利用傀儡網(wǎng)絡(luò)發(fā)動(dòng)攻 擊當(dāng)成發(fā)財(cái)致富的不二法寶����。這些因素都導(dǎo)致網(wǎng)絡(luò)中的DDoS (Distributed Denial of Service,分布式拒絕服務(wù))攻擊越來越頻繁�����、少見模越來越大,這 些DDoS攻擊不僅造成目標(biāo)客戶服務(wù)器�����、網(wǎng)絡(luò)的癱瘓�,而且還嚴(yán)重威脅到 運(yùn)營商城域網(wǎng)的安全,并引起全社會(huì)的廣泛關(guān)注����。
針對(duì)這種情況,現(xiàn)有技術(shù)中提出了寬帶流量清洗解決方案��,以精確阻 斷DDoS攻擊流量�,為客戶提供城域網(wǎng)和數(shù)據(jù)中心安全加固。
如圖1所示����,流量清洗可以部署在IDC (Internet Data Center ,互聯(lián)網(wǎng) 數(shù)據(jù)中心)中���,整個(gè)系統(tǒng)由三部分組成異常流量檢測平臺(tái)�����、異常流量清 洗平臺(tái)和業(yè)務(wù)管理平臺(tái)����。當(dāng)DDoS攻擊發(fā)生時(shí),異常流量檢測平臺(tái)會(huì)自動(dòng) 發(fā)現(xiàn)攻擊行為����,通過自動(dòng)或手工方式把攻擊流量牽引到異常流量清洗平臺(tái) 進(jìn)行清洗;清除掉攻擊流量后���,異常流量清洗平臺(tái)再將"干凈"流量交還 給用戶�����。在整個(gè)攻擊防范的過程中�,用戶感受不到攻擊的存在��,正常業(yè)務(wù) 不會(huì)受到任何影響��。流量清洗的一個(gè)關(guān)鍵技術(shù)就是流量牽引��。即如何將攻 擊服務(wù)器的流量牽引到異常流量清洗平臺(tái)上����。
現(xiàn)有技術(shù)中提出了一種基于策略路由牽引的流量牽引技術(shù)��,其示意圖 如圖2所示,在核心交換機(jī)上行接口處配置策略路由�,通過策略路由將發(fā)往服務(wù)器的流量的下 一跳改為流量清洗設(shè)備,所以核心路由器會(huì)將流量直 接轉(zhuǎn)給流量清洗設(shè)備�����。這種牽引技術(shù)的優(yōu)點(diǎn)在于利用策略路由本身的特點(diǎn)�����, 不需要對(duì)設(shè)備作特殊定制修改��。策略路由配置靈活����。
該策略路由牽引技術(shù)的問題在于,在核心交換設(shè)備的上行接口上配置 策略路由會(huì)降低整個(gè)數(shù)據(jù)中心系統(tǒng)的轉(zhuǎn)發(fā)性能�,導(dǎo)致策略路由的轉(zhuǎn)發(fā)效率 較低。
發(fā)明內(nèi)容
本發(fā)明提供一種流量清洗的方法��、系統(tǒng)和設(shè)備���,用于提高網(wǎng)絡(luò)系統(tǒng)在 流量清洗過程中的轉(zhuǎn)發(fā)性能和轉(zhuǎn)發(fā)效率�����。
為達(dá)到上述目的��,本發(fā)明提供一種流量清洗的方法���,應(yīng)用于包括異常 流量檢測設(shè)備����、異常流量清洗設(shè)備以及業(yè)務(wù)管理設(shè)備的流量清洗系統(tǒng)中�,包
括
對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí),所述異常流量清洗設(shè)備接收所述業(yè)務(wù)管 理設(shè)備發(fā)送的防御策略���;
所述異常流量清洗設(shè)備根據(jù)所述防御策略��,生成靜態(tài)地址解析協(xié)議ARP 配置并向所述攻擊流量經(jīng)過的交換i殳備發(fā)送�;��,所述靜態(tài)ARP配置用于將所 述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到所述異常流量清洗設(shè)備����;
所述異常流量清洗設(shè)備對(duì)所述交換設(shè)備發(fā)送的流量進(jìn)行清洗;
所述異常流量清洗設(shè)備將所述清洗后的流量通過所述交換設(shè)備回流到所 述網(wǎng)絡(luò)設(shè)備。
其中����,所述異常流量清洗設(shè)備接收所述業(yè)務(wù)管理設(shè)備發(fā)送的防御策略前, 還包括
所述異常流量檢測設(shè)備探測到對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量時(shí)��,通知所述業(yè)務(wù) 管理設(shè)備受到攻擊的網(wǎng)絡(luò)設(shè)備地址�����;
所述業(yè)務(wù)管理設(shè)備向異常流量清洗設(shè)備發(fā)送防御策略����,所述防御策略中 包括流量清洗策略���、以及對(duì)所述受到攻擊的網(wǎng)絡(luò)設(shè)備地址的流量牽引策略��。
其中�,所述異常流量清洗設(shè)備根據(jù)所述防御策略����,生成靜態(tài)ARP配置包括
所述流量清洗設(shè)備生成靜態(tài)ARP配置,所述靜態(tài)ARP配置的IP地址是 所述受到攻擊的網(wǎng)絡(luò)i史備的IP地址�����,對(duì)應(yīng)的MAC地址是所述異常流量清洗 設(shè)備的MAC地址。
其中�����,所述異常流量清洗設(shè)備根據(jù)所述防御策略��,生成ARP配置并向所 述攻擊流量經(jīng)過的交換設(shè)備發(fā)送后����,還包括
所述交換設(shè)備解析并存儲(chǔ)所述靜態(tài)ARP配置;
所述交換設(shè)備接收到發(fā)往所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地址的流量時(shí)�����, 根據(jù)所述靜態(tài)ARP配置�����,將所述流量通過與所述異常流量清洗設(shè)備連接的端 口發(fā)送到所述異常流量清洗設(shè)備�。
其中,所述異常流量清洗設(shè)備將所述清洗后的流量通過所述交換設(shè)備回 流到所述網(wǎng)絡(luò)設(shè)備所述異常流量清洗設(shè)備對(duì)所述交換設(shè)備發(fā)送的流量進(jìn)行清 洗后���,還包括
所述異常流量清洗設(shè)備將清洗后的流量報(bào)文的目的MAC替換為所述受
到攻擊的網(wǎng)絡(luò)設(shè)備的MAC地址���,并向所述交換設(shè)備發(fā)送����;
所述交換設(shè)備將所述清洗后的流量報(bào)文發(fā)送回流到所述網(wǎng)絡(luò)設(shè)備�。 其中,所述異常流量清洗設(shè)備對(duì)所述交換設(shè)備發(fā)送的流量進(jìn)行清洗后����,
還包括
攻擊流量停止時(shí),所述異常流量清洗設(shè)備接收所述業(yè)務(wù)管理設(shè)備發(fā)送的 刪除防御策略指示����;
所述異常流量清洗設(shè)備指示所述交換設(shè)備刪除所述靜態(tài)ARP配置�����,停止 將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到所述異常流量清洗設(shè)備���。
本發(fā)明還提供一種異常流量清洗設(shè)備��,包括
防御策略接收單元�����,用于在對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí)����,接收業(yè)務(wù)管 理設(shè)備發(fā)送的防御策略;
ARP配置生成單元����,用于根據(jù)所述防御策略接收單元接收的防御策略, 生成靜態(tài)ARP配置���;所述靜態(tài)ARP配置用于將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到所述異常流量清洗設(shè)備���;
ARP配置發(fā)送單元,用于向所述攻擊流量經(jīng)過的交換設(shè)備發(fā)送所述ARP 配置生成單元生成的靜態(tài)ARP配置���;
流量清洗單元����,用于對(duì)所述交換設(shè)備發(fā)送的流量進(jìn)行清洗��。����;
流量發(fā)送單元����,用于將所述流量清洗單元清洗后的流量通過所述交換設(shè) 備回流到所述網(wǎng)絡(luò)設(shè)備���。
其中���,所述ARP配置生成單元具體為,用于生成靜態(tài)ARP配置�����,所述靜 態(tài)ARP配置的IP地址是所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地址�,對(duì)應(yīng)的MAC 地址是所述異常流量清洗設(shè)備的MAC地址。
其中�,還包括所述流量發(fā)送單元具體
流量發(fā)送單元�,用于將所述流量清洗單元清洗后的流量凈艮文的目的MAC 替換為所述受到攻擊的網(wǎng)絡(luò)設(shè)備的MAC地址,并向所述交換設(shè)備發(fā)送��。 其中���,還包括
ARP配置刪除單元�����,用于接收到所述業(yè)務(wù)管理設(shè)備發(fā)送的刪除防御策略 指示時(shí)��,指示所述交換設(shè)備刪除所述靜態(tài)ARP配置�����,停止將所述交換設(shè)備上 發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到本設(shè)備��。
本發(fā)明還提供一種業(yè)務(wù)管理設(shè)備���,包括
防御策略指示單元�����,用于在攻擊流量發(fā)生時(shí)�,向異常流量清洗設(shè)備發(fā)送 防御策略�,所述防御策略中包括流量清洗策略、以及對(duì)受到攻擊的網(wǎng)絡(luò)設(shè)備 地址的流量牽引策略��;
防御策略刪除單元���,用于在攻擊流量停止時(shí)�����,向所述異常流量清洗設(shè)備 發(fā)送刪除防御策略的指示�����。
本發(fā)明還提供一種流量清洗系統(tǒng)�,包括異常流量檢測設(shè)備、異常流量清 洗設(shè)備以及業(yè)務(wù)管理設(shè)備�;
所述異常流量檢測設(shè)備,用于在檢測到對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí)����, 通知所述業(yè)務(wù)管理設(shè)備;
所述業(yè)務(wù)管理設(shè)備��,用于在所述異常流量^r測設(shè)備;f企測到攻擊流量發(fā)生 時(shí)�,向所述常流量清洗設(shè)備發(fā)送防御策略;所述異常流量清洗設(shè)備�,用于根據(jù)所述業(yè)務(wù)管理設(shè)備發(fā)送的防御策略,
生成靜態(tài)ARP配置并向所述攻擊流量經(jīng)過的交換設(shè)備發(fā)送��,所述靜態(tài)ARP 配置用于將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到本設(shè)備��;并對(duì)所 述交換設(shè)備發(fā)送的流量進(jìn)行清洗��。�,并將所述清洗后的流量通過所述交換設(shè)備 回流到所述網(wǎng)絡(luò)設(shè)備。
本發(fā)明還提供一種流量清洗方法����,應(yīng)用于包括異常流量檢測設(shè)備、異常
流量清洗設(shè)備以及業(yè)務(wù)管理設(shè)備的流量清洗系統(tǒng)中�����,包括
對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí)����,所述業(yè)務(wù)管理設(shè)備生成靜態(tài)ARP配置; 所述業(yè)務(wù)管理設(shè)備將所述靜態(tài)ARP配置向所述攻擊流量經(jīng)過的交換設(shè)備
發(fā)送�,以將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量以將所述攻擊流量牽引
到所述異常流量清洗設(shè)備進(jìn)行流量清洗。
其中�����,所述業(yè)務(wù)管理設(shè)備生成靜態(tài)ARP配置前還包括 所述異常流量檢測設(shè)備探測到攻擊流量時(shí)��,通知所述業(yè)務(wù)管理設(shè)備受到
攻擊的網(wǎng)絡(luò)設(shè)備地址���。
其中����,所述業(yè)務(wù)管理設(shè)備生成靜態(tài)ARP配置包括
所述流量檢測設(shè)備生成靜態(tài)ARP配置,所述靜態(tài)ARP配置的IP地址是 所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地址����,對(duì)應(yīng)的MAC地址是所述異常流量清洗 設(shè)備的MAC地址。
其中��,所述業(yè)務(wù)管理設(shè)備將所述靜態(tài)ARP配置向所述攻擊流量經(jīng)過的交 換設(shè)備發(fā)送后���,還包括
所述交換設(shè)備解析并存儲(chǔ)所述靜態(tài)ARP配置�����;
所述交換設(shè)備接收到發(fā)往所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地址的流量時(shí)�����, 根據(jù)所述靜態(tài)ARP配置����,將所述流量通過與所述異常流量清洗設(shè)備連接的端 口發(fā)送到所述異常流量清洗設(shè)備����;
所述異常流量清洗設(shè)備將清洗后的流量報(bào)文的目的MAC替換為所述受 到攻擊的網(wǎng)絡(luò)設(shè)備的MAC地址����,并向所述交換設(shè)備發(fā)送�����;
所述交換設(shè)備將所述清洗后的流量報(bào)文發(fā)送到所述網(wǎng)絡(luò)設(shè)備�����。其中��,還包括
攻擊流量停止時(shí)���,所述業(yè)務(wù)管理設(shè)備指示所述交換設(shè)備刪除所述靜態(tài) ARP配置,停止將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到所述異常 流量清洗設(shè)備����。
本發(fā)明還提供一種業(yè)務(wù)管理設(shè)備,包括
ARP配置生成單元���,用于在對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí)�,生成靜態(tài)ARP 配置�����;
ARP配置發(fā)送單元,用于將所述靜態(tài)ARP配置向所述攻擊流量經(jīng)過的交 換設(shè)備發(fā)送���,以將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量以將所述攻擊流 量牽引到所述異常流量清洗設(shè)備進(jìn)行流量清洗����。
其中��,所述ARP配置生成單元具體為���,用于生成靜態(tài)ARP配置�����,所述靜 態(tài)ARP配置的IP地址是所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地址�,對(duì)應(yīng)的MAC 地址是所述異常流量清洗設(shè)備的MAC地址���。
其中���,還包括
ARP配置刪除單元,用于當(dāng)攻擊流量停止時(shí)���,指示所述交換設(shè)備刪除所 述靜態(tài)ARP配置���,停止將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到所 述異常流量清洗設(shè)備。
本發(fā)明所提供的方法與現(xiàn)有技術(shù)相比�����,具有以下優(yōu)點(diǎn) 在攻擊流量發(fā)生時(shí)�,通過生成ARP配置并向攻擊流量經(jīng)過的交換設(shè)備 發(fā)送,使得交換設(shè)備將攻擊流量發(fā)送到異常流量清洗設(shè)備����,由異常流量清 洗設(shè)備對(duì)攻擊流量進(jìn)行清洗,提高了整個(gè)系統(tǒng)在流量清洗過程中的轉(zhuǎn)發(fā)性 能和轉(zhuǎn)發(fā)效率��;同時(shí)配置筒單靈活���,不需要對(duì)現(xiàn)有的網(wǎng)絡(luò)設(shè)備進(jìn)行特殊修 改即可實(shí)現(xiàn)�。
圖1為現(xiàn)有技術(shù)中流量清洗方法的示意圖2為現(xiàn)有技術(shù)中策略路由牽引方法的示意圖�����;圖3為本發(fā)明中流量清洗方法的流程圖4為本發(fā)明中異常流量檢測的流程圖5為本發(fā)明中業(yè)務(wù)管理設(shè)備的防御策略下發(fā)的流程圖6為本發(fā)明中異常流量清洗設(shè)備下發(fā)策略流程圖7為本發(fā)明中核心交換4幾更新ARP表流程圖8為本發(fā)明中流量牽引流程圖9為本發(fā)明中流量清洗回注流程圖IO為本發(fā)明中流量清洗恢復(fù)流程圖11為本發(fā)明中流量清洗方法的另一流程圖
圖12為本發(fā)明中流量清洗方法的再一流程圖
圖13為本發(fā)明中一種流量清洗系統(tǒng)的結(jié)構(gòu)示意圖14為本發(fā)明中業(yè)務(wù)管理設(shè)備的結(jié)構(gòu)示意圖15為本發(fā)明中異常流量清洗設(shè)備的結(jié)構(gòu)示意圖16為本發(fā)明中業(yè)務(wù)管理設(shè)備的另一結(jié)構(gòu)示意圖����。
具體實(shí)施例方式
以下結(jié)合附圖和實(shí)施例���,對(duì)本發(fā)明的實(shí)施方式作進(jìn)一步說明。 本發(fā)明提供一種流量清洗的方法����,應(yīng)用于包括異常流量4企測設(shè)備、異
常流量清洗設(shè)備以及業(yè)務(wù)管理設(shè)備的流量清洗系統(tǒng)中��,如圖3所示��,包括 步驟s301�����、對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí)����,異常流量清洗設(shè)備接收業(yè)
務(wù)管理設(shè)備發(fā)送的防御策略。
步驟s302�、異常流量清洗設(shè)備根據(jù)所述防御策略,生成靜態(tài)ARP (Address Resolution Protocol,地址解析協(xié)議)配置并向攻擊流量經(jīng)過的
交換設(shè)備發(fā)送�,該靜態(tài)ARP配置用于將交換設(shè)備上發(fā)往網(wǎng)絡(luò)設(shè)備的流量牽
引到異常流量清洗設(shè)備。
步驟s303����、異常流量清洗設(shè)備對(duì)交換設(shè)備發(fā)送的流量進(jìn)行清洗���。 步驟s304、異常流量清洗設(shè)備將清洗后的流量通過交換設(shè)備回流到網(wǎng)
絡(luò)設(shè)備����。具體的�����,本發(fā)明提供的該流量清洗方法中�����,通過ARP仿冒方法���,將向 交換設(shè)備上發(fā)往受攻擊網(wǎng)絡(luò)設(shè)備的攻擊流量牽引到異常流量清洗設(shè)備上�����, 由異常流量清洗設(shè)備對(duì)攻擊流量進(jìn)行清洗���。以下對(duì)該方法中涉及的各個(gè)流 程分別進(jìn)行詳細(xì)介紹�。
本發(fā)明的流量清洗方法中���,在異常流量檢測設(shè)備發(fā)現(xiàn)針對(duì)網(wǎng)絡(luò)設(shè)備(以 下以服務(wù)器為例)的攻擊流量后����,通知業(yè)務(wù)管理設(shè)備受到攻擊的服務(wù)器IP 地址和MAC (MediumAccess Control,々某體接入控制)地址��。該異常流量 檢測流程如圖4所示�����,包括以下步驟
步驟s401��、核心交換機(jī)將流量鏡像發(fā)送到異常流量探測設(shè)備�����。
步驟s402�、異常流量檢測設(shè)備探測分析流量,發(fā)現(xiàn)針對(duì)服務(wù)器A的攻 擊流量��,獲取力l務(wù)器A的IP地址和MAC地址�。
步驟s403、異常流量探測設(shè)備通知業(yè)務(wù)管理設(shè)備服務(wù)器A受到攻擊�, 并通知業(yè)務(wù)管理設(shè)備服務(wù)器A的IP地址和MAC地址�����。
業(yè)務(wù)管理設(shè)備接收到異常流量檢測設(shè)備發(fā)送的受到攻擊的服務(wù)器IP 地址和MAC地址后向異常流量清洗設(shè)備下發(fā)防御策略���。該業(yè)務(wù)管理設(shè)備 的防御策略下發(fā)流程如圖5所示,包括以下步驟
步驟s501���、業(yè)務(wù)管理設(shè)備生成防御策略�。該防御策略除了原有的清洗 策略外�����,還包括一條流量牽引策略�����。該流量牽引策略要求異常流量清洗設(shè) 備向核心交換機(jī)下發(fā)一條靜態(tài)ARP配置����。該ARP配置的IP地址是受到攻 擊的服務(wù)器IP地址��,對(duì)應(yīng)的MAC地址是異常流量清洗設(shè)備本身的MAC 地址���。
步驟s502���、業(yè)務(wù)管理設(shè)備向異常流量清洗設(shè)備下發(fā)防御策略�。
異常流量清洗設(shè)備收到防御策略后���,向攻擊流量經(jīng)過的核心交換機(jī)下 發(fā)策略��,如圖6所示���,包括以下步驟
步驟s601、異常流量清洗設(shè)備接收業(yè)務(wù)管理設(shè)備發(fā)送的防御策略���。步驟s602���、異常流量清洗設(shè)備配置清洗策略。
步驟s603����、異常流量清洗設(shè)備根據(jù)流量牽引策略,向核心交換機(jī)下發(fā) 靜態(tài)ARP配置����。該靜態(tài)ARP配置中�,表項(xiàng)的IP地址是受到攻擊的服務(wù)器 IP地址�����,對(duì)應(yīng)的MAC地址是異常流量清洗設(shè)備本身的MAC地址�����。
核心交換機(jī)接收到該靜態(tài)ARP配置后��,更新本地的ARP表項(xiàng)���,如圖 7所示�����,包括以下步驟
步驟s701、核心交換機(jī)收到異常流量清洗設(shè)備發(fā)送的靜態(tài)ARP配置�����。
步驟s702�����、核心交換機(jī)執(zhí)行該ARP配置后并生成一條靜態(tài)ARP表項(xiàng), 該表項(xiàng)的IP地址是受到攻擊的服務(wù)器IP地址��,對(duì)應(yīng)的MAC地址是異常流 量清洗設(shè)備的MAC地址���。
需要說明的是����,在生成靜態(tài)該ARP表項(xiàng)之前�����,在ARP表中針對(duì)IPA 已經(jīng)存在一條由服務(wù)器A的ARP報(bào)文生成的動(dòng)態(tài)ARP表項(xiàng)�。由于針對(duì)同 一 IP地址不能同時(shí)存在兩條ARP表項(xiàng),且靜態(tài)ARP表項(xiàng)的優(yōu)先級(jí)高于動(dòng) 態(tài)生成的ARP表項(xiàng)�,所以核心交換機(jī)會(huì)先刪除原本存在的動(dòng)態(tài)ARP表項(xiàng)。 然后生成一條針對(duì)IP A的靜態(tài)ARP表項(xiàng)����。
另外,由于靜態(tài)ARP表項(xiàng)的存在����,后續(xù)服務(wù)器A的ARP報(bào)文同樣無 法生成動(dòng)態(tài)ARP表項(xiàng)。也就是說,在核心交換機(jī)上對(duì)受到攻擊的服務(wù)器A 的IP地址IPA進(jìn)行ARP解析時(shí)��,會(huì)得到異常流量清洗設(shè)備B的MAC地 址��,異常流量清洗i殳備B的MAC地址在核心交換機(jī)上對(duì)應(yīng)的端口是連才妄 異常流量清洗設(shè)備的端口 ���。
核心交換機(jī)收到發(fā)往受攻擊服務(wù)器的流量后�����,查找路由會(huì)得到 一條直 連路由����,然后根據(jù)目的IP地址查找ARP表解析目的MAC地址����,得到異 常流量清洗設(shè)備B的MAC地址。因此將原本直接發(fā)給服務(wù)器的流量發(fā)給 異常流量清洗設(shè)備B�。該流量牽引流程,如圖8所示����,包括以下步驟 步驟s801��、核心交換機(jī)收到發(fā)往受攻擊服務(wù)器A的流量。 步驟s802�����、根據(jù)IPA查找路由���,得到一條直連路由�����,確定出接口���。步驟s803、根據(jù)目的地址IPA查找ARP表解析目的MAC地址�����,得到 異常流量清洗設(shè)備的MAC地址��,出端口是連接異常流量清洗設(shè)備的端口����。 步驟s804、將原本直接發(fā)給服務(wù)器A的流量發(fā)給異常流量清洗設(shè)備B�。
異常流量清洗設(shè)備對(duì)流量進(jìn)行清洗后進(jìn)行流量清洗回注�,該流量清洗 回注流程�,如圖9所示,包括以下步驟
步驟s901���、異常流量清洗設(shè)備根據(jù)清洗策略對(duì)流量進(jìn)行清洗�����。
步驟s902�����、將清洗后的流量才艮文目的MAC替換為ja務(wù)器A的MAC 地址�,回注到核心交換機(jī)��。
步驟s903�����、核心交換機(jī)根據(jù)Vlan和目的MAC將報(bào)文直接二層轉(zhuǎn)發(fā)給 服務(wù)器A����。
步驟s904、服務(wù)器A收到報(bào)文后進(jìn)行響應(yīng)�,缺省網(wǎng)關(guān)是核心交換機(jī)。 通過核心交換機(jī)直接轉(zhuǎn)發(fā)出去�����,不會(huì)再經(jīng)過流量清洗設(shè)備�����。
流量回注流程后���,若異常流量探測設(shè)備發(fā)現(xiàn)對(duì)服務(wù)器的攻擊停止時(shí)���, 則進(jìn)行流量清洗恢復(fù),該流量清洗恢復(fù)流程如圖IO所示���,包括以下步驟
步驟s1001���、在異常流量探測設(shè)備發(fā)現(xiàn)針對(duì)服務(wù)器的攻擊流量停止后, 通知業(yè)務(wù)管理設(shè)備�����。
步驟s1002�����、業(yè)務(wù)管理設(shè)備向異常流量清洗設(shè)備下發(fā)防雄卩策略,該防 御策略要求異常流量清洗設(shè)備刪除之前下發(fā)的牽引策略��。
步驟s1003�����、異常流量清洗設(shè)備根據(jù)該策略向核心交換機(jī)下發(fā)刪除靜 態(tài)ARP的配置�。
需要說明的是,核心交換機(jī)刪除靜態(tài)ARP表項(xiàng)后�����,服務(wù)器A的ARP 凈艮文會(huì)生成的動(dòng)態(tài)ARP表項(xiàng)�����。也就是說�����,在核心交換機(jī)上對(duì)受到攻擊的月良 務(wù)器A的IP地址進(jìn)行ARP解析時(shí)����,會(huì)得到服務(wù)器A的MAC地址�。
步驟sl004����、流量的轉(zhuǎn)發(fā)流程恢復(fù)正常���。
上述圖3至圖IO所描述的各流程中�����,以攻擊流量發(fā)生時(shí)����,業(yè)務(wù)管理設(shè)備向異常流量清洗設(shè)備發(fā)送防御策略����、進(jìn)而由異常流量清洗設(shè)備生成靜態(tài)
ARP配置并向攻擊流量經(jīng)過的交換設(shè)備發(fā)送為例,說明了本發(fā)明中流量清 洗方法的具體實(shí)施方式
��。在實(shí)際應(yīng)用中����,上述生成靜態(tài)ARP配置并向交換 設(shè)備發(fā)送的主體并不限于異常流量清洗設(shè)備,還可以是業(yè)務(wù)管理設(shè)備或流 量探測設(shè)備����。
當(dāng)由業(yè)務(wù)管理設(shè)備生成靜態(tài)ARP配置并向交換設(shè)備發(fā)送時(shí)�,如圖11 所示�����,本發(fā)明還提供了一種流量清洗方法��,應(yīng)用于包括異常流量檢測設(shè)備����、 異常流量清洗設(shè)備以及業(yè)務(wù)管理設(shè)備的流量清洗系統(tǒng)中,包括
步驟s1101�、對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí),業(yè)務(wù)管理設(shè)備生成靜態(tài) ARP配置�����。
具體的����,該攻擊流量發(fā)生的探測流程參見上述對(duì)于圖4的相關(guān)描述,在 此不再重復(fù)介紹�。另夕卜,該靜態(tài)ARP配置的IP地址是所述受到攻擊的網(wǎng)絡(luò)設(shè) 備的IP地址,對(duì)應(yīng)的MAC地址是所述異常流量清洗設(shè)備的MAC地址�����,對(duì) 應(yīng)的端口是所述交換設(shè)備與所述異常流量清洗設(shè)備連接所使用的端口 �。
步驟s1102、業(yè)務(wù)管理設(shè)備將所述靜態(tài)ARP配置向所述攻擊流量經(jīng)過 的交換設(shè)備發(fā)送����,以將交換設(shè)備上發(fā)往網(wǎng)絡(luò)設(shè)備的流量牽引到所述異常流 量清洗設(shè)備進(jìn)行流量清洗���。
如圖12所示�,上述步驟sll02后����,還可以包括 步驟sl103、所述交換設(shè)備解析并存儲(chǔ)所述靜態(tài)ARP配置�。 該步驟可以具體參見上述對(duì)于圖7的相關(guān)描述,在此不再重復(fù)介紹��。 步驟s1104���、所述交換設(shè)備接收到發(fā)往所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地 址的流量時(shí)��,纟艮據(jù)所述靜態(tài)ARP配置��,將所述流量通過與所述異常流量清洗 設(shè)備連接的端口發(fā)送到所述異常流量清洗設(shè)備���。
該步驟可以具體參見上述對(duì)于圖8的相關(guān)描述�,在此不再重復(fù)介紹����。 步驟s1105、所述異常流量清洗設(shè)備將清洗后的流量報(bào)文的目的MAC替 換為所述受到攻擊的網(wǎng)絡(luò)設(shè)備的MAC地址����,并向所述交換設(shè)備發(fā)送。 該步驟可以具體參見上述對(duì)于圖9的相關(guān)描述��,在此不再重復(fù)介紹�。 步驟s1106、所述交換設(shè)備將所述清洗后的流量報(bào)文發(fā)送到所述網(wǎng)絡(luò)設(shè)備���。
步驟s1107�、攻擊流量停止時(shí)����,所述業(yè)務(wù)管理設(shè)備指示所述交換設(shè)備刪 除所述靜態(tài)ARP配置�,停止將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引 到所述異常流量清洗設(shè)備�����。
本發(fā)明提供的上述方法中����,在攻擊流量發(fā)生時(shí),通過生成ARP配置并 向攻擊流量經(jīng)過的交換設(shè)備發(fā)送�����,使得交換設(shè)備將攻擊流量發(fā)送到異常流 量清洗設(shè)備��,由異常流量清洗設(shè)備對(duì)攻擊流量進(jìn)行清洗�,提高了整個(gè)系統(tǒng) 在流量清洗過程中的轉(zhuǎn)發(fā)性能和轉(zhuǎn)發(fā)效率�����;同時(shí)配置簡單靈活�,不需要對(duì) 現(xiàn)有的網(wǎng)絡(luò)設(shè)備進(jìn)行特殊^修改即可實(shí)現(xiàn)。
本發(fā)明還提供一種流量清洗系統(tǒng)����,如圖13所示,包括異常流量檢測設(shè)備 10、業(yè)務(wù)管理設(shè)備20�����、以及異常流量清洗設(shè)備30�����,具體的
異常流量檢測設(shè)備10�����,用于在檢測到攻擊流量發(fā)生時(shí)����,通知業(yè)務(wù)管理設(shè) 備20。
業(yè)務(wù)管理設(shè)備20����,用于在異常流量檢測設(shè)備IO檢測到攻擊流量發(fā)生時(shí), 向異常流量清洗設(shè)備30發(fā)送防御策略��。
異常流量清洗設(shè)備30���,用于根據(jù)業(yè)務(wù)管理設(shè)備20發(fā)送的防御策略�����,生成 靜態(tài)ARP配置并向攻擊流量經(jīng)過的交換設(shè)備發(fā)送�����,該靜態(tài)ARP配置用于將交 換設(shè)備上發(fā)往網(wǎng)絡(luò)設(shè)備的流量牽引到本設(shè)備�����;對(duì)交換設(shè)備發(fā)送的流量進(jìn)行清 洗�����,并將清洗后的流量通過交換設(shè)備回流到網(wǎng)絡(luò)設(shè)備�。
具體的,如圖14所示�����,上述業(yè)務(wù)管理設(shè)備20進(jìn)一步包括
防御策略指示單元21,用于在攻擊流量發(fā)生時(shí)����,向異常流量清洗設(shè)備30 發(fā)送防御策略�,所述防御策略中包括流量清洗策略����、以及對(duì)受到攻擊的網(wǎng)絡(luò) 設(shè)備地址的流量牽引策略��。
防御策略刪除單元22,用于在攻擊流量停止時(shí)��,向異常流量清洗設(shè)備30 發(fā)送刪除防御策略的指示�。具體的,如圖15所示��,上述異常流量清洗設(shè)備30進(jìn)一步包括
防御策略接收單元31����,用于在對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí),接收業(yè)務(wù) 管理設(shè)備20發(fā)送的防御策略�。
ARP配置生成單元32,用于根據(jù)防御策略接收單元31接收的防御策略����, 生成靜態(tài)ARP配置,該靜態(tài)ARP配置用于將交換設(shè)備上發(fā)往網(wǎng)絡(luò)設(shè)備的流量 牽引到異常流量清洗設(shè)備30�。該ARP配置生成單元32具體為,用于生成靜 態(tài)ARP配置����,所述靜態(tài)ARP配置的IP地址是所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP 地址����,對(duì)應(yīng)的MAC地址是所述異常流量清洗設(shè)備的MAC地址��。
ARP配置發(fā)送單元33���,用于向所述攻擊流量經(jīng)過的交換設(shè)備發(fā)送ARP 配置生成單元32生成的靜態(tài)ARP配置�。
流量清洗單元34�����,用于對(duì)交換設(shè)備發(fā)送的流量進(jìn)行清洗�。
流量發(fā)送單元35,用于將流量清洗單元34清洗后的流量通過交換設(shè)備回 流到所述網(wǎng)絡(luò)設(shè)備。具體為將流量清洗單元34清洗后的流量報(bào)文的目的 MAC替換為所述受到攻擊的網(wǎng)絡(luò)設(shè)備的MAC地址���,并向交換設(shè)備發(fā)送���。
另外,該異常流量清洗i殳備30還包括
ARP配置刪除單元36�����,用于接收到業(yè)務(wù)管理設(shè)備20發(fā)送的刪除防御策 略指示時(shí)����,指示所述交換設(shè)備刪除所述靜態(tài)ARP配置,停止將交換設(shè)備上發(fā) 往網(wǎng)絡(luò)設(shè)備的流量牽引到本設(shè)備�����。
本發(fā)明還提供一種業(yè)務(wù)管理設(shè)備40�����,用于在攻擊流量發(fā)生時(shí)生成靜態(tài) ARP配置并向交換設(shè)備發(fā)送��,如圖16所示����,包括
ARP配置生成單元41,用于在攻擊流量發(fā)生時(shí)����,生成靜態(tài)ARP配置; 該ARP配置生成單元41具體為�����,用于生成靜態(tài)ARP配置�����,所述靜態(tài)ARP 配置的IP地址是所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地址,對(duì)應(yīng)的MAC地址是所 述異常流量清洗設(shè)備的MAC地址����。
ARP配置發(fā)送單元42,用于將ARP配置生成單元41生成的靜態(tài)ARP 配置向所述攻擊流量經(jīng)過的交換設(shè)備發(fā)送���,以將所述交換設(shè)備上發(fā)往所述網(wǎng) 絡(luò)設(shè)備的流量牽引到所述異常流量清洗設(shè)備進(jìn)行流量清洗���。另外,該業(yè)務(wù)管理設(shè)備40還包括
ARP配置刪除單元43��,用于當(dāng)攻擊流量停止時(shí)�,指示所述交換設(shè)備刪除 所述靜態(tài)ARP配置,停止將交換設(shè)備上發(fā)往網(wǎng)絡(luò)設(shè)備的流量牽引到異常流量 清洗設(shè)備�。
本發(fā)明提供的上述系統(tǒng)和設(shè)備中,在攻擊流量發(fā)生時(shí)�,通過生成ARP 配置并向攻擊流量經(jīng)過的交換設(shè)備發(fā)送,使得交換設(shè)備將攻擊流量發(fā)送到 異常流量清洗設(shè)備����,由異常流量清洗設(shè)備對(duì)攻擊流量進(jìn)行清洗,提高了整 個(gè)系統(tǒng)在流量清洗過程中的轉(zhuǎn)發(fā)性能和轉(zhuǎn)發(fā)效率;同時(shí)配置簡單靈活�����,不 需要對(duì)現(xiàn)有的網(wǎng)絡(luò)設(shè)備進(jìn)行特殊修改即可實(shí)現(xiàn)��。
通過以上的實(shí)施方式的描述����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本 發(fā)明可以通過硬件實(shí)現(xiàn)�����,也可以借助軟件加必要的通用硬件平臺(tái)的方式來 實(shí)現(xiàn)基于這樣的理解�,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來, 該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ)介質(zhì)(可以是CD-ROM����, U盤, 移動(dòng)硬盤等)中�,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì) 算機(jī),服務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法���。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的 普通技術(shù)人員來說��,在不脫離本發(fā)明原理的前提下��,還可以做出若干改進(jìn) 和潤飾�,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
1���、一種流量清洗方法��,應(yīng)用于包括異常流量檢測設(shè)備�、異常流量清洗設(shè)備以及業(yè)務(wù)管理設(shè)備的流量清洗系統(tǒng)中����,其特征在于,包括對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí)�����,所述異常流量清洗設(shè)備接收所述業(yè)務(wù)管理設(shè)備發(fā)送的防御策略�����;所述異常流量清洗設(shè)備根據(jù)所述防御策略,生成靜態(tài)地址解析協(xié)議ARP配置并向所述攻擊流量經(jīng)過的交換設(shè)備發(fā)送����,所述靜態(tài)ARP配置用于將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到所述異常流量清洗設(shè)備;所述異常流量清洗設(shè)備對(duì)所述交換設(shè)備發(fā)送的流量進(jìn)行清洗���;所述異常流量清洗設(shè)備將所述清洗后的流量通過所述交換設(shè)備回流到所述網(wǎng)絡(luò)設(shè)備。
2�、 如權(quán)利要求l所述的方法,其特征在于��,所述異常流量清洗設(shè)備接收 所述業(yè)務(wù)管理設(shè)備發(fā)送的防御策略前�,還包括所述異常流量檢測設(shè)備探測到對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量時(shí),通知所述業(yè)務(wù)管理設(shè)備受到攻擊的網(wǎng)絡(luò)設(shè)備地址�����;所述業(yè)務(wù)管理設(shè)備向異常流量清洗設(shè)備發(fā)送防御策略�,所述防御策略中 包括流量清洗策略、以及對(duì)所述受到攻擊的網(wǎng)絡(luò)設(shè)備地址的流量牽引策略����。
3、 如權(quán)利要求2所述的方法�,其特征在于�,所述異常流量清洗設(shè)備根據(jù) 所述防御策略�����,生成靜態(tài)ARP配置包括所述流量清洗設(shè)備生成靜態(tài)ARP配置��,所述靜態(tài)ARP配置的IP地址是 所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地址����,對(duì)應(yīng)的MAC地址是所述異常流量清洗 設(shè)備的MAC地址。
4����、 如權(quán)利要求3所述的方法,其特征在于�,所述異常流量清洗設(shè)備根據(jù) 所述防御策略,生成ARP配置并向所述攻擊流量經(jīng)過的交換設(shè)備發(fā)送后���,還 包括所述交換設(shè)備解析并存儲(chǔ)所述靜態(tài)ARP配置�����;所述交換設(shè)備接收到發(fā)往所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地址的流量時(shí)��, 根據(jù)所述靜態(tài)ARP配置���,將所述流量通過與所述異常流量清洗i殳備連接的端口發(fā)送到所述異常流量清洗設(shè)備�。
5���、 如權(quán)利要求1或2所述的方法�����,其特征在于��,所述異常流量清洗設(shè)備 將所述清洗后的流量通過所述交換設(shè)備回流到所述網(wǎng)絡(luò)設(shè)備包括所述異常流量清洗設(shè)備將清洗后的流量^^文的目的MAC替換為所述受 到攻擊的網(wǎng)絡(luò)設(shè)備的MAC地址,并向所述交換設(shè)備發(fā)送����;所述交換設(shè)備將所述清洗后的流量^^艮文回流到所述網(wǎng)絡(luò)設(shè)備。
6�、 如權(quán)利要求1或2所述的方法,其特征在于��,所述異常流量清洗設(shè)備 對(duì)所述交換設(shè)備發(fā)送的流量進(jìn)行清洗后�����,還包括攻擊流量停止時(shí)���,所述異常流量清洗設(shè)備接收所述業(yè)務(wù)管理設(shè)備發(fā)送的 刪除防^f卸策略指示��;所述異常流量清洗設(shè)備指示所述交換設(shè)備刪除所述靜態(tài)ARP配置��,停止 將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到所述異常流量清洗設(shè)備�。
7、 一種異常流量清洗設(shè)備����,其特征在于,包括防御策略接收單元����,用于在對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí),接收業(yè)務(wù)管 理設(shè)備發(fā)送的防御策略��;ARP配置生成單元����,用于根據(jù)所述防御策略接收單元接收的防御策略, 生成靜態(tài)ARP配置�;所述靜態(tài)ARP配置用于將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò) 設(shè)備的流量牽引到所述異常流量清洗設(shè)備;ARP配置發(fā)送單元����,用于向所述攻擊流量經(jīng)過的交換設(shè)備發(fā)送所述ARP 配置生成單元生成的靜態(tài)ARP配置����;流量清洗單元���,用于對(duì)所述交換設(shè)備發(fā)送的流量進(jìn)行清洗�����;流量發(fā)送單元���,用于將所述流量清洗單元清洗后的流量通過所述交換設(shè) 備回流到所述網(wǎng)絡(luò)設(shè)備。
8��、 如權(quán)利要求7所述的設(shè)備�����,其特征在于���,所述ARP配置生成單元具 體為,用于生成靜態(tài)ARP配置��,所述靜態(tài)ARP配置的IP地址是所述受到攻 擊的網(wǎng)絡(luò)設(shè)備的IP地址�,對(duì)應(yīng)的MAC地址是所述異常流量清洗設(shè)備的MAC 地址���。
9、 如權(quán)利要求7所述的設(shè)備����,其特征在于,所述流量發(fā)送單元具體用于 將所述流量清洗單元清洗后的流量報(bào)文的目的MAC替換為所述受到攻擊的 網(wǎng)絡(luò)設(shè)備的MAC地址��,并向所述交換設(shè)備發(fā)送����。
10、 如權(quán)利要求7所述的設(shè)備����,其特征在于,還包括ARP配置刪除單元���,用于接收到所述業(yè)務(wù)管理設(shè)備發(fā)送的刪除防御策略 指示時(shí)����,指示所述交換設(shè)備刪除所述靜態(tài)ARP配置�����,停止將所述交換設(shè)備上 發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到本設(shè)備。
11�����、 一種業(yè)務(wù)管理設(shè)備��,其特征在于���,包括防御策略指示單元�,用于在攻擊流量發(fā)生時(shí)���,向異常流量清洗設(shè)備發(fā)送 防御策略���,所述防御策略中包括流量清洗策略、以及對(duì)受到攻擊的網(wǎng)絡(luò)設(shè)備 地址的流量牽引策略���;防御策略刪除單元,用于在攻擊流量停止時(shí)����,向所述異常流量清洗設(shè)備 發(fā)送刪除防御策略的指示。
12、 一種流量清洗系統(tǒng)�,其特征在于,包括異常流量檢測設(shè)備���、異常流 量清洗設(shè)備以及業(yè)務(wù)管理設(shè)備����;所述異常流量檢測設(shè)備��,用于在檢測到對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí)���, 通知所述業(yè)務(wù)管理設(shè)備�;所述業(yè)務(wù)管理設(shè)備��,用于在所述異常流量檢測設(shè)備檢測到攻擊流量發(fā)生 時(shí)��,向所述常流量清洗設(shè)備發(fā)送防御策略���;所述異常流量清洗設(shè)備���,用于根據(jù)所述業(yè)務(wù)管理設(shè)備發(fā)送的防御策略, 生成靜態(tài)ARP配置并向所述攻擊流量經(jīng)過的交換設(shè)備發(fā)送���,所述靜態(tài)ARP 配置用于將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到本設(shè)備�����;對(duì)所述 交換設(shè)備發(fā)送的流量進(jìn)行清洗�����,并將所述清洗后的流量通過所述交換設(shè)備回 流到所述網(wǎng)絡(luò)設(shè)備����。
13、 一種流量清洗方法����,應(yīng)用于包括異常流量檢測設(shè)備、異常流量清洗 設(shè)備以及業(yè)務(wù)管理設(shè)備的流量清洗系統(tǒng)中���,其特征在于����,包括對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí)�,所述業(yè)務(wù)管理設(shè)備生成靜態(tài)ARP配置;所述業(yè)務(wù)管理設(shè)備將所述靜態(tài)ARP配置向所述攻擊流量經(jīng)過的交換設(shè)備 發(fā)送����,以將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到所述異常流量清 洗設(shè)備進(jìn)行流量清洗。
14��、 如權(quán)利要求13所述的方法�,其特征在于,所述業(yè)務(wù)管理設(shè)備生成靜 態(tài)ARP配置前還包4舌所述異常流量檢測設(shè)備探測到攻擊流量時(shí)�����,通知所述業(yè)務(wù)管理設(shè)備受到 攻擊的網(wǎng)絡(luò)設(shè)備地址�。
15、 如權(quán)利要求14所述的方法��,其特征在于��,所述業(yè)務(wù)管理設(shè)備生成靜 態(tài)ARP配置包括所述流量檢測設(shè)備生成靜態(tài)ARP配置��,所述靜態(tài)ARP配置的IP地址是 所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地址�����,對(duì)應(yīng)的MAC地址是所述異常流量清洗 設(shè)備的MAC地址���。
16��、 如權(quán)利要求14所述的方法���,其特征在于����,所述業(yè)務(wù)管理設(shè)備將所述 靜態(tài)ARP配置向所述攻擊流量經(jīng)過的交換設(shè)備發(fā)送后�,還包括所述交換設(shè)備解析并存儲(chǔ)所述靜態(tài)ARP配置;所述交換設(shè)備接收到發(fā)往所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地址的流量時(shí)����, 根據(jù)所述靜態(tài)ARP配置,將所述流量通過與所述異常流量清洗設(shè)備連接的端 口發(fā)送到所述異常流量清洗設(shè)備��;所述異常流量清洗設(shè)備將清洗后的流量報(bào)文的目的MAC替換為所述受 到攻擊的網(wǎng)絡(luò)設(shè)備的MAC地址���,并向所述交換設(shè)備發(fā)送�;所述交換設(shè)備將所述清洗后的流量報(bào)文發(fā)送到所述網(wǎng)絡(luò)設(shè)備���。
17�����、 如權(quán)利要求14所述的方法�����,其特征在于�,還包括攻擊流量停止時(shí)�����,所述業(yè)務(wù)管理設(shè)備指示所述交換設(shè)備刪除所述靜態(tài) ARP配置�,停止將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到所述異常 流量清洗設(shè)備。
18��、 一種業(yè)務(wù)管理設(shè)備����,其特征在于,包括ARP配置生成單元���,用于在對(duì)網(wǎng)絡(luò)設(shè)備的攻擊流量發(fā)生時(shí)����,生成靜態(tài)ARP配置�����;ARP配置發(fā)送單元,用于將所述靜態(tài)ARP配置向所述攻擊流量經(jīng)過的交 換設(shè)備發(fā)送�,以將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到所述異常 流量清洗設(shè)備進(jìn)行流量清洗。
19��、 如權(quán)利要求18所述的業(yè)務(wù)管理設(shè)備�����,其特征在于�,所述ARP配置 生成單元具體為,用于生成靜態(tài)ARP配置����,所述靜態(tài)ARP配置的IP地址是 所述受到攻擊的網(wǎng)絡(luò)設(shè)備的IP地址,對(duì)應(yīng)的MAC地址是所述異常流量清洗 設(shè)備的MAC地址���。
20�����、 如權(quán)利要求18所述的業(yè)務(wù)管理設(shè)備�,其特征在于�����,還包括ARP配置刪除單元,用于當(dāng)攻擊流量停止時(shí)��,指示所述交換設(shè)備刪除所 述靜態(tài)ARP配置�,停止將所述交換設(shè)備上發(fā)往所述網(wǎng)絡(luò)設(shè)備的流量牽引到所 述異常流量清洗設(shè)備。
全文摘要
本發(fā)明公開了一種流量清洗方法�、系統(tǒng)和設(shè)備。該方法應(yīng)用于包括異常流量檢測設(shè)備��、異常流量清洗設(shè)備以及業(yè)務(wù)管理設(shè)備的流量清洗系統(tǒng)中�����,本發(fā)明通過ARP仿冒方法���,將向交換設(shè)備上發(fā)往受攻擊網(wǎng)絡(luò)設(shè)備的攻擊流量牽引到異常流量清洗設(shè)備上,由異常流量清洗設(shè)備對(duì)攻擊流量進(jìn)行清洗并回流到網(wǎng)絡(luò)設(shè)備���。通過使用本發(fā)明���,提高了整個(gè)系統(tǒng)在流量清洗過程中的轉(zhuǎn)發(fā)性能和轉(zhuǎn)發(fā)效率;同時(shí)配置簡單靈活��,不需要對(duì)現(xiàn)有的網(wǎng)絡(luò)設(shè)備進(jìn)行特殊修改即可實(shí)現(xiàn)�。
文檔編號(hào)H04L12/26GK101299724SQ200810126499
公開日2008年11月5日 申請(qǐng)日期2008年7月4日 優(yōu)先權(quán)日2008年7月4日
發(fā)明者蔚 李 申請(qǐng)人:杭州華三通信技術(shù)有限公司