本申請(qǐng)涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種監(jiān)控網(wǎng)絡(luò)流量的方法、裝置及服務(wù)器。

背景技術(shù)：

當(dāng)互聯(lián)網(wǎng)數(shù)據(jù)中心(internetdatacenter，簡(jiǎn)稱為idc)內(nèi)部的任意一臺(tái)服務(wù)器遭受大流量分布式拒絕服務(wù)(distributeddenialofservice，簡(jiǎn)稱為ddos)攻擊時(shí)，均可能引起互聯(lián)網(wǎng)服務(wù)提供商(internetserviceprovider，簡(jiǎn)稱為isp)到idc的網(wǎng)絡(luò)擁塞，現(xiàn)有技術(shù)通常會(huì)在isp網(wǎng)絡(luò)設(shè)備上將流量進(jìn)行黑洞處理，例如，當(dāng)idc內(nèi)部的服務(wù)器a遭受大流量ddos攻擊時(shí)，isp網(wǎng)絡(luò)設(shè)備如果發(fā)現(xiàn)網(wǎng)絡(luò)目的地址為idc內(nèi)的服務(wù)器a，則將網(wǎng)絡(luò)流量丟棄，從而使網(wǎng)絡(luò)流量不會(huì)轉(zhuǎn)發(fā)到idc網(wǎng)絡(luò)設(shè)備上，保護(hù)了isp到idc的帶寬?，F(xiàn)有技術(shù)只是為了保障isp到idc的帶寬不被擁塞，對(duì)于被丟棄的流量完全不可知。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本申請(qǐng)?zhí)峁┮环N新的技術(shù)方案，可以通過對(duì)idc網(wǎng)絡(luò)設(shè)備丟棄的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)和分析，從而清晰地了解到網(wǎng)絡(luò)流量的攻擊狀態(tài)，進(jìn)而在網(wǎng)絡(luò)流量的源ip地址側(cè)堵住流量攻擊，降低防御難度和防御帶寬成本。

為實(shí)現(xiàn)上述目的，本申請(qǐng)?zhí)峁┘夹g(shù)方案如下：

根據(jù)本申請(qǐng)的第一方面，提出了一種監(jiān)控網(wǎng)絡(luò)流量的方法，包括：

確定來自isp側(cè)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量的源ip地址是否為偽造的ip地 址；

如果所述源ip地址為非偽造的ip地址，向所述源ip地址發(fā)送探測(cè)報(bào)文；

如果接收到所述源ip地址對(duì)應(yīng)的設(shè)備根據(jù)所述探測(cè)報(bào)文返回的應(yīng)答報(bào)文，向所述源ip地址側(cè)對(duì)應(yīng)的第一流量清洗設(shè)備發(fā)送用于對(duì)所述源ip地址的網(wǎng)絡(luò)流量進(jìn)行流量清洗的第一通知消息。

根據(jù)本申請(qǐng)的第二方面，提出了一種監(jiān)控網(wǎng)絡(luò)流量的裝置，包括：

第一確定模塊，用于確定來自isp側(cè)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量的源ip地址是否為偽造的ip地址；

第一發(fā)送模塊，用于如果所述第一確定模塊確定所述源ip地址為非偽造的ip地址，向所述源ip地址發(fā)送探測(cè)報(bào)文；

第二發(fā)送模塊，用于如果接收到所述源ip地址對(duì)應(yīng)的設(shè)備根據(jù)所述第一發(fā)送模塊發(fā)送的所述探測(cè)報(bào)文返回的應(yīng)答報(bào)文，向所述源ip地址側(cè)對(duì)應(yīng)的第一流量清洗設(shè)備發(fā)送用于對(duì)所述源ip地址的網(wǎng)絡(luò)流量進(jìn)行流量清洗的第一通知消息。

根據(jù)本申請(qǐng)的第三方面，提出了一種服務(wù)器，所述服務(wù)器包括：

處理器；用于存儲(chǔ)所述處理器可執(zhí)行指令的存儲(chǔ)器；網(wǎng)絡(luò)接口；

其中，所述網(wǎng)絡(luò)接口，用于接收來自isp側(cè)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量；

處理器，用于確定所述網(wǎng)絡(luò)接口接收到的網(wǎng)絡(luò)流量的源ip地址是否為偽造的ip地址；

所述網(wǎng)絡(luò)接口，還用于如果所述處理器確定所述源ip地址為非偽造的ip地址，向所述源ip地址發(fā)送探測(cè)報(bào)文；

如果接收到所述源ip地址對(duì)應(yīng)的設(shè)備根據(jù)所述探測(cè)報(bào)文返回的應(yīng)答報(bào)文，向所述源ip地址側(cè)對(duì)應(yīng)的第一流量清洗設(shè)備發(fā)送用于對(duì)所述源ip地址的網(wǎng)絡(luò)流量進(jìn)行流量清洗的第一通知消息。

由以上技術(shù)方案可見，本申請(qǐng)?jiān)谠磇p地址為非偽造的ip地址時(shí)，向源ip地址發(fā)送探測(cè)報(bào)文，如果接收到源ip地址對(duì)應(yīng)的設(shè)備根據(jù)探測(cè)報(bào)文返回的應(yīng)答報(bào)文，向源ip地址側(cè)對(duì)應(yīng)的第一流量清洗設(shè)備發(fā)送用于對(duì)源ip地址 的網(wǎng)絡(luò)流量進(jìn)行流量清洗的第一通知消息，從而可以使源ip地址對(duì)應(yīng)的流量清洗設(shè)備對(duì)源ip地址發(fā)送的網(wǎng)絡(luò)流量進(jìn)行近源清洗，實(shí)現(xiàn)了按照攻擊源的地區(qū)下發(fā)清洗策略，將攻擊在源頭進(jìn)行堵截，減少了攻擊目的地的網(wǎng)絡(luò)擁塞情況，降低了目的地的防御難度和防御帶寬成本。

附圖說明

圖1示出了根據(jù)本發(fā)明實(shí)施例提供的監(jiān)控網(wǎng)絡(luò)流量的方法所適用的網(wǎng)絡(luò)拓?fù)鋱D；

圖2示出了根據(jù)本發(fā)明的一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的方法的流程示意圖；

圖3示出了根據(jù)本發(fā)明的又一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的方法的流程示意圖；

圖4示出了根據(jù)本發(fā)明的再一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的方法的流程示意圖；

圖5示出了根據(jù)本發(fā)明的一示例性實(shí)施例的網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖；

圖6示出了根據(jù)本發(fā)明的一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的裝置的結(jié)構(gòu)示意圖；

圖7示出了根據(jù)本發(fā)明的又一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的裝置的結(jié)構(gòu)示意圖；

圖8示出了根據(jù)本發(fā)明的再一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的裝置的結(jié)構(gòu)示意圖。

具體實(shí)施方式

這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說明，其示例表示在附圖中。下面的描述涉及附圖時(shí)，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本申請(qǐng)的一 些方面相一致的裝置和方法的例子。

在本申請(qǐng)使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的，而非旨在限制本申請(qǐng)。在本申請(qǐng)和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。

應(yīng)當(dāng)理解，盡管在本申請(qǐng)可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請(qǐng)范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。

圖1示出了根據(jù)本發(fā)明實(shí)施例提供的監(jiān)控網(wǎng)絡(luò)流量的方法所適用的網(wǎng)絡(luò)拓?fù)鋱D；如圖1所示，idc側(cè)包括網(wǎng)絡(luò)設(shè)備11、服務(wù)器121、服務(wù)器122、…服務(wù)器12n、流量清洗設(shè)備14(也可稱為本申請(qǐng)下述實(shí)施例中的第二流量清洗設(shè)備)、清洗設(shè)備配置服務(wù)器15，其中，n為idc側(cè)的提供業(yè)務(wù)的服務(wù)器的數(shù)量，isp側(cè)包括網(wǎng)絡(luò)設(shè)備16。其中，可以在idc側(cè)配置有網(wǎng)絡(luò)設(shè)備13和至少一臺(tái)服務(wù)器120(圖1以一臺(tái)服務(wù)器120作為示例性說明)，網(wǎng)絡(luò)設(shè)備13用于將網(wǎng)絡(luò)設(shè)備11需要黑洞的網(wǎng)絡(luò)流量按照網(wǎng)絡(luò)設(shè)備11指定的目的地轉(zhuǎn)發(fā)至至少一個(gè)服務(wù)器120中的對(duì)應(yīng)服務(wù)器。其中，服務(wù)器120也可以稱為蜜罐處理設(shè)備，網(wǎng)絡(luò)設(shè)備13可以稱為蜜罐網(wǎng)絡(luò)設(shè)備。

在通常情況下，流量清洗設(shè)備14通過鏡像流量清洗設(shè)備14和網(wǎng)絡(luò)設(shè)備11之間的流量對(duì)出入idc機(jī)房的流量進(jìn)行監(jiān)測(cè)。監(jiān)測(cè)的方式是，通過計(jì)算設(shè)定時(shí)間段內(nèi)到達(dá)idc機(jī)房?jī)?nèi)的服務(wù)器的流量與該服務(wù)器對(duì)應(yīng)的流量閾值進(jìn)行比較。如果網(wǎng)絡(luò)流量的大小超過清洗閾值，則流量清洗設(shè)備14啟動(dòng)流量清洗；如果網(wǎng)絡(luò)流量的大小超過黑洞閾值，可以將網(wǎng)絡(luò)流量視為攻擊流量，向網(wǎng)絡(luò)設(shè)備11發(fā)布蜜罐牽引請(qǐng)求，網(wǎng)絡(luò)設(shè)備11在接收到蜜罐牽引請(qǐng)求后，向網(wǎng)絡(luò) 設(shè)備16發(fā)布蜜罐牽引請(qǐng)求，網(wǎng)絡(luò)設(shè)備16接收到蜜罐牽引請(qǐng)求后，按照牽引目的地將流量牽引至網(wǎng)絡(luò)設(shè)備13，網(wǎng)絡(luò)設(shè)備13按照指定目的地將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)至服務(wù)器120，從而使服務(wù)器120通過本申請(qǐng)對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控。清洗設(shè)備配置服務(wù)器15用于記錄服務(wù)器121、服務(wù)器122、…服務(wù)器12n各自對(duì)應(yīng)的牽引閾值和黑洞閾值，例如，服務(wù)器121的牽引閾值為20mbit/s，黑洞閾值為100mbit/s，服務(wù)器121的ip地址為10.1.1.1，正常流量信息為10mbit/s。流量清洗設(shè)備14以秒為單位統(tǒng)計(jì)目的ip地址為10.1.1.1的網(wǎng)絡(luò)流量，一旦網(wǎng)絡(luò)流量達(dá)到牽引閾值20mbit/s，流量清洗設(shè)備14執(zhí)行清洗，如果從網(wǎng)絡(luò)設(shè)備11到達(dá)服務(wù)器121的網(wǎng)絡(luò)流量到達(dá)100mbit/s，流量清洗設(shè)備14會(huì)通過網(wǎng)絡(luò)設(shè)備11向網(wǎng)絡(luò)設(shè)備16下發(fā)將流量牽引至網(wǎng)絡(luò)設(shè)備13的通知消息，網(wǎng)絡(luò)設(shè)備16將網(wǎng)絡(luò)流量通過網(wǎng)絡(luò)設(shè)備13轉(zhuǎn)發(fā)至服務(wù)器120。服務(wù)器120通過本申請(qǐng)對(duì)目的ip地址為10.1.1.1的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控。

為對(duì)本申請(qǐng)進(jìn)行進(jìn)一步說明，提供下列實(shí)施例：

圖2示出了根據(jù)本發(fā)明的一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的方法的流程示意圖；本實(shí)施例結(jié)合圖1進(jìn)行示例性說明，本實(shí)施例可以通過上述圖1中的服務(wù)器120實(shí)現(xiàn)，如圖2所示，包括如下步驟：

步驟201，確定來自isp側(cè)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量的源ip地址是否為偽造的ip地址，如果源ip地址為非偽造的ip地址，執(zhí)行步驟202，如果源ip地址為偽造的ip地址，繼續(xù)接收來自isp側(cè)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量。

在一實(shí)施例中，來自isp側(cè)的網(wǎng)絡(luò)設(shè)備16的網(wǎng)絡(luò)流量可以為isp側(cè)的網(wǎng)絡(luò)設(shè)備16需要執(zhí)行黑洞的網(wǎng)絡(luò)流量。在一實(shí)施例中，服務(wù)器120可以通過分析網(wǎng)絡(luò)流量的數(shù)據(jù)報(bào)文中的源ip地址，結(jié)合該源ip地址對(duì)應(yīng)的地理信息以及數(shù)據(jù)報(bào)文中的生存時(shí)間(time-to-live，簡(jiǎn)稱為ttl)等信息，確定網(wǎng)絡(luò)流量對(duì)應(yīng)的源ip地址的地理位置與ttl是否一致，如果相一致，則視為非偽造的ip地址，如果不一致，則視為偽造的ip地址。

步驟202，如果源ip地址為非偽造的ip地址，向源ip地址發(fā)送探測(cè)報(bào)文。

在一實(shí)施例中，探測(cè)報(bào)文可以為控制報(bào)文協(xié)議(internetcontrolmessageprotocol，簡(jiǎn)稱為icmp)包。

步驟203，如果接收到源ip地址對(duì)應(yīng)的設(shè)備根據(jù)探測(cè)報(bào)文返回的應(yīng)答報(bào)文，向源ip地址側(cè)對(duì)應(yīng)的第一流量清洗設(shè)備發(fā)送用于對(duì)源ip地址的網(wǎng)絡(luò)流量進(jìn)行流量清洗的第一通知消息。

在一實(shí)施例中，如果接收到源ip地址對(duì)應(yīng)的設(shè)備根據(jù)探測(cè)報(bào)文返回的應(yīng)答報(bào)文，即可確定該源ip地址對(duì)應(yīng)一個(gè)真實(shí)的發(fā)送數(shù)據(jù)報(bào)文的源設(shè)備，從而可以根據(jù)該源ip地址確定源ip地址對(duì)應(yīng)的第一流量清洗設(shè)備，進(jìn)而使第一流量清洗設(shè)備對(duì)該源ip地址發(fā)送的網(wǎng)絡(luò)流量進(jìn)行近源清洗。

由上述描述可知，本發(fā)明實(shí)施例在源ip地址為非偽造的ip地址時(shí)，向源ip地址發(fā)送探測(cè)報(bào)文，如果接收到源ip地址對(duì)應(yīng)的設(shè)備根據(jù)探測(cè)報(bào)文返回的應(yīng)答報(bào)文，向源ip地址側(cè)對(duì)應(yīng)的第一流量清洗設(shè)備發(fā)送用于對(duì)源ip地址的網(wǎng)絡(luò)流量進(jìn)行流量清洗的第一通知消息，從而可以使源ip地址對(duì)應(yīng)的流量清洗設(shè)備對(duì)源ip地址發(fā)送的網(wǎng)絡(luò)流量進(jìn)行近源清洗，實(shí)現(xiàn)了按照攻擊源的地區(qū)下發(fā)清洗策略，將攻擊在源頭進(jìn)行堵截，減少了攻擊目的地的網(wǎng)絡(luò)擁塞情況，降低了目的地的防御難度和防御帶寬成本。

圖3示出了根據(jù)本發(fā)明的又一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的方法的流程示意圖；本實(shí)施例結(jié)合圖1進(jìn)行示例性說明，如圖3所示，包括如下步驟：

步驟301，從來自isp側(cè)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量的數(shù)據(jù)報(bào)文中獲取源ip地址所在的地理位置信息以及數(shù)據(jù)報(bào)文的生存時(shí)間。

步驟302，確定地理位置信息以及數(shù)據(jù)報(bào)文的生存時(shí)間是否一致，如果地理位置信息與生存時(shí)間相一致，執(zhí)行步驟303，如果地理位置信息與生存時(shí)間不一致，執(zhí)行步驟307。

以idc側(cè)的相關(guān)設(shè)備(如圖1中所述的網(wǎng)絡(luò)設(shè)備11、服務(wù)器121、服務(wù)器122、…服務(wù)器12n、流量清洗設(shè)備14)位于北京以及源ip地址位于杭州為例進(jìn)行示例性說明，從杭州到北京的網(wǎng)絡(luò)流量需要經(jīng)過4-6個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，數(shù)據(jù)報(bào)文在杭州發(fā)出時(shí)默認(rèn)的ttl為255，則網(wǎng)絡(luò)流量從杭州發(fā)往北京的 ttl的正常值的范圍為【255-4，255-6】，如果服務(wù)器120監(jiān)控的網(wǎng)絡(luò)流量的數(shù)據(jù)報(bào)文的ttl不在上述范圍內(nèi)，認(rèn)為源ip地址對(duì)應(yīng)的地理信息與ttl不一致，可以認(rèn)為網(wǎng)絡(luò)流量的源ip地址是偽造的ip地址，如果服務(wù)器120監(jiān)控的網(wǎng)絡(luò)流量的數(shù)據(jù)報(bào)文的ttl在上述范圍內(nèi)，認(rèn)為源ip地址對(duì)應(yīng)的地理信息與ttl相一致，可以認(rèn)為網(wǎng)絡(luò)流量的源ip地址為非偽造的ip地址，也可視為真實(shí)的ip地址。

步驟303，如果地理位置信息與生存時(shí)間相一致，確定網(wǎng)絡(luò)流量的源ip地址為非偽造的ip地址。

步驟304，確定網(wǎng)絡(luò)流量所包含的數(shù)據(jù)報(bào)文的類型。

步驟305，根據(jù)數(shù)據(jù)報(bào)文的類型確定需要向源ip地址發(fā)送的探測(cè)報(bào)文。

在步驟304和步驟305中，網(wǎng)絡(luò)流量所包含的數(shù)據(jù)報(bào)文的類型可以包括icmp包、tcp報(bào)文、udp報(bào)文、http報(bào)文等，通過從網(wǎng)絡(luò)流量中提取例如icmp包、tcp報(bào)文、udp報(bào)文以及http報(bào)文等“正?！钡膱?bào)文，并試探性地向源ip地址回復(fù)探測(cè)報(bào)文，以探測(cè)攻擊者的意圖并根據(jù)報(bào)文交互情況進(jìn)行防御。例如，當(dāng)網(wǎng)絡(luò)流量的數(shù)據(jù)報(bào)文為udp報(bào)文時(shí)，檢查是否為已知常見的udp請(qǐng)求，如果檢查到udp請(qǐng)求，確定該udp請(qǐng)求是否為dns請(qǐng)求，如果為dns請(qǐng)求，則向源ip地址發(fā)送dns響應(yīng)，如果不是dns請(qǐng)求，則啟動(dòng)ip層icmp探測(cè)查看是否有來自源ip地址的應(yīng)答；當(dāng)數(shù)據(jù)報(bào)文為tcp報(bào)文時(shí)，根據(jù)sync報(bào)文的特征，可以構(gòu)造相應(yīng)的應(yīng)答報(bào)文并觀察sync報(bào)文發(fā)送者的后續(xù)動(dòng)作，用以判斷攻擊者的意圖；當(dāng)數(shù)據(jù)報(bào)文為http報(bào)文時(shí)，分析http請(qǐng)求中的內(nèi)容，利用httpredirect進(jìn)行交互探測(cè)，觀察攻擊者的意圖。

步驟306，如果接收到源ip地址對(duì)應(yīng)的設(shè)備根據(jù)探測(cè)報(bào)文返回的應(yīng)答報(bào)文，向源ip地址側(cè)對(duì)應(yīng)的第一流量清洗設(shè)備發(fā)送用于對(duì)源ip地址的網(wǎng)絡(luò)流量進(jìn)行流量清洗的第一通知消息。

步驟306的描述可以參見上述圖2所示實(shí)施例的相關(guān)描述，在此不再詳述。

步驟307，如果地理位置信息與生存時(shí)間不一致，確定網(wǎng)絡(luò)流量的源ip地址為偽造的ip地址。

本實(shí)施例中，通過從海量的攻擊數(shù)據(jù)中提取出“正常”的報(bào)文，例如常見的icmp、正常的tcp報(bào)文和udp報(bào)文，并試探性地向源ip地址回復(fù)探測(cè)報(bào)文，從而可以探測(cè)攻擊者的意圖，進(jìn)而根據(jù)報(bào)文交互情況進(jìn)行防御；此外，還可以通過分析特殊的探測(cè)報(bào)文(例如，icmp、tcp三次握手等)追溯到攻擊發(fā)動(dòng)者，解決ddos攻擊的問題。

圖4示出了根據(jù)本發(fā)明的再一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的方法的流程示意圖；如圖4所示，包括如下步驟：

步驟401，根據(jù)來自isp側(cè)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量的目的ip地址對(duì)網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，得到統(tǒng)計(jì)結(jié)果。

在一實(shí)施例中，流量統(tǒng)計(jì)的內(nèi)容可以包括：到達(dá)目的ip地址的數(shù)據(jù)報(bào)文的數(shù)量、設(shè)定時(shí)間段內(nèi)的數(shù)據(jù)報(bào)文的大小、網(wǎng)絡(luò)流量所包含的數(shù)據(jù)報(bào)文的組成成分，例如，tcp報(bào)文的占比、udp報(bào)文的占比、icmp報(bào)文的占比等等。

步驟402，將統(tǒng)計(jì)結(jié)果發(fā)送給清洗設(shè)備配置服務(wù)器，以供清洗設(shè)備配置服務(wù)器將所述統(tǒng)計(jì)結(jié)果轉(zhuǎn)發(fā)給idc側(cè)的第二流量清洗設(shè)備，第二流量清洗設(shè)備根據(jù)統(tǒng)計(jì)結(jié)果確定與網(wǎng)絡(luò)流量相對(duì)應(yīng)的清洗策略。

第二流量清洗設(shè)備可以為圖1所示的流量清洗設(shè)備14，在一實(shí)施例中，流量清洗設(shè)備14可以根據(jù)統(tǒng)計(jì)結(jié)果確定與網(wǎng)絡(luò)流量相對(duì)應(yīng)的清洗策略，流量清洗設(shè)備14可以根據(jù)流量的大小確定是否需要啟動(dòng)流量清洗、停止流量清洗、啟動(dòng)蜜罐牽引、停止蜜罐牽引等等策略，例如，如果根據(jù)統(tǒng)計(jì)結(jié)果確定流量小于黑洞閾值，向網(wǎng)絡(luò)設(shè)備11發(fā)布停止蜜罐牽引的請(qǐng)求，網(wǎng)絡(luò)設(shè)備11在接收到停止蜜罐牽引的請(qǐng)求后，向網(wǎng)絡(luò)設(shè)備16發(fā)布停止蜜罐牽引的請(qǐng)求，網(wǎng)絡(luò)設(shè)備16接收到停止蜜罐牽引的請(qǐng)求后，停止向網(wǎng)絡(luò)設(shè)備13轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量，并將該網(wǎng)絡(luò)流量發(fā)送至網(wǎng)絡(luò)設(shè)備11，網(wǎng)絡(luò)設(shè)備11按照指定目的地將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)至例如服務(wù)器121。

步驟403，根據(jù)統(tǒng)計(jì)結(jié)果確定當(dāng)前被攻擊目的ip地址的流量。

步驟404，當(dāng)當(dāng)前被攻擊目的ip地址的流量小于預(yù)設(shè)閾值時(shí)，向isp側(cè)的網(wǎng)絡(luò)設(shè)備發(fā)送用于停止流量牽引的第二通知消息。

例如，當(dāng)前被攻擊的目的ip地址為服務(wù)器121的ip地址，服務(wù)器120統(tǒng)計(jì)到的流向服務(wù)器121的網(wǎng)絡(luò)流量低于蜜罐牽引對(duì)應(yīng)的黑洞閾值100mbit/s(本實(shí)施例中的預(yù)設(shè)閾值)時(shí)，服務(wù)器120會(huì)通過網(wǎng)絡(luò)設(shè)備13發(fā)送用于停止流量牽引的第二通知消息，網(wǎng)絡(luò)設(shè)備13將該用于停止流量牽引的第二通知轉(zhuǎn)發(fā)給網(wǎng)絡(luò)設(shè)備16，從而使網(wǎng)絡(luò)設(shè)備根據(jù)該第二通知消息取消蜜罐牽引，繼續(xù)將向服務(wù)器121的網(wǎng)絡(luò)流量通過網(wǎng)絡(luò)設(shè)備11轉(zhuǎn)發(fā)給服務(wù)器121，從而縮短服務(wù)器121不可用的時(shí)間。

本實(shí)施例中，當(dāng)當(dāng)前被攻擊目的ip地址的流量小于預(yù)設(shè)閾值時(shí)，可以實(shí)時(shí)監(jiān)測(cè)目的ip地址的攻擊動(dòng)態(tài)，當(dāng)攻擊結(jié)束即可通知isp側(cè)的網(wǎng)絡(luò)設(shè)備將流量牽引還原，從而盡可能地減少了目的ip地址的不可用時(shí)間。

通過上述實(shí)施例，當(dāng)isp側(cè)的網(wǎng)絡(luò)設(shè)備需要將網(wǎng)絡(luò)流量進(jìn)行黑洞時(shí)，通過將需要黑洞的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)至服務(wù)器120，服務(wù)器120對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，從而解決黑洞狀態(tài)下的流量無法分析問題，在確保isp側(cè)的網(wǎng)絡(luò)設(shè)備與idc側(cè)的網(wǎng)絡(luò)設(shè)備之間的帶寬不被擁塞的同時(shí)，還可以獲取到網(wǎng)絡(luò)流量的攻擊來源以及當(dāng)前的攻擊狀態(tài)，從而可以通過“近源清洗”等手段將攻擊流量扼殺在源頭，大幅降低被攻擊設(shè)備的流量。

對(duì)應(yīng)于上述的監(jiān)控網(wǎng)絡(luò)流量的方法，本申請(qǐng)還提出了圖5所示的根據(jù)本申請(qǐng)的一示例性實(shí)施例的服務(wù)器的示意結(jié)構(gòu)圖。請(qǐng)參考圖5，在硬件層面，該服務(wù)器的包括處理器、內(nèi)部總線、網(wǎng)絡(luò)接口、內(nèi)存以及非易失性存儲(chǔ)器，當(dāng)然還可能包括其他業(yè)務(wù)所需要的硬件。

其中，網(wǎng)絡(luò)接口，用于接收來自isp側(cè)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量；

處理器，用于確定網(wǎng)絡(luò)接口接收到的網(wǎng)絡(luò)流量的源ip地址是否為偽造的ip地址；

網(wǎng)絡(luò)接口，還用于如果處理器確定源ip地址為非偽造的ip地址，向源ip地址發(fā)送探測(cè)報(bào)文；如果接收到源ip地址對(duì)應(yīng)的設(shè)備根據(jù)探測(cè)報(bào)文返回 的應(yīng)答報(bào)文，向源ip地址側(cè)對(duì)應(yīng)的第一流量清洗設(shè)備發(fā)送用于對(duì)源ip地址的網(wǎng)絡(luò)流量進(jìn)行流量清洗的第一通知消息。

圖6為根據(jù)本發(fā)明的一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的裝置的結(jié)構(gòu)示意圖；如圖6所示，該監(jiān)控網(wǎng)絡(luò)流量的裝置可以包括：第一確定模塊61、第一發(fā)送模塊62、第二發(fā)送模塊63。其中：

流量接收模塊60，用于接收來自isp側(cè)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量；

第一確定模塊61，用于確定流量接收模塊60接收到的網(wǎng)絡(luò)流量的源ip地址是否為偽造的ip地址；

第一發(fā)送模塊62，用于如果第一確定模塊61確定源ip地址為非偽造的ip地址，向源ip地址發(fā)送探測(cè)報(bào)文；

第二發(fā)送模塊63，用于如果接收到源ip地址對(duì)應(yīng)的設(shè)備根據(jù)第一發(fā)送模塊62發(fā)送的探測(cè)報(bào)文返回的應(yīng)答報(bào)文，向源ip地址側(cè)對(duì)應(yīng)的第一流量清洗設(shè)備發(fā)送用于對(duì)源ip地址的網(wǎng)絡(luò)流量進(jìn)行流量清洗的第一通知消息。

圖7示出了根據(jù)本發(fā)明的又一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的裝置的結(jié)構(gòu)示意圖，如圖7所示，在上述圖6所示實(shí)施例的基礎(chǔ)上，第一確定模塊61可包括：

獲取單元611，用于從來自isp側(cè)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量的數(shù)據(jù)報(bào)文中獲取源ip地址所在的地理位置信息以及數(shù)據(jù)報(bào)文的生存時(shí)間；

第一確定單元612，用于如果獲取單元611獲取到的地理位置信息與生存時(shí)間相一致，確定網(wǎng)絡(luò)流量的源ip地址為非偽造的ip地址；

第二確定單元613，用于如果獲取單元611獲取到的地理位置信息與生存時(shí)間不一致，確定網(wǎng)絡(luò)流量的源ip地址為偽造的ip地址。

在一實(shí)施例中，裝置還可包括：

第二確定模塊64，用于確定流量接收模塊60接收到的網(wǎng)絡(luò)流量所包含的數(shù)據(jù)報(bào)文的類型；

第三確定模塊65，用于根據(jù)第二確定模塊64確定的數(shù)據(jù)報(bào)文的類型確定需要向源ip地址發(fā)送的探測(cè)報(bào)文。

圖8示出了根據(jù)本發(fā)明的再一示例性實(shí)施例的監(jiān)控網(wǎng)絡(luò)流量的裝置的結(jié)構(gòu)示意圖，如圖8所示，在上述圖6或者圖7所示實(shí)施例的基礎(chǔ)上，裝置還可包括：

統(tǒng)計(jì)模塊66，用于根據(jù)流量接收模塊60接收到的網(wǎng)絡(luò)流量的目的ip地址對(duì)網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，得到統(tǒng)計(jì)結(jié)果；

第三發(fā)送模塊67，用于將統(tǒng)計(jì)模塊66得到的統(tǒng)計(jì)結(jié)果發(fā)送給清洗設(shè)備配置服務(wù)器，以供清洗設(shè)備配置服務(wù)器將統(tǒng)計(jì)結(jié)果轉(zhuǎn)發(fā)給idc側(cè)的第二流量清洗設(shè)備后，第二流量清洗設(shè)備根據(jù)統(tǒng)計(jì)結(jié)果確定與網(wǎng)絡(luò)流量相對(duì)應(yīng)的清洗策略。

在一實(shí)施例中，裝置還可包括：

第四確定模塊68，用于根據(jù)統(tǒng)計(jì)模塊66得到的統(tǒng)計(jì)結(jié)果確定當(dāng)前被攻擊目的ip地址的流量；

第四發(fā)送模塊69，用于當(dāng)?shù)谒拇_定模塊68確定的當(dāng)前被攻擊目的ip地址的流量小于預(yù)設(shè)閾值時(shí)，向isp側(cè)的網(wǎng)絡(luò)設(shè)備發(fā)送用于停止流量牽引的第二通知消息。

在一實(shí)施例中，來自isp側(cè)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量為isp側(cè)的網(wǎng)絡(luò)設(shè)備需要執(zhí)行黑洞的網(wǎng)絡(luò)流量。

上述實(shí)施例可見，當(dāng)isp側(cè)的網(wǎng)絡(luò)設(shè)備需要將網(wǎng)絡(luò)流量進(jìn)行黑洞時(shí)，通過將需要黑洞的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)至服務(wù)器120，服務(wù)器120對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，從而解決黑洞狀態(tài)下的流量無法分析問題，在確保isp側(cè)的網(wǎng)絡(luò)設(shè)備與idc側(cè)的網(wǎng)絡(luò)設(shè)備之間的帶寬不被擁塞得同時(shí)，還可以獲取到網(wǎng)絡(luò)流量的攻擊來源以及當(dāng)前的攻擊狀態(tài)，從而可以通過“近源清洗”等手段將攻擊流量扼殺在源頭，大幅降低被攻擊設(shè)備的流量。

本領(lǐng)域技術(shù)人員在考慮說明書及實(shí)踐這里公開的發(fā)明后，將容易想到本申請(qǐng)的其它實(shí)施方案。本申請(qǐng)旨在涵蓋本申請(qǐng)的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本申請(qǐng)的一般性原理并包括本申請(qǐng)未公開的本技術(shù)領(lǐng)域中的公知常識(shí)或慣用技術(shù)手段。說明書和實(shí)施例僅被 視為示例性的，本申請(qǐng)的真正范圍和精神由下面的權(quán)利要求指出。

還需要說明的是，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設(shè)備中還存在另外的相同要素。

以上所述僅為本申請(qǐng)的較佳實(shí)施例而已，并不用以限制本申請(qǐng)，凡在本申請(qǐng)的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)。