本發(fā)明涉及計算機網絡安全
技術領域:
����,尤其涉及一種網絡防護方法、裝置和系統(tǒng)�。
背景技術:
:DDoS(DistributedDenialofservice,分布式拒絕服務):借助于客戶端/服務器技術��,將多個計算機聯(lián)合起來作為攻擊平臺����,對一個或多個目標發(fā)起DoS攻擊,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務��,把合法用戶的網絡包淹沒��,導致合法用戶無法正常訪問服務器的網絡資源����。隨著計算機網絡技術的發(fā)展,網絡帶寬���、網絡速度都有大幅度提升�����。伴隨著網絡技術的發(fā)展�����,大流量DDoS攻擊事件也越來越多��,而流量清洗設備是DDoS安全防護方案中必不可少的技術�����,但承受的性能壓力也越來越大���。流量清洗服務通過流量清洗設備實行對流量的監(jiān)控和清洗���,一般單臺清洗設備或清洗設備集群都有自己的容量限制,一臺80G的清洗設備處理不了200G流量的DDoS攻擊����,因此如何有效防護大流量DDoS攻擊也是清洗廠商和服務商技術研究的重點。現(xiàn)有技術中�,防護大流量DDoS攻擊的方法可分為兩種:一種是增加流量清洗設備的容量和數(shù)量,另一種是通過Netflow采集設置檢測攻擊����,再通過BGP(BorderGatewayProtocol,邊界網關協(xié)議)配置黑洞路由�����。這兩種方法都存在各自的問題��,如DDoS攻擊成本越來越低��,攻擊流量的上限不可預估�,采用增加流量清洗設備的容量和數(shù)量的方法,提前部署過多的清洗設備會給客戶增加運營成本,與綠色環(huán)保的理念相悖�����。例如����,用300G清洗容量的設備防護10G的數(shù)據業(yè)務����,性價比太低。同時�,DDoS攻擊流量極有可能仍然會超過流量清洗設備的容量,使得清洗效果顯著降低�,最終影響客戶業(yè)務;此外��,Netflow采用檢測和BGP黑洞路由的方式實時性太差�,且BGP協(xié)議報文與數(shù)據通道采用同一物理鏈路,可靠性不高�。由此可見,如何既能準確高效地防護DDoS大流量攻擊��、提高防護大流量攻擊的可靠性�����,又能減小DDoS攻擊對其它業(yè)務的影響成為現(xiàn)有技術中亟待解決的技術問題之一。技術實現(xiàn)要素:本發(fā)明實施例提供一種網絡防護方法����、裝置和系統(tǒng),用以解決現(xiàn)有技術中存在的大流量DDoS攻擊流量防護實時性低�、防護可靠性不高的問題。本發(fā)明實施例提供一種網絡防護系統(tǒng)����,包括流量清洗設備和流量管理設備,其中:所述流量清洗設備�����,用于針對每一目的互聯(lián)網協(xié)議IP統(tǒng)計該目的IP對應的訪問流量���;并將統(tǒng)計的每一目的IP的訪問流量發(fā)送給所述流量管理設備;所述流量管理設備�,用于針對每一流量清洗設備��,統(tǒng)計該流量清洗設備的訪問流量總和���,和/或統(tǒng)計所有流量清洗設備的訪問流量總和����,和/或相同目的IP訪問流量總和;如果任一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值��,則按照訪問流量總和由大到小的順序對所有目的IP進行排序�����;將前N位目的IP的下一跳路由配置為空路由�,其中N為大于等于1的自然數(shù)��。所述流量清洗設備�����,具體用于同時啟動防護進程和上傳進程���,其中:所述防護進程,用于針對每一目的IP統(tǒng)計該目的IP對應的訪問流量并寫入共享內存單元���;所述上傳進程���,用于從所述共享內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備��。所述共享內存單元包括第一內存單元和第二內存單元�,其中:如果所述防護進程向第一內存單元寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量����,則所述上傳進程具體用于從第二內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備;如果所述防護進程向第二內存單元寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量�����,則所述上傳進程具體用于從第一內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備����。所述流量管理設備�����,具體用于針對所述前N位目的IP中的每一目的IP�����,自動遠程登錄上游路由器��,將該目的IP的下一跳路由配置為空路由����。所述流量管理設備�,還用于如果根據后續(xù)接收到的至少一臺流量清洗設備發(fā)送的��、其針對每一目的IP統(tǒng)計的訪問流量確定每一流量清洗設備的訪問流量總和以及所有流量清洗設備的訪問流量總和不超過所述預設閾值�,則啟動計時器;以及如果在所述計時器的計時時長內��,每一流量清洗設備的訪問流量總和以及所有流量清洗設備的訪問流量總和不超過所述預設閾值�;則針對所述前N位目的IP中的每一目的IP,恢復該目的IP的下一跳路由配置為原始配置����。本發(fā)明實施例提供一種網絡防護方法,包括:接收至少一臺流量清洗設備發(fā)送的其針對每一目的IP統(tǒng)計的訪問流量��;針對每一流量清洗設備�����,統(tǒng)計該流量清洗設備的訪問流量總和���,和/或統(tǒng)計所有流量清洗設備的訪問流量總和����,和/或相同目的IP訪問流量總和;如果任一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值�,則按照訪問流量總和由大到小的順序對所有目的IP進行排序;將前N位目的IP的下一跳路由配置為空路由��,其中N為大于等于1的自然數(shù)����。將前N位目的IP的下一跳路由配置為空路由,具體包括:針對所述前N位目的IP中的每一目的IP�,自動遠程登錄到上游路由器,將該目的IP的下一跳路由配置為空路由����。所述方法,還包括:如果根據后續(xù)接收到的至少一臺流量清洗設備發(fā)送的���、其針對每一目的IP統(tǒng)計的訪問流量確定每一流量清洗設備的訪問流量總和以及所有流量清洗設備的訪問流量總和不超過所述預設閾值,則啟動計時器�;如果在所述計時器的計時時長內,每一流量清洗設備的訪問流量總和以及所有流量清洗設備的訪問流量總和不超過所述預設閾值����;則針對所述前N位目的IP中的每一目的IP,恢復該目的IP的下一跳路由為原始配置��。本發(fā)明實施例提供另一種網絡防護方法,包括�;流量清洗設備針對每一目的IP統(tǒng)計該目的IP對應的訪問流量;并將統(tǒng)計的每一目的IP的訪問流量發(fā)送給流量管理設備����。所述流量清洗設備同時啟動防護進程和上傳進程,其中:流量清洗設備針對每一目的IP統(tǒng)計該目的IP對應的訪問流量�����,具體包括:所述防護進程針對每一目的IP統(tǒng)計該目的IP對應的訪問流量并寫入共享內存單元���;以及將統(tǒng)計的每一目的IP的訪問流量發(fā)送給流量管理設備����,具體包括:所述上傳進程從所述共享內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備�����。所述共享內存單元包括第一內存單元和第二內存單元�����,其中:如果所述防護進程向第一內存單元寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量,則所述上傳進程從第二內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備�;如果所述防護進程向第二內存單元寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量,則所述上傳進程從第一內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備�。本發(fā)明實施例提供一種網絡防護裝置,包括:接收單元���,用于接收至少一臺流量清洗設備發(fā)送的其針對每一目的IP統(tǒng)計的訪問流量��;統(tǒng)計單元���,用于針對每一流量清洗設備,統(tǒng)計該流量清洗設備的訪問流量總和����,和/或統(tǒng)計所有流量清洗設備的訪問流量總和,和/或相同目的IP訪問流量總和�;排序單元,用于如果任一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值���,則按照訪問流量總和由大到小的順序對所有目的IP進行排序;配置單元��,用于將前N位目的IP的下一跳路由配置為空路由����,其中N為大于等于1的自然數(shù)�。所述配置單元�����,具體用于針對所述前N位目的IP中的每一目的IP���,自動遠程登錄2上游路由器�,將該目的IP的下一跳路由配置為空路由�����。所述裝置��,還包括計時單元�,其中:所述計時單元,用于如果根據后續(xù)接收到的至少一臺流量清洗設備發(fā)送的���、其針對每一目的IP統(tǒng)計的訪問流量確定每一流量清洗設備的訪問流量總和以及所有流量清洗設備的訪問流量總和不超過所述預設閾值��,則啟動計時器���;所述配置單元,還用于如果在所述計時器的計時時長內,每一流量清洗設備的訪問流量總和以及所有流量清洗設備的訪問流量總和不超過所述預設閾值���,則針對所述前N位目的IP中的每一目的IP�,恢復該目的IP的下一跳路由為原始配置�。本發(fā)明實施例提供另一種網絡防護裝置,包括:防護單元�,用于針對每一目的IP統(tǒng)計該目的IP對應的訪問流量;上傳單元���,用于將統(tǒng)計的每一目的IP的訪問流量發(fā)送給流量管理設備�����。所述防護單元�,具體用于針對每一目的IP統(tǒng)計該目的IP對應的訪問流量并寫入共享內存單元�;所述上傳單元,具體用于從所述共享內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備���。所述共享內存單元包括第一內存單元和第二內存單元����,其中:如果所述防護單元向第一內存單元寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量��,則所述上傳單元從第二內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備����;如果所述防護單元向第二內存單元寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量,則所述上傳單元從第一內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備����。本發(fā)明的有益效果:本發(fā)明實施例提供的網絡防護方法、裝置和系統(tǒng)����,流量清洗設備針對每一目的IP統(tǒng)計該目的IP對應的訪問流量,并將統(tǒng)計的每一目的IP的訪問流量發(fā)送給所述流量管理設備�����,流量管理設備在接收到每一目的IP的訪問流量后��,針對每一流量清洗設備���,流量管理設備統(tǒng)計該流量清洗設備的訪問流量總和��,和/或相同目的IP訪問流量總和����,如果確定出該流量清洗設備的訪問流量總和超過預設閾值,則按照訪問流量總和由大到小的順序對所有目的IP進行排序�����,流量管理設備將前N位目的IP的下一跳路由配置為空路由�,或者針對若干個流量清洗設備,流量管理設備統(tǒng)計接收到的所有流量清洗設備的訪問流量總和�����,和/或相同目的IP訪問流量總和�,如果所有流量清洗設備的訪問流量總和超過預設閾值,則按照訪問流量總和由大到小的順序對所有目的IP進行排序��;將前N位目的IP的下一跳路由配置為空路由�,使得其他目的IP的服務器能夠響應其他業(yè)務的正常流量訪問,有效地檢測和防護了DDoS大流量攻擊����,且減小了DDoS攻擊對其它業(yè)務的影響,提高了防護DDoS大流量攻擊的實時性和可靠性���。本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述����,并且,部分地從說明書中變得顯而易見��,或者通過實施本發(fā)明而了解���。本發(fā)明的目的和其他優(yōu)點可通過在所寫的說明書、權利要求書����、以及附圖中所特別指出的結構來實現(xiàn)和獲得。附圖說明此處所說明的附圖用來提供對本發(fā)明的進一步理解��,構成本發(fā)明的一部分�,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構成對本發(fā)明的不當限定���。在附圖中:圖1a為本發(fā)明實施例提供的網絡防護方法的應用場景示意圖����;圖1b為本發(fā)明實施例提供的網絡防護系統(tǒng)的結構示意圖��;圖1c為本發(fā)明實施例提供的網絡防護系統(tǒng)中單核流量清洗設備的防護進程和上傳進程的實施流程示意圖��;圖1d為本發(fā)明實施例提供的網絡防護系統(tǒng)中下一個預設周期單核流量清洗設備的防護進程和上傳進程的實施流程示意圖����;圖1e為本發(fā)明實施例提供的網絡防護系統(tǒng)中雙核流量清洗設備的防護進程和上傳進程的實施流程示意圖����;圖1f為本發(fā)明實施例提供的網絡防護系統(tǒng)中下一個預設周期雙核流量清洗設備的防護進程和上傳進程的實施流程示意圖����;圖1g為本發(fā)明實施例提供的網絡防護系統(tǒng)中流量管理設備針對DDoS攻擊場景的執(zhí)行過程的實施流程示意圖;圖2為本發(fā)明實施例提供的流量管理設備實施的網絡防護方法的實施流程示意圖����;圖3為本發(fā)明實施例提供的流量清洗設備實施的網絡防護方法的實施流程示意圖;圖4為本發(fā)明實施例提供的流量管理設備實施的網絡防護裝置的結構示意圖�����;圖5為本發(fā)明實施例提供的流量清洗設備實施的網絡防護裝置的結構示意圖�����。具體實施方式本發(fā)明實施例提供了一種網絡防護方法���、裝置和系統(tǒng)��,用以解決現(xiàn)有技術中存在的DDoS攻擊流量防護效果低���、防護可靠性不高的問題�����。以下結合說明書附圖對本發(fā)明的優(yōu)選實施例進行說明�,應當理解��,此處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明�,并不用于限定本發(fā)明��,并且在不沖突的情況下��,本發(fā)明中的實施例及實施例中的特征可以相互組合��。如圖1a所示����,為本發(fā)明實施例提供的網絡防護方法的應用場景示意圖,網絡防護的實現(xiàn)過程為:在對本發(fā)明實施例提供的網絡的防護過程進行介紹之前���,首先對DDoS大流量攻擊過程進行分析�����,在沒有對網絡進行防護時�,DDoS的流量攻擊過程大致如下:黑客10在利用DDoS對數(shù)據中心進行攻擊時,可以通過終端11向數(shù)據中心16中的服務器160發(fā)送網絡訪問請求���,終端11通過互聯(lián)網與上游路由器12建立通信連接�,在配置流量防護設備時���,黑客10請求的訪問流量直接通過上游路由器12和路由器13將網絡訪問請求發(fā)送給數(shù)據中心16中的目的IP(InternetProtocol���,互聯(lián)網協(xié)議)對應的服務器160,由于DDoS攻擊的流量非常大�����,會導致黑客10發(fā)送的網絡訪問請求占滿網絡所能承受的容量帶寬���,進而導致其它服務器不能為用戶20的網絡訪問請求提供的相應的服務響應����。因此���,針對數(shù)據中心16中每一目的IP對應的服務器160��,需要將黑客10通過終端11請求的網絡訪問請求進行過濾��,防止黑客10產生的DDoS流量攻擊對數(shù)據中心16中的其它服務器造成嚴重影響�����,避免影響其他用戶20的正常訪問����。參考圖1a,本發(fā)明實施例提供的網絡防護過程為:用戶20在利用終端21或黑客10在利用終端11對數(shù)據中心16進行訪問時���,先將用戶20或黑客10的網絡訪問請求引導至流量清洗設備14,流量清洗設備14對經路由器13傳輸?shù)木W絡訪問請求進行過濾�����,并將過濾后的網絡訪問請求回注到路由器13�,經過路由器13發(fā)往數(shù)據中心16,具體的��,流量清洗設備14可以針對每一目的IP統(tǒng)計該目的IP對應的訪問流量���,并將統(tǒng)計的每一目的IP的訪問流量發(fā)送給所述流量管理設備15���,流量管理設備15用于針對每一流量清洗設備14�����,統(tǒng)計該流量清洗設備14的訪問流量總和��,和/或統(tǒng)計所有流量清洗設備14的訪問流量總和����,和/或相同目的IP訪問流量總和���;流量管理設備15如果確定出任一流量清洗設備14的訪問流量總和或者所有流量清洗設備14的訪問流量總和超過預設閾值�����,則按照訪問流量總和由大到小的順序對所有目的IP進行排序���;將前N位目的IP的下一跳路由配置為空路由,其中N為大于等于1的自然數(shù)����,至此,流量管理設備16能快速防護DDoS大流量攻擊,避免由于上游帶寬被攻擊流量堵死而影響其他業(yè)務的正常訪問�����。需要說明的是���,無論是用戶20還是黑客10在對數(shù)據中心16進行訪問時��,都是通過終端(其中用戶20通過終端21�,黑客10通過終端11)執(zhí)行相應操作��,終端與數(shù)據中心16之間通過Internet網絡��、上游路由器12��、路由器13等網絡設備進行通信連接�����,該Internet網絡可以為局域網�����、廣域網等���。終端11可以為便攜設備(例如:手機����、平板���、筆記本電腦等)���,也可以為個人電腦(PC,PersonalComputer)��,數(shù)據中心16由多個服務器160組成��,其中數(shù)據中心16中的服務器160可以為任何能夠提供互聯(lián)網服務的設備�。下面結合圖1a的應用場景,參考圖1b-圖5來描述根據本發(fā)明示例性實施方式的網絡防護方法�����。需要注意的是����,上述應用場景僅是為了便于理解本發(fā)明的精神和原理而示出,本發(fā)明的實施方式在此方面不受任何限制��。相反,本發(fā)明的實施方式可以應用于適用的任何場景�����。實施例一�、如圖1b所示,為本發(fā)明實施例提供的網絡防護系統(tǒng)的結構示意圖���,包括流量清洗設備14和流量管理設備15�,其中:流量清洗設備14�,用于針對每一目的IP統(tǒng)計該目的IP對應的訪問流量;并將統(tǒng)計的每一目的IP的訪問流量發(fā)送給所述流量管理設備15���。其中��,參照圖1a所示�,數(shù)據中心16是由若干個服務器160組成����,因此用戶20或黑客10在對數(shù)據中心16進行訪問時���,可以對數(shù)據中心16中的任意一個服務器160發(fā)送網絡訪問請求��,因此��,為了實現(xiàn)對各個服務器的防護操作�����,用其目的IP來區(qū)分各個服務器����,便于流量清洗設備14統(tǒng)計每一目的IP對應的服務器的訪問流量,并將統(tǒng)計的每一目的IP的訪問流量發(fā)送給流量管理設備15����,其中,流量清洗設備14針對每一目的IP的訪問流量的統(tǒng)計過程和流量管理設備15針對每一目的IP的訪問流量的處理過程將在后續(xù)展開描述����。需要說明的是,本發(fā)明實施例提供的流量清洗設備14可以為一臺�,也可以為多臺,針對不同的應用環(huán)境���,用戶可以根據需要自行進行設置�����。流量管理設備15��,用于針對每一流量清洗設備�����,統(tǒng)計該流量清洗設備的訪問流量總和�,和/或統(tǒng)計所有流量清洗設備的訪問流量總和,和/或相同目的IP訪問流量總和����;如果任一流量清洗設備發(fā)送的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值,則按照訪問流量總和由大到小的順序對所有目的IP進行排序����;將前N位目的IP的下一跳路由配置為空路由,其中N為大于等于1的自然數(shù)���。其中�����,任一流量清洗設備的訪問流量總和為該流量清洗設備上報的所有目的IP對應的訪問流量之和��;所有流量清洗設備的訪問流量總和為所有流量清洗設備的訪問流量之和���,即所有流量清洗設備上報的全部目的IP對應的訪問流量之和。具體實施時�,所述流量清洗設備14,具體用于同時啟動防護進程和上傳進程�����,其中:所述防護進程141���,用于針對每一目的IP統(tǒng)計該目的IP對應的訪問流量并寫入共享內存單元�;具體實施時�����,參考圖1a��,假設圖1a中數(shù)據中心中有五個服務器�����,其IP地址分別為192.168.0.1�、192.168.0.2、192.168.0.3���、192.168.0.4�����、192.168.0.5�,以下為了便于描述,分別稱之為服務器1~服務器5�;流量清洗設備14工作的有ADS1(抗DDoS產品)、ADS2和ADS3�����,其中��,ADS1中統(tǒng)計的有服務器1和服務器2的訪問流量��;ADS2統(tǒng)計的有服務器1�����、服務器3��、服務器5的訪問流量��;ADS3統(tǒng)計的有服務器2和服務器4的訪問流量;并將統(tǒng)計的服務器訪問流量存儲到共享內存單元中�����。所述上傳進程142�,用于從所述共享內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備15����。具體實施時,流量清洗設備14中的上傳進程142將存儲在共享內存單元中����、防護進程141統(tǒng)計的每一目的IP對應的服務器的訪問流量發(fā)送給流量管理設備。即將ADS1����、ADS2和ADS3統(tǒng)計的五個服務器對應的訪問流量發(fā)送給流量清洗設備15。較佳地��,所述共享內存單元包括第一內存單元143和第二內存單元144���,其中:如果所述防護進程141向第一內存單元143寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量����,則所述上傳進程142具體用于從第二內存單元144讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備15。如果所述防護進程141向第二內存單元144寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量�,則所述上傳進程142具體用于從第一內存單元143讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備15?��;诖?,流量清洗設備14中的防護進程141和上傳進程142共享兩個內存單元�,從而能夠保證防護進程141的寫入與上傳進程142的讀出互不影響。具體實施時���,本發(fā)明實施例以流量清洗設備14具有一個單核CPU(CentralProcessor�����,中央處理器)為例進行說明�����,該單核CPU的共享內存單元包括第一內存單元143和第二內存單元144��,流量清洗設備14的防護進程141和上傳進程142的工作過程如圖1c和1d所示:具體實施時���,如圖1c所示,流量清洗設備14中的防護進程141可以按照預設周期定時對每一目的IP的訪問流量進行統(tǒng)計���,并寫入第一內存單元143���,同時上傳進程142可以按照預設周期定時從第二內存單元144中讀取統(tǒng)計的每一目的IP的訪問流量����;當下一預設周期開始時����,防護進程141將統(tǒng)計的每一目的IP的訪問流量存儲到第二內存單元144��,同時上傳進程142開始從第一內存單元143中讀取上一預設周期防護進程141寫入第一內存單元143中的統(tǒng)計的每一目的IP的訪問流量���,在后續(xù)預設周期內��,防護進程141和上傳進程142依次循環(huán)交替對第一內存單元143或第二內存單元144執(zhí)行相應操作���。需要說明的是,防護進程141將統(tǒng)計的訪問流量寫入第一內存單元143或第二內存單元144的操作�,以及上傳進程142讀取第一內存單元143或第二內存單元144中統(tǒng)計的訪問流量的操作,需要一個內存切換標識shm_flag來實現(xiàn)��,例如��,在當前預設周期開始時,當shm_flag為1時�,防護進程141執(zhí)行將統(tǒng)計的訪問流量寫入第一內存單元143的操作,同時上傳進程142執(zhí)行讀取第二內存單元144中統(tǒng)計的訪問流量的操作���;在下一個預設周期開始時�,當shm_flag為0時�,防護進程141執(zhí)行將統(tǒng)計的訪問流量寫入第二內存單元144的操作,同時上傳進程142執(zhí)行讀取第一內存單元143中統(tǒng)計的訪問流量的操作�����,至于內存切換標識shm_flag為0或為1時�����,防護進程141具體寫入哪一個內存單元�����,和上傳進程具體從哪一個內存單元讀取數(shù)據�,本發(fā)明對此不進行限定。較佳地���,由于單核流量清洗設備14對環(huán)境及自身性能非常敏感���,如果在防護過程中執(zhí)行太多統(tǒng)計操作����,會嚴重影響流量清洗設備14的流量清洗能力����,因此,為了減少統(tǒng)計帶來的性能損耗��,同時又能保證流量清洗設備14能夠統(tǒng)計到盡可能完整的目的IP的訪問流量�,本發(fā)明實施例提供的流量清洗設備14還可以采用雙核CPU,每一個內核CPU為其配置兩個內存單元�,實現(xiàn)雙核共享內存切換,其內存切換過程如圖1e和1f所示:流量清洗設備14采用雙核CPU時�,其防護進程141和上傳進程142的操作過程與單核CPU的操作過程類似���,即在當前檢測周期開始時�,根據內存切換標識shm_flag的值���,雙核CPU中的防護進程141和上傳進程142分別執(zhí)行相應操作�����,例如�,當shm_flag為1時,核0的防護進程141執(zhí)行向核0內存中的第一內存單元143中寫入統(tǒng)計的每一目的IP的訪問流量的操作���,核0的上傳進程142執(zhí)行從核0內存中的第二內存單元144中讀取統(tǒng)計的每一目的IP的訪問流量��,以及核1的防護進程141執(zhí)行向核1內存中的第一內存單元143中寫入統(tǒng)計的每一目的IP的訪問流量的操作����,核1的上傳進程142執(zhí)行從核1內存中的第二內存單元144中讀取統(tǒng)計的每一目的IP的訪問流量�����,其防護進程和上傳進程的具體操作如圖1e所示�����;當下一預設周期開始時�����,雙核CPU的流量清洗設備14中的防護進程141和上傳進程142的執(zhí)行過程如圖1f所示�,即:當shm_flag為0時,核0的防護進程141執(zhí)行向核0內存中的第二內存單元144中寫入統(tǒng)計的每一目的IP的訪問流量的操作��,核0的上傳進程142執(zhí)行從核0內存中的第一內存單元143中讀取統(tǒng)計的每一目的IP的訪問流量,以及核1的防護進程141執(zhí)行向核1內存中的第二內存單元144中寫入統(tǒng)計的每一目的IP的訪問流量的操作���,核1的上傳進程142執(zhí)行從核1內存中的第一內存單元143中讀取統(tǒng)計的每一目的IP的訪問流量�;至于內存切換標識shm_flag為0或為1時��,防護進程141具體寫入哪一個內存單元���,和上傳進程具體從哪一個內存單元讀取數(shù)據�����,本發(fā)明對此不進行限定���。具體實施時,具有雙核CPU的流量清洗設備14中上傳進程142在對共享內存單元中的統(tǒng)計的每一目的IP的訪問流量進行上傳時�,其上傳的數(shù)據格式如表1所示:表1時間戳內核數(shù)量每核IP數(shù)量核0數(shù)據塊核1數(shù)據塊8byte4byte4byte每核IP數(shù)量*32byte每核IP數(shù)量*32byte需要說明的是,流量清洗設備14采用雙核CPU時��,需要為每一個內核CPU配置一個hash表(哈希表)����,能夠保證核0或1的防護進程141和上傳進程142只能夠訪問該核的共享內存單元��,從而減少了防護進程141統(tǒng)計訪問流量代理的性能損耗,又能夠保證統(tǒng)計到盡可能完整的服務器訪問流量���,達到防護的目的�����。其中�,哈希表的大小為65536�,是根據服務器目的IP的后16位計算得到的。具體實施時�,所述流量管理設備15在接收到至少一臺流量清洗設備14發(fā)送的、針對每一目的IP統(tǒng)計的訪問流量后����,流量管理設備15可以采用兩種方法對接收到的每一目的IP統(tǒng)計的訪問流量進行處理,分別介紹之:方法一��、針對一臺流量清洗設備14����,例如流量清洗設備ADS1正在對每一目的IP的訪問流量進行統(tǒng)計,對應的服務器為服務器1~服務器5���,其中��,統(tǒng)計的服務器1~服務器5的訪問流量分別為L1~L5�����,流量管理設備15統(tǒng)計該流量清洗設備14的訪問流量總和�,和相同目的IP的訪問流量總和,即流量管理設備15統(tǒng)計服務器1~服務器5對應的訪問流量的總和��,記為:L1+L2+L3+L4+L5�����,將該服務器1~服務器5訪問流量的總和與預設閾值進行比較���,假設預設閾值為L�,如果確定出L1+L2+L3+L4+L5>L����,由于此處是以該流量清洗設備14發(fā)送的目的IP各不相同為例進行說明,因此�,直接對接收到的五個服務器的訪問流量按照由大到小的順序進行排序,如確定出L1<L2<L3<L4<L5�����,流量管理設備15確定將排序在前3位目的IP的下一跳路由配置為空路由�����,也就是說流量管理設備15判定前3位的流量訪問為大流量攻擊�,為了對該大流量攻擊進行有效防護,針對前3位目的IP中的每一目的IP�,流量管理設備15自動遠程登錄上游路由器,并將訪問流量分別為L5�����、L4��、L3的下一跳路由配置為空路由����,需要說明的是,如果注入到該流量清洗設備14的網絡訪問請求有相同的目的IP�,則流量管理設備15在確定出該流量清洗設備14的訪問流量總和超過預設閾值時,需要按照訪問流量總和由大到小的順序對所有目的IP進行排序�,然后再將前N位目的IP的下一跳路由配置為空路由,至此�����,流量管理設備15實現(xiàn)了對大流量攻擊的防護。方法二����、針對多臺流量清洗設備14,例如流量清洗設備ADS1�、ADS2和ADS3正在對每一目的IP的訪問流量進行統(tǒng)計,對應的服務器為服務器1~5��,其中�����,ADS1中統(tǒng)計的有服務器1和服務器2的訪問流量��,分別記為:L11和L21����;ADS2統(tǒng)計的有服務器1、服務器3���、服務器5的訪問流量�,分別記為:L12���、L31和L51��;ADS3統(tǒng)計的有服務器2和服務器4的訪問流量�����,分別記為:L22和L41��,由于服務器1~5是用IP來區(qū)分�,因此����,流量清洗設備14統(tǒng)計的每一目的IP的訪問流量即為對應的服務器的訪問流量,以下用服務器訪問流量代替對應目的IP的訪問流量�����,ADS1�、ADS2和ADS3分別將其統(tǒng)計的服務器訪問流量發(fā)送給流量管理設備15,流量管理設備15接收到ADS1��、ADS2和ADS3分別發(fā)送的服務器訪問流量后�,統(tǒng)計接收到的所有流量清洗設備14的訪問流量總和,和相同目的IP的訪問流量的總和�,即流量管理設備15統(tǒng)計服務器1~服務器5的訪問流量總和為L11+L12+L21+L22+L31+L41+L51���,且統(tǒng)計服務器1的訪問流量為L1=L11+L12;統(tǒng)計的服務器2的訪問流量為L2=L21+L22���,如果確定出所有流量清洗設備14的訪問流量總和超過預設閾值L���,則根據服務器1和服務器2統(tǒng)計的訪問流量總和以及服務器3~服務器5的訪問流量,對接收到的所有目的IP訪問流量按照由大到小的順序進行排序����,例如,如果確定出服務器1~服務器5的訪問流量總和L11+L12+L21+L22+L31+L41+L51>L���,則流量管理設備15對L1��、L2�����、L31����、L41�、L51進行由大到小排序�����,如得出L1>L2>L31>L41>L51�,則流量管理設備15將前N位目的IP的下一跳路由配置為空路由�����,其中N為大于等于1的自然數(shù)���,假設N=2,則流量管理設備15將訪問流量分別為L1和L2的目的IP的下一跳路由配置為空路由���,至此�,流量管理設備15實現(xiàn)了對大流量攻擊的防護���。此外�����,如果根據后續(xù)接收到的至少一臺流量清洗設備14發(fā)送的����、其針對每一目的IP統(tǒng)計的訪問流量確定每一流量清洗設備的訪問流量總和以及所有流量清洗設備的訪問流量總和不超過所述預設閾值,則啟動計時器�����;如果在所述計時器的計時時長內�,每一流量清洗設備的訪問流量總和以及所有流量清洗設備的訪問流量總和不超過所述預設閾值,則針對所述前N位目的IP中的每一目的IP����,恢復該目的IP的下一跳路由為原始配置。較佳地��,如果根據后續(xù)接收到的至少一臺流量清洗設備發(fā)送的�、其針對每一目的IP統(tǒng)計的訪問流量確定每一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過所述預設閾值,且按照訪問流量總和由大到小的順序對所有目的IP進行排序得到的前N位目的IP與前一時刻排序得到的前N位目的IP不一致時�����,則流量管理設備15判定前一時刻排序得到的前N位目的IP的服務器處于黑洞保持狀態(tài)�����,并自動遠程登錄上游路由器將后續(xù)排序得到的前N位目的IP的下一跳路由設置為空路由��,例如����,設N=3����,當前時刻流量管理設備15確定服務器1~服務器5的訪問流量總和排序為L1>L2>L3>L4>L5����,則流量管理設備15將前3位目的IP(服務器1、服務器2��、服務器3)的下一跳路由配置為空路由�,后續(xù)時刻流量管理設備15確定服務器1~服務器5的訪問流量總和仍超過所述預設閾值�,則按照訪問流量總和由大到小的順序對目的IP進行排序,且得到L5>L4>L3>L2>L1�����,則流量管理設備15判斷服務器1~服務器3處于黑洞保持狀態(tài)���,然后流量管理設備自動遠程登錄上游路由器將服務器4和服務器5的下一跳路由配置為空路由����。需要說明的是���,流量清洗設備14和流量管理設備15可以按預設周期執(zhí)行過程相應過程����,可以一直對服務器訪問流量進行統(tǒng)計和清洗,用戶可以根據需要自行設定���。此外�����,在DDoS攻擊的應用場景中�,流量管理設備的大致執(zhí)行過程可以根據圖1g直觀的得出��,首先����,當流量管理設備判斷出每一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值時,則流量管理設備15判定處于黑洞狀態(tài)��,并遠程登錄上游路由器�����,配置該相應目的IP的下一跳路由為空路由;如果判斷出后續(xù)接收到的每一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和不超過預設閾值�����,則判定處于黑洞保持狀態(tài)��;并啟動定時器開始計時�,如果流量管理設備判斷出在定時器的預設時長內,根據每一流量清洗設備上報的��、其針對每一目的IP統(tǒng)計的訪問流量確定每一流量清洗設備的訪問流量總和以及所有流量清洗設備的訪問流量總和不超過預設閾值�,則判定黑洞結束,即DDoS攻擊得到有效防護�����;在黑洞保持狀態(tài)或者黑洞結束狀態(tài)下�����,如果后續(xù)確定出每一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值�,則判定再次進入黑洞狀態(tài)����,然后流量管理設備按照訪問流量總和由大到小的順序對所有目的IP進行排序,自動遠程登錄上游路由器將前N位目的IP的下一跳路由配置為空路由�����,對DDoS攻擊執(zhí)行有效地防護措施。本發(fā)明實施例提供的網絡防護系統(tǒng)���,流量清洗設備14針對每一目的IP統(tǒng)計該目的IP對應的訪問流量���,并將統(tǒng)計的每一目的IP的訪問流量發(fā)送給所述流量管理設備15,流量管理設備15在接收到每一目的IP的訪問流量后����,針對每一流量清洗設備14,流量管理設備15統(tǒng)計該流量清洗設備的訪問流量總和�,如果確定出該流量清洗設備的訪問流量總和超過預設閾值,則按照訪問流量總和由大到小的順序對所有目的IP進行排序����,流量管理設備15將前N位目的IP的下一跳路由配置為空路由,或者針對若干個流量清洗設備14���,流量管理設備15統(tǒng)計接收到的所有流量清洗設備的訪問流量總和����,和/或相同目的IP訪問流量總和,如果所有流量清洗設備的訪問流量總和超過預設閾值�����,則按照訪問流量總和由大到小的順序對所有目的IP進行排序����;將前N位目的IP的下一跳路由配置為空路由,使得其他目的IP的服務器能夠響應其他業(yè)務的正常流量訪問��,有效地檢測和防護了DDoS大流量攻擊��,且減小了DDoS攻擊對其它業(yè)務的影響��,提高了防護DDoS大流量攻擊的實時性和可靠性��。實施例二����、如圖2所示����,為本發(fā)明實施例提供的流量管理設備實施的網絡防護方法的實施流程示意圖,可以包括以下步驟:S21�、接收至少一臺流量清洗設備發(fā)送的其針對每一目的IP統(tǒng)計的訪問流量。S22、針對每一流量清洗設備��,統(tǒng)計該流量清洗設備的訪問流量總和�����,和/或統(tǒng)計所有流量清洗設備的訪問流量總和���,和/或相同目的IP訪問流量總和����。S23��、如果任一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值��,則按照訪問流量總和由大到小的順序對所有目的IP進行排序�����。S24���、將前N位目的IP的下一跳路由配置為空路由����。具體實施時,針對所述前N位目的IP中的每一目的IP��,遠程登錄上游路由器�����,將該目的IP的下一跳路由配置為空路由�����,其中N為大于等于1的自然數(shù)��。較佳地�����,流量管理設備可以采用Telnet方法自動遠程登錄上游路由器���,相比現(xiàn)有技術采用的BGP(BorderGatewayProtocol���,邊界網關協(xié)議)方法登錄上游路由器,采用Telnet自動遠程登錄上游路由器配置前N位目的IP的下一跳路由器為空路由����,耗時短,且Telnet操作生效比BGP方法塊��,能快速丟棄DDoS大流量攻擊����,避免由于上游帶寬被DDoS大流量攻擊堵死而影響其他用戶的正常訪問。具體實施時��,所述方法�����,還包括:如果根據后續(xù)接收到的至少一臺流量清洗設備發(fā)送的�����、其針對每一目的IP統(tǒng)計的訪問流量確定每一流量清洗設備的訪問流量總和以及所有流量清洗設備的訪問流量總和不超過所述預設閾值�,則啟動計時器;如果在所述計時器的計時時長內���,任一流量清洗設備發(fā)送的目的IP訪問流量總和以及所有目的IP的訪問流量總和不超過所述預設閾值��;則針對所述前N位目的IP中的每一目的IP�,恢復該目的IP的下一跳路由為原始配置��。需要說明的是,具體實施時�,參照實施例一網絡防護系統(tǒng)中流量管理設備15的描述過程執(zhí)行大流量攻擊的流量清洗。本發(fā)明實施例提供的流量管理設備實施的網絡防護方法��,在接收至少一臺流量清洗設備發(fā)送的其針對每一目的IP統(tǒng)計的訪問流量后����,針對每一流量清洗設備,統(tǒng)計該流量清洗設備的訪問流量總和����,和/或統(tǒng)計所有流量清洗設備的訪問流量總和,和/或相同目的IP訪問流量總和�,如果任一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值,則按照訪問流量總和由大到小的順序對所有目的IP進行排序�,并將前N位目的IP的下一跳路由配置為空路由,不僅可以有效地防止大流量DDoS攻擊���,還可以保證其他服務器能夠正常響應用戶發(fā)送的網絡訪問請求�。實施例三���、如圖3所示��,為本發(fā)明實施例提供的流量清洗設備實施的網絡防護方法的實施流程示意圖��,可以包括以下步驟:S31��、流量清洗設備針對每一目的IP統(tǒng)計該目的IP對應的訪問流量���。具體實施時,所述流量清洗設備啟動防護進程��,所述防護進程針對每一目的IP統(tǒng)計該目的IP對應的訪問流量并寫入共享內存單元���。S32�����、將統(tǒng)計的每一目的IP的訪問流量發(fā)送給流量管理設備�。所述流量清洗設備啟動上傳進程�,所述上傳進程從所述共享內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備所述共享內存單元包括第一內存單元和第二內存單元,其中:如果所述防護進程向第一內存單元寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量�����,則所述上傳進程從第二內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備���;如果所述防護進程向第二內存單元寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量����,則所述上傳進程從第一內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備。需要說明的是�����,具體實施時��,參照實施例一網絡防護系統(tǒng)中流量清洗設備14的描述過程執(zhí)行訪問流量的統(tǒng)計過程��。本發(fā)明實施例提供的流量清洗設備實施的網絡防護方法���,流量清洗設備針對每一目的IP統(tǒng)計該目的IP對應的訪問流量�,為了減小統(tǒng)計帶來的性能損耗����,流量清洗設備將統(tǒng)計的每一目的IP的訪問流量在內存中交替存儲,并交替從內存中讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備�,保證能夠盡可能完整地統(tǒng)計每一目的IP對應的訪問流量,使得流量管理設備在接收到每一目的IP的訪問流量時��,對大流量攻擊的防護效果更加可靠����。實施例四���、基于同一發(fā)明構思,本發(fā)明實施例中還提供了一種網絡防護裝置�,由于上述裝置解決問題的原理與網絡防護方法相似,因此上述裝置的實施可以參見方法的實施�����,重復之處不再贅述��。如圖4所示����,為本發(fā)明實施例提供的網絡防護裝置的結構示意圖��,包括:接收單元41����、統(tǒng)計單元42、排序單元43和配置單元44��,其中:接收單元41���,用于接收至少一臺流量清洗設備發(fā)送的其針對每一目的IP統(tǒng)計的訪問流量���;統(tǒng)計單元42���,用于針對每一流量清洗設備,統(tǒng)計該流量清洗設備的訪問流量總和�,和/或統(tǒng)計所有流量清洗設備的訪問流量總和,和/或相同目的IP訪問流量總和��;排序單元43��,用于如果任一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值���,則按照訪問流量總和由大到小的順序對所有目的IP進行排序����;配置單元44�,用于將前N位目的IP的下一跳路由配置為空路由,其中N為大于等于1的自然數(shù)�。具體實施時,所述配置單元44�,具體用于針對所述前N位目的IP中的每一目的IP,自動遠程登錄上游路由器����,將該目的IP的下一跳路由配置為空路由���。較佳地,所述裝置�,還包括:計時單元45,其中:計時單元45�,用于如果根據后續(xù)接收到的至少一臺流量清洗設備發(fā)送的、其針對每一目的IP統(tǒng)計的訪問流量確定每一流量清洗設備的訪問流量總和以及所有流量清洗設備的訪問流量總和不超過所述預設閾值��,則啟動計時器����;配置單元44���,還用于如果在所述計時器的計時時長內�����,每一流量清洗設備發(fā)送的目的IP訪問流量總和以及所有流量清洗設備的訪問流量總和不超過所述預設閾值�����,則針對所述前N位目的IP中的每一目的IP��,恢復該目的IP的下一跳路由為原始配置����。為了描述的方便,以上各部分按照功能劃分為各模塊(或單元)分別描述�����。當然�,在實施本發(fā)明時可以把各模塊(或單元)的功能在同一個或多個軟件或硬件中實現(xiàn)。例如��,本發(fā)明實施例四提供的網絡防護裝置可以設置于流量管理設備中�����,由流量管理設備完成對服務器訪問流量的管理���。本發(fā)明實施例提供了一種網絡防護裝置��,例如���,可以包括存儲器和處理器,其中����,處理器可以用于讀取存儲器中的程序����,執(zhí)行下列過程:接收至少一臺流量清洗設備發(fā)送的其針對每一目的IP統(tǒng)計的訪問流量���;針對每一流量清洗設備���,統(tǒng)計該流量清洗設備的訪問流量總和,和/或統(tǒng)計所有流量清洗設備的訪問流量總和���,和/或相同目的IP訪問流量總和�����;如果任一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值����,則按照訪問流量總和由大到小的順序對所有目的IP進行排序����;將前N位目的IP的下一跳路由配置為空路由�,其中N為大于等于1的自然數(shù)��。本發(fā)明實施例提供了一種程序產品����,其包括程序代碼���,當所述程序產品運行時���,所述程序代碼用于執(zhí)行以下過程:接收至少一臺流量清洗設備發(fā)送的其針對每一目的IP統(tǒng)計的訪問流量;針對每一流量清洗設備���,統(tǒng)計該流量清洗設備的訪問流量總和���,和/或統(tǒng)計所有流量清洗設備的訪問流量總和,和/或相同目的IP訪問流量總和�;如果任一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值,則按照訪問流量總和由大到小的順序對所有目的IP進行排序����;將前N位目的IP的下一跳路由配置為空路由,其中N為大于等于1的自然數(shù)����。實施例五���、基于同一發(fā)明構思,本發(fā)明實施例中還提供了另一種網絡防護裝置�,由于上述裝置解決問題的原理與流量清洗設備實施的網絡防護方法相似,因此上述裝置的實施可以參見方法的實施����,重復之處不再贅述。如圖5所示�����,為本發(fā)明實施例提供的流量清洗設備實施的網絡防護裝置的結構示意圖����,包括:防護單元51和上傳單元52,其中:防護單元51�,用于流量清洗設備針對每一目的IP統(tǒng)計該目的IP對應的訪問流量;上傳單元52��,用于將統(tǒng)計的每一目的IP的訪問流量發(fā)送給流量管理設備�。具體實施時���,所述防護單元51��,具體用于針對每一目的IP統(tǒng)計該目的IP對應的訪問流量并寫入共享內存單元���;所述上傳單元52�,具體用于從所述共享內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備�����。所述共享內存單元包括第一內存單元和第二內存單元����,其中:如果所述防護單元向第一內存單元寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量,則所述上傳單元從第二內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備�����;如果所述防護單元向第二內存單元寫入其針對每一目的IP統(tǒng)計的該目的IP對應的訪問流量���,則所述上傳單元從第一內存單元讀取統(tǒng)計的每一目的IP的訪問流量并發(fā)送給流量管理設備����。本發(fā)明實施例提供了另外一種網絡防護裝置�,例如,可以包括存儲器和處理器��,其中,處理器可以用于讀取存儲器中的程序���,執(zhí)行下列過程:流量清洗設備針對每一目的IP統(tǒng)計該目的IP對應的訪問流量���;并將統(tǒng)計的每一目的IP的訪問流量發(fā)送給流量管理設備。本發(fā)明實施例提供了另外一種程序產品�����,其包括程序代碼��,當所述程序產品運行時����,所述程序代碼用于執(zhí)行以下過程:流量清洗設備針對每一目的IP統(tǒng)計該目的IP對應的訪問流量;并將統(tǒng)計的每一目的IP的訪問流量發(fā)送給流量管理設備�。在介紹了本發(fā)明提供的網絡防護方法、裝置和系統(tǒng)之后�,接下來,介紹根據本發(fā)明的另一示例性實施方式的網絡防護裝置�����。所屬
技術領域:
的技術人員能夠理解,本發(fā)明的各個方面可以實現(xiàn)為系統(tǒng)��、方法或程序產品�。因此����,本發(fā)明的各個方面可以具體實現(xiàn)為以下形式,即:完全的硬件實施方式��、完全的軟件實施方式(包括固件�、微代碼等),或硬件和軟件方面結合的實施方式����,這里可以統(tǒng)稱為“電路”、“模塊”或“系統(tǒng)”����。在一些可能的實施方式中,根據本發(fā)明的網絡防護裝置可以包括至少一個處理單元�����、以及至少一個存儲單元����。其中���,所述存儲單元存儲有程序代碼,當所述程序代碼被所述處理單元執(zhí)行時����,使得所述處理單元執(zhí)行本說明書上述“實施例方法”部分中描述的根據本發(fā)明各種示例性實施方式的網絡防護方法中的各種步驟。例如����,所述處理單元可以執(zhí)行如圖2中所示的步驟S21,接收至少一臺流量清洗設備發(fā)送的其針對每一目的IP統(tǒng)計的訪問流量���,步驟S22�����,針對每一流量清洗設備�,統(tǒng)計該流量清洗設備的訪問流量總和�����,和/或統(tǒng)計所有流量清洗設備的訪問流量總和�,和/或相同目的IP訪問流量總和�,步驟23���,如果任一流量清洗設備的訪問流量總和或者所有流量清洗設備的訪問流量總和超過預設閾值��,則按照訪問流量總和由大到小的順序對所有目的IP進行排序�����,步驟24,將前N位目的IP的下一跳路由配置為空路由��。應當注意���,盡管在上文詳細描述中提及了裝置的若干單元或子單元�����,但是這種劃分僅僅是示例性的并非強制性的����。實際上���,根據本發(fā)明的實施方式��,上文描述的兩個或更多單元的特征和功能可以在一個單元中具體化�。反之,上文描述的一個單元的特征和功能可以進一步劃分為由多個單元來具體化�����。此外���,盡管在附圖中以特定順序描述了本發(fā)明方法的操作���,但是,這并非要求或者暗示必須按照該特定順序來執(zhí)行這些操作��,或是必須執(zhí)行全部所示的操作才能實現(xiàn)期望的結果�����。附加地或備選地��,可以省略某些步驟�,將多個步驟合并為一個步驟執(zhí)行,和/或將一個步驟分解為多個步驟執(zhí)行�。本發(fā)明實施例提供的網絡防護方法、裝置和系統(tǒng)�����,流量清洗設備針對每一目的IP統(tǒng)計該目的IP對應的訪問流量,并將統(tǒng)計的每一目的IP的訪問流量發(fā)送給所述流量管理設備�,流量管理設備在接收到每一目的IP的訪問流量后,針對每一流量清洗設備�����,流量管理設備統(tǒng)計該流量清洗設備的訪問流量總和�,和相同目的IP訪問流量總和����,如果確定出該流量清洗設備的訪問流量總和超過預設閾值,則按照訪問流量總和由大到小的順序對所有目的IP進行排序����,流量管理設備將前N位目的IP的下一跳路由配置為空路由,或者針對若干個流量清洗設備�,流量管理設備統(tǒng)計接收到的所有流量清洗設備的訪問流量總和,和相同目的IP訪問流量總和���,如果所有流量清洗設備的訪問流量總和超過預設閾值�,則按照訪問流量總和由大到小的順序對所有目的IP進行排序�����;將前N位目的IP的下一跳路由配置為空路由,使得其它目的IP的服務器能夠響應其他業(yè)務的正常流量訪問��,有效地檢測和防護了DDoS大流量攻擊��,且減小了DDoS攻擊對其它業(yè)務的影響���,提高了防護DDoS大流量攻擊的實時性和可靠性����。本申請的實施例所提供的網絡防護裝置或設備可通過計算機程序實現(xiàn)�����。本領域技術人員應該能夠理解�,上述的模塊劃分方式僅是眾多模塊劃分方式中的一種,如果劃分為其他模塊或不劃分模塊��,只要網絡防護裝置或設備具有上述功能��,都應該在本申請的保護范圍之內�。本領域內的技術人員應明白,本發(fā)明的實施例可提供為方法���、系統(tǒng)�����、或計算機程序產品�����。因此�����,本發(fā)明可采用完全硬件實施例��、完全軟件實施例��、或結合軟件和硬件方面的實施例的形式�����。而且�,本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器���、CD-ROM�����、光學存儲器等)上實施的計算機程序產品的形式����。本發(fā)明是參照根據本發(fā)明實施例的方法、設備(系統(tǒng))���、和計算機程序產品的流程圖和/或方框圖來描述的�。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框��、以及流程圖和/或方框圖中的流程和/或方框的結合��?��?商峁┻@些計算機程序指令到通用計算機���、專用計算機、嵌入式處理機或其他可編程數(shù)據處理設備的處理器以產生一個機器���,使得通過計算機或其他可編程數(shù)據處理設備的處理器執(zhí)行的指令產生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置�。這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據處理設備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的制造品����,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據處理設備上�����,使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產生計算機實現(xiàn)的處理�,從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。盡管已描述了本發(fā)明的優(yōu)選實施例�,但本領域內的技術人員一旦得知了基本創(chuàng)造性概念,則可對這些實施例做出另外的變更和修改�����。所以���,所附權利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改�。顯然���,本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣�����,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內,則本發(fā)明也意圖包含這些改動和變型在內����。當前第1頁1 2 3