，如果預(yù)設(shè)時間內(nèi)都沒有DDoS攻擊，則取消所述出口設(shè)備上的引流配置，并通知所述網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)重新啟動監(jiān)控。
[0130]其中，第一取消模塊可以采用已有手段檢查是否存在DDoS攻擊。
[0131]在預(yù)設(shè)時間內(nèi)都不存在DDoS攻擊時，則第一取消模塊可以取消對出口設(shè)備的BGP配置。
[0132]另外，如圖3所示，網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)在通知內(nèi)網(wǎng)DDoS系統(tǒng)進(jìn)行引流后，會停止對鏡像流量的監(jiān)控。而當(dāng)?shù)谝蝗∠K取消對出口設(shè)備的BGP配置后，可以向網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)發(fā)送指示消息，該指示消息用于指示網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)重新啟動監(jiān)控。
[0133]本實(shí)施例中，內(nèi)網(wǎng)DDoS系統(tǒng)接收到啟動引流消息后，對出口設(shè)備進(jìn)行引流配置，可以實(shí)現(xiàn)將網(wǎng)絡(luò)流量牽引到內(nèi)網(wǎng)DDoS系統(tǒng)，從而實(shí)現(xiàn)內(nèi)網(wǎng)DDoS系統(tǒng)對網(wǎng)絡(luò)流量的清洗，防止鏈路型DDoS攻擊。
[0134]一些實(shí)施例中，所述第二通知模塊用于所述通知公網(wǎng)DDoS系統(tǒng)進(jìn)行引流，包括:網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)向公網(wǎng)DDoS系統(tǒng)發(fā)送啟動引流消息；
[0135]參見圖8，所述系統(tǒng)還包括:公網(wǎng)DDoS系統(tǒng)63，所述公網(wǎng)DDoS系統(tǒng)63包括:
[0136]第二接收模塊631，用于接收網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)發(fā)送的啟動引流消息。
[0137]第二引流配置模塊632，用于在第二接收模塊接收網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)發(fā)送的啟動引流消息后，對公網(wǎng)DNS進(jìn)行引流配置，使得引流配置后的公網(wǎng)DNS將原本要發(fā)送到所述被保護(hù)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量牽引到公網(wǎng)DDoS系統(tǒng)上；
[0138]其中，啟動引流消息中可以包括:被保護(hù)的網(wǎng)絡(luò)的域名，被保護(hù)的網(wǎng)絡(luò)的出口設(shè)備的備份鏈路的IP地址。
[0139]相應(yīng)的，所述第二引流配置模塊用于對公網(wǎng)DNS進(jìn)行引流配置，包括:
[0140]公網(wǎng)DDoS系統(tǒng)向公網(wǎng)DNS發(fā)送配置消息，該配置消息中包含被保護(hù)的網(wǎng)絡(luò)的域名、第一 IP地址，使得公網(wǎng)DNS接收到配置消息后，將預(yù)先存儲的與被保護(hù)的域名對應(yīng)的IP地址更改為所述第一 IP地址，其中，所述第一 IP地址是預(yù)先建立的與被保護(hù)的網(wǎng)絡(luò)的出口設(shè)備的備份鏈路的IP地址關(guān)聯(lián)的IP地址。
[0141]其中，公網(wǎng)DNS內(nèi)會預(yù)先存儲域名與IP地址的對應(yīng)關(guān)系，以便根據(jù)域名解析出IP地址，再根據(jù)IP地址進(jìn)行網(wǎng)絡(luò)流量的傳輸。通常，由于網(wǎng)絡(luò)流量是需要發(fā)送給被保護(hù)的網(wǎng)絡(luò)，且通過被保護(hù)的網(wǎng)絡(luò)的出口設(shè)備的主出口鏈路進(jìn)行傳輸，假設(shè)被保護(hù)的網(wǎng)絡(luò)的域名是A，主出口鏈路的IP地址是IP1，則在公網(wǎng)DNS內(nèi)原本存儲的是A與IPl的對應(yīng)關(guān)系。為了實(shí)現(xiàn)將網(wǎng)絡(luò)流量引流到公網(wǎng)DDoS系統(tǒng)上，則需要將原本發(fā)送給被保護(hù)的網(wǎng)絡(luò)的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)給公網(wǎng)DDoS系統(tǒng)，則需要在公網(wǎng)DNS內(nèi)將A對應(yīng)的IP地址更改為公網(wǎng)DDoS系統(tǒng)的IP地址。
[0142]由于公網(wǎng)DDoS系統(tǒng)可以與多個企業(yè)網(wǎng)等被保護(hù)網(wǎng)絡(luò)進(jìn)行通信，公網(wǎng)DDoS系統(tǒng)可以對應(yīng)不同的被保護(hù)網(wǎng)絡(luò)設(shè)置不同的IP地址，因此，公網(wǎng)DDoS系統(tǒng)內(nèi)可以預(yù)先存儲一個地址池，該地址池內(nèi)可以存儲不同IP地址之間的關(guān)聯(lián)關(guān)系。例如，域名A的被保護(hù)網(wǎng)絡(luò)的出口設(shè)備的備份鏈路的IP地址是IP2，公網(wǎng)DDoS系統(tǒng)內(nèi)預(yù)先存儲與IP2關(guān)聯(lián)的IP地址是IP3，則上述的第一 IP地址是IP3，公網(wǎng)DDoS系統(tǒng)可以指示公網(wǎng)DNS將與A對應(yīng)的IP地址從IPl修改為IP3。
[0143]第二清洗模塊633，用于對牽引過來的網(wǎng)絡(luò)流量進(jìn)行清洗，并將清洗后的網(wǎng)絡(luò)流量通過所述備份鏈路回注到所述被保護(hù)網(wǎng)絡(luò)上；
[0144]其中，公網(wǎng)DNS進(jìn)行IP地址修改后，可以將原本發(fā)送給被保護(hù)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量發(fā)送給公網(wǎng)DDoS系統(tǒng)，實(shí)現(xiàn)了將網(wǎng)絡(luò)流量牽引到公網(wǎng)DDoS系統(tǒng)上。
[0145]在將網(wǎng)絡(luò)流量牽引到公網(wǎng)DDoS系統(tǒng)上，第二清洗模塊可以采用已有的運(yùn)營商DDoS產(chǎn)品的清洗方式對網(wǎng)絡(luò)流量進(jìn)行清洗。
[0146]在對網(wǎng)絡(luò)流量進(jìn)行清洗后，可以將清洗后的網(wǎng)絡(luò)流量再發(fā)送給被保護(hù)的網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)流量的回注。
[0147]在回注網(wǎng)絡(luò)流量時，可以具體是將網(wǎng)絡(luò)流量的目的地址修改為被保護(hù)網(wǎng)絡(luò)的出口設(shè)備的備份鏈路的IP地址，例如，修改為IP2，則根據(jù)路由原理，該網(wǎng)絡(luò)流量可以通過備份鏈路回注到被保護(hù)網(wǎng)絡(luò)內(nèi)。
[0148]第二取消模塊634，用于檢查清洗后的網(wǎng)絡(luò)流量，如果預(yù)設(shè)時間內(nèi)清洗后的網(wǎng)絡(luò)流量都低于所述預(yù)設(shè)的告警值，則取消所述公網(wǎng)DNS上的引流配置，并通知所述網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)重新啟動監(jiān)控。
[0149]其中，網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)發(fā)送給公網(wǎng)DDoS系統(tǒng)的啟動引流消息中還可以包括:預(yù)設(shè)的告警值，從而第二取消模塊通過解析啟動引流消息可以獲取預(yù)設(shè)的告警值。
[0150]在獲取預(yù)設(shè)的告警值后，第二取消模塊可以比對清洗后的網(wǎng)絡(luò)流量與預(yù)設(shè)的告警值的大小，得到判斷結(jié)果。
[0151]在預(yù)設(shè)時間內(nèi)清洗后的網(wǎng)絡(luò)流量都低于告警值后，第二取消模塊可以向公網(wǎng)DNS發(fā)送指示消息，公網(wǎng)DNS接收到該指示消息后可以將域名對應(yīng)的IP地址恢復(fù)到之前的狀態(tài)，例如，將A對應(yīng)的IP地址由IP3恢復(fù)到IP1，從而后續(xù)的網(wǎng)絡(luò)流量將通過主出口鏈路進(jìn)入被保護(hù)網(wǎng)絡(luò)。
[0152]另外，如圖3所示，網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)在通知公網(wǎng)DDoS系統(tǒng)進(jìn)行引流后，會停止對鏡像流量的監(jiān)控。而當(dāng)?shù)诙∠K取消對公網(wǎng)DNS的引流配置后，可以向網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)發(fā)送指示消息，該指示消息用于指示網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)重新啟動監(jiān)控。
[0153]本實(shí)施例中，公網(wǎng)DDoS系統(tǒng)接收到啟動引流消息后，對公網(wǎng)DNS進(jìn)行引流配置，可以實(shí)現(xiàn)將網(wǎng)絡(luò)流量牽引到公網(wǎng)DDoS系統(tǒng)，從而實(shí)現(xiàn)公網(wǎng)DDoS系統(tǒng)對網(wǎng)絡(luò)流量的清洗，防止鏈路型DDoS攻擊。
[0154]需要說明的是，在本發(fā)明的描述中，術(shù)語“第一”、“第二”等僅用于描述目的，而不能理解為指示或暗示相對重要性。此外，在本發(fā)明的描述中，除非另有說明，“多個”的含義是指至少兩個。
[0155]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為，表示包括一個或更多個用于實(shí)現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分，并且本發(fā)明的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn)，其中可以不按所示出或討論的順序，包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序，來執(zhí)行功能，這應(yīng)被本發(fā)明的實(shí)施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解。
[0156]應(yīng)當(dāng)理解，本發(fā)明的各部分可以用硬件、軟件、固件或它們的組合來實(shí)現(xiàn)。在上述實(shí)施方式中，多個步驟或方法可以用存儲在存儲器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實(shí)現(xiàn)。例如，如果用硬件來實(shí)現(xiàn)，和在另一實(shí)施方式中一樣，可用本領(lǐng)域公知的下列技術(shù)中的任一項(xiàng)或他們的組合來實(shí)現(xiàn):具有用于對數(shù)據(jù)信號實(shí)現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路，具有合適的組合邏輯門電路的專用集成電路，可編程門陣列(PGA)，現(xiàn)場可編程門陣列(FPGA)等。
[0157]本技術(shù)領(lǐng)域的普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法攜帶的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成，所述的程序可以存儲于一種計算機(jī)可讀存儲介質(zhì)中，該程序在執(zhí)行時，包括方法實(shí)施例的步驟之一或其組合。
[0158]此外，在本發(fā)明各個實(shí)施例中的各功能單元可以集成在一個處理模塊中，也可以是各個單元單獨(dú)物理存在，也可以兩個或兩個以上單元集成在一個模塊中。上述集成的模塊既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能模塊的形式實(shí)現(xiàn)。所述集成的模塊如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時，也可以存儲在一個計算機(jī)可讀取存儲介質(zhì)中。
[0159]上述提到的存儲介質(zhì)可以是只讀存儲器，磁盤或光盤等。
[0160]在本說明書的描述中，參考術(shù)語“一個實(shí)施例”、“一些實(shí)施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)包含于本發(fā)明的至少一個實(shí)施例或示例中。在本說明書中，對上述術(shù)語的示意性表述不一定指的是相同的實(shí)施例或示例。而且，描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)可以在任何的一個或多個實(shí)施例或示例中以合適的方式結(jié)合。
[0161]盡管上面已經(jīng)示出和描述了本發(fā)明的實(shí)施例，可以理解的是，上述實(shí)施例是示例性的，不能理解為對本發(fā)明的限制，本領(lǐng)域的普通技術(shù)人員在本發(fā)明的范圍內(nèi)可以對上述實(shí)施例進(jìn)行變化、修改、替換和變型。
【主權(quán)項(xiàng)】
1.一種防止鏈路型DDoS攻擊的實(shí)現(xiàn)方法，其特征在于，包括: 網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)監(jiān)控通過被保護(hù)網(wǎng)絡(luò)的主出口鏈路進(jìn)入被保護(hù)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量，所述被保護(hù)網(wǎng)絡(luò)包括:主出口鏈路和備份鏈路； 網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)在所述網(wǎng)絡(luò)流量小于預(yù)設(shè)的告警值時，判斷是否達(dá)到DDoS