流量清洗的方法、系統和設備的製作方法

2023-07-07 15:58:36 1

專利名稱：流量清洗的方法、系統和設備的製作方法
技術領域：
本發明涉及信息技術領域，尤其涉及一種流量清洗的方法、系統和設備。
背景技術：
在網際網路不斷發展的同時，黑客技術也在不斷發展，利用後門軟體的 植入，越來越多的寬帶用戶PC (Personal Computer,個人電腦)已淪為助 對為虐的"傀儡機"，傀儡網絡越來越龐大；另外一方面，經濟利益的引謙、 攻擊源的難於追查，使越來越多的黑客鋌而走險，把利用傀儡網絡發動攻 擊當成發財致富的不二法寶。這些因素都導致網絡中的DDoS (Distributed Denial of Service,分布式拒絕服務)攻擊越來越頻繁、少見模越來越大，這 些DDoS攻擊不僅造成目標客戶伺服器、網絡的癱瘓，而且還嚴重威脅到 運營商城域網的安全，並引起全社會的廣泛關注。
針對這種情況，現有技術中提出了寬帶流量清洗解決方案，以精確阻 斷DDoS攻擊流量，為客戶提供城域網和數據中心安全加固。
如圖1所示，流量清洗可以部署在IDC (Internet Data Center ，網際網路 數據中心)中，整個系統由三部分組成異常流量檢測平臺、異常流量清 洗平臺和業務管理平臺。當DDoS攻擊發生時，異常流量檢測平臺會自動 發現攻擊行為，通過自動或手工方式把攻擊流量牽引到異常流量清洗平臺 進行清洗；清除掉攻擊流量後，異常流量清洗平臺再將"乾淨"流量交還 給用戶。在整個攻擊防範的過程中，用戶感受不到攻擊的存在，正常業務 不會受到任何影響。流量清洗的一個關鍵技術就是流量牽引。即如何將攻 擊伺服器的流量牽引到異常流量清洗平臺上。
現有技術中提出了一種基於策略路由牽引的流量牽引技術，其示意圖 如圖2所示，在核心交換機上行接口處配置策略路由，通過策略路由將發往伺服器的流量的下 一跳改為流量清洗設備，所以核心路由器會將流量直 接轉給流量清洗設備。這種牽引技術的優點在於利用策略路由本身的特點， 不需要對設備作特殊定製修改。策略路由配置靈活。
該策略路由牽引技術的問題在於，在核心交換設備的上行接口上配置 策略路由會降低整個數據中心系統的轉發性能，導致策略路由的轉發效率 較低。

發明內容
本發明提供一種流量清洗的方法、系統和設備，用於提高網絡系統在 流量清洗過程中的轉發性能和轉發效率。
為達到上述目的，本發明提供一種流量清洗的方法，應用於包括異常 流量檢測設備、異常流量清洗設備以及業務管理設備的流量清洗系統中，包
括
對網絡設備的攻擊流量發生時，所述異常流量清洗設備接收所述業務管 理設備發送的防禦策略；
所述異常流量清洗設備根據所述防禦策略，生成靜態地址解析協議ARP 配置並向所述攻擊流量經過的交換i殳備發送；，所述靜態ARP配置用於將所 述交換設備上發往所述網絡設備的流量牽引到所述異常流量清洗設備；
所述異常流量清洗設備對所述交換設備發送的流量進行清洗；
所述異常流量清洗設備將所述清洗後的流量通過所述交換設備回流到所 述網絡設備。
其中，所述異常流量清洗設備接收所述業務管理設備發送的防禦策略前， 還包括
所述異常流量檢測設備探測到對網絡設備的攻擊流量時，通知所述業務 管理設備受到攻擊的網絡設備地址；
所述業務管理設備向異常流量清洗設備發送防禦策略，所述防禦策略中 包括流量清洗策略、以及對所述受到攻擊的網絡設備地址的流量牽引策略。
其中，所述異常流量清洗設備根據所述防禦策略，生成靜態ARP配置包括
所述流量清洗設備生成靜態ARP配置，所述靜態ARP配置的IP位址是 所述受到攻擊的網絡i史備的IP位址，對應的MAC地址是所述異常流量清洗 設備的MAC地址。
其中，所述異常流量清洗設備根據所述防禦策略，生成ARP配置並向所 述攻擊流量經過的交換設備發送後，還包括
所述交換設備解析並存儲所述靜態ARP配置；
所述交換設備接收到發往所述受到攻擊的網絡設備的IP位址的流量時， 根據所述靜態ARP配置，將所述流量通過與所述異常流量清洗設備連接的端 口發送到所述異常流量清洗設備。
其中，所述異常流量清洗設備將所述清洗後的流量通過所述交換設備回 流到所述網絡設備所述異常流量清洗設備對所述交換設備發送的流量進行清 洗後，還包括
所述異常流量清洗設備將清洗後的流量報文的目的MAC替換為所述受
到攻擊的網絡設備的MAC地址，並向所述交換設備發送；
所述交換設備將所述清洗後的流量報文發送回流到所述網絡設備。 其中，所述異常流量清洗設備對所述交換設備發送的流量進行清洗後，
還包括
攻擊流量停止時，所述異常流量清洗設備接收所述業務管理設備發送的 刪除防禦策略指示；
所述異常流量清洗設備指示所述交換設備刪除所述靜態ARP配置，停止 將所述交換設備上發往所述網絡設備的流量牽引到所述異常流量清洗設備。
本發明還提供一種異常流量清洗設備，包括
防禦策略接收單元，用於在對網絡設備的攻擊流量發生時，接收業務管 理設備發送的防禦策略；
ARP配置生成單元，用於根據所述防禦策略接收單元接收的防禦策略， 生成靜態ARP配置；所述靜態ARP配置用於將所述交換設備上發往所述網絡設備的流量牽引到所述異常流量清洗設備；
ARP配置發送單元，用於向所述攻擊流量經過的交換設備發送所述ARP 配置生成單元生成的靜態ARP配置；
流量清洗單元，用於對所述交換設備發送的流量進行清洗。；
流量發送單元，用於將所述流量清洗單元清洗後的流量通過所述交換設 備回流到所述網絡設備。
其中，所述ARP配置生成單元具體為，用於生成靜態ARP配置，所述靜 態ARP配置的IP位址是所述受到攻擊的網絡設備的IP位址，對應的MAC 地址是所述異常流量清洗設備的MAC地址。
其中，還包括所述流量發送單元具體
流量發送單元，用於將所述流量清洗單元清洗後的流量淨艮文的目的MAC 替換為所述受到攻擊的網絡設備的MAC地址，並向所述交換設備發送。 其中，還包括
ARP配置刪除單元，用於接收到所述業務管理設備發送的刪除防禦策略 指示時，指示所述交換設備刪除所述靜態ARP配置，停止將所述交換設備上 發往所述網絡設備的流量牽引到本設備。
本發明還提供一種業務管理設備，包括
防禦策略指示單元，用於在攻擊流量發生時，向異常流量清洗設備發送 防禦策略，所述防禦策略中包括流量清洗策略、以及對受到攻擊的網絡設備 地址的流量牽引策略；
防禦策略刪除單元，用於在攻擊流量停止時，向所述異常流量清洗設備 發送刪除防禦策略的指示。
本發明還提供一種流量清洗系統，包括異常流量檢測設備、異常流量清 洗設備以及業務管理設備；
所述異常流量檢測設備，用於在檢測到對網絡設備的攻擊流量發生時， 通知所述業務管理設備；
所述業務管理設備，用於在所述異常流量^r測設備;f企測到攻擊流量發生 時，向所述常流量清洗設備發送防禦策略；所述異常流量清洗設備，用於根據所述業務管理設備發送的防禦策略，
生成靜態ARP配置並向所述攻擊流量經過的交換設備發送，所述靜態ARP 配置用於將所述交換設備上發往所述網絡設備的流量牽引到本設備；並對所 述交換設備發送的流量進行清洗。，並將所述清洗後的流量通過所述交換設備 回流到所述網絡設備。
本發明還提供一種流量清洗方法，應用於包括異常流量檢測設備、異常
流量清洗設備以及業務管理設備的流量清洗系統中，包括
對網絡設備的攻擊流量發生時，所述業務管理設備生成靜態ARP配置； 所述業務管理設備將所述靜態ARP配置向所述攻擊流量經過的交換設備
發送，以將所述交換設備上發往所述網絡設備的流量以將所述攻擊流量牽引
到所述異常流量清洗設備進行流量清洗。
其中，所述業務管理設備生成靜態ARP配置前還包括 所述異常流量檢測設備探測到攻擊流量時，通知所述業務管理設備受到
攻擊的網絡設備地址。
其中，所述業務管理設備生成靜態ARP配置包括
所述流量檢測設備生成靜態ARP配置，所述靜態ARP配置的IP位址是 所述受到攻擊的網絡設備的IP位址，對應的MAC地址是所述異常流量清洗 設備的MAC地址。
其中，所述業務管理設備將所述靜態ARP配置向所述攻擊流量經過的交 換設備發送後，還包括
所述交換設備解析並存儲所述靜態ARP配置；
所述交換設備接收到發往所述受到攻擊的網絡設備的IP位址的流量時， 根據所述靜態ARP配置，將所述流量通過與所述異常流量清洗設備連接的端 口發送到所述異常流量清洗設備；
所述異常流量清洗設備將清洗後的流量報文的目的MAC替換為所述受 到攻擊的網絡設備的MAC地址，並向所述交換設備發送；
所述交換設備將所述清洗後的流量報文發送到所述網絡設備。其中，還包括
攻擊流量停止時，所述業務管理設備指示所述交換設備刪除所述靜態 ARP配置，停止將所述交換設備上發往所述網絡設備的流量牽引到所述異常 流量清洗設備。
本發明還提供一種業務管理設備，包括
ARP配置生成單元，用於在對網絡設備的攻擊流量發生時，生成靜態ARP 配置；
ARP配置發送單元，用於將所述靜態ARP配置向所述攻擊流量經過的交 換設備發送，以將所述交換設備上發往所述網絡設備的流量以將所述攻擊流 量牽引到所述異常流量清洗設備進行流量清洗。
其中，所述ARP配置生成單元具體為，用於生成靜態ARP配置，所述靜 態ARP配置的IP位址是所述受到攻擊的網絡設備的IP位址，對應的MAC 地址是所述異常流量清洗設備的MAC地址。
其中，還包括
ARP配置刪除單元，用於當攻擊流量停止時，指示所述交換設備刪除所 述靜態ARP配置，停止將所述交換設備上發往所述網絡設備的流量牽引到所 述異常流量清洗設備。
本發明所提供的方法與現有技術相比，具有以下優點 在攻擊流量發生時，通過生成ARP配置並向攻擊流量經過的交換設備 發送，使得交換設備將攻擊流量發送到異常流量清洗設備，由異常流量清 洗設備對攻擊流量進行清洗，提高了整個系統在流量清洗過程中的轉發性 能和轉發效率；同時配置筒單靈活，不需要對現有的網絡設備進行特殊修 改即可實現。


圖1為現有技術中流量清洗方法的示意圖2為現有技術中策略路由牽引方法的示意圖；圖3為本發明中流量清洗方法的流程圖4為本發明中異常流量檢測的流程圖5為本發明中業務管理設備的防禦策略下發的流程圖6為本發明中異常流量清洗設備下發策略流程圖7為本發明中核心交換4幾更新ARP表流程圖8為本發明中流量牽引流程圖9為本發明中流量清洗回注流程圖IO為本發明中流量清洗恢復流程圖11為本發明中流量清洗方法的另一流程圖
圖12為本發明中流量清洗方法的再一流程圖
圖13為本發明中一種流量清洗系統的結構示意圖14為本發明中業務管理設備的結構示意圖15為本發明中異常流量清洗設備的結構示意圖16為本發明中業務管理設備的另一結構示意圖。
具體實施例方式
以下結合附圖和實施例，對本發明的實施方式作進一步說明。 本發明提供一種流量清洗的方法，應用於包括異常流量4企測設備、異
常流量清洗設備以及業務管理設備的流量清洗系統中，如圖3所示，包括 步驟s301、對網絡設備的攻擊流量發生時，異常流量清洗設備接收業
務管理設備發送的防禦策略。
步驟s302、異常流量清洗設備根據所述防禦策略，生成靜態ARP (Address Resolution Protocol,地址解析協議)配置並向攻擊流量經過的
交換設備發送，該靜態ARP配置用於將交換設備上發往網絡設備的流量牽
引到異常流量清洗設備。
步驟s303、異常流量清洗設備對交換設備發送的流量進行清洗。 步驟s304、異常流量清洗設備將清洗後的流量通過交換設備回流到網
絡設備。具體的，本發明提供的該流量清洗方法中，通過ARP仿冒方法，將向 交換設備上發往受攻擊網絡設備的攻擊流量牽引到異常流量清洗設備上， 由異常流量清洗設備對攻擊流量進行清洗。以下對該方法中涉及的各個流 程分別進行詳細介紹。
本發明的流量清洗方法中，在異常流量檢測設備發現針對網絡設備(以 下以伺服器為例)的攻擊流量後，通知業務管理設備受到攻擊的伺服器IP 地址和MAC (MediumAccess Control,々某體接入控制)地址。該異常流量 檢測流程如圖4所示，包括以下步驟
步驟s401、核心交換機將流量鏡像發送到異常流量探測設備。
步驟s402、異常流量檢測設備探測分析流量，發現針對伺服器A的攻 擊流量，獲取力l務器A的IP位址和MAC地址。
步驟s403、異常流量探測設備通知業務管理設備伺服器A受到攻擊， 並通知業務管理設備伺服器A的IP位址和MAC地址。
業務管理設備接收到異常流量檢測設備發送的受到攻擊的伺服器IP 地址和MAC地址後向異常流量清洗設備下發防禦策略。該業務管理設備 的防禦策略下發流程如圖5所示，包括以下步驟
步驟s501、業務管理設備生成防禦策略。該防禦策略除了原有的清洗 策略外，還包括一條流量牽引策略。該流量牽引策略要求異常流量清洗設 備向核心交換機下發一條靜態ARP配置。該ARP配置的IP位址是受到攻 擊的伺服器IP位址，對應的MAC地址是異常流量清洗設備本身的MAC 地址。
步驟s502、業務管理設備向異常流量清洗設備下發防禦策略。
異常流量清洗設備收到防禦策略後，向攻擊流量經過的核心交換機下 發策略，如圖6所示，包括以下步驟
步驟s601、異常流量清洗設備接收業務管理設備發送的防禦策略。步驟s602、異常流量清洗設備配置清洗策略。
步驟s603、異常流量清洗設備根據流量牽引策略，向核心交換機下發 靜態ARP配置。該靜態ARP配置中，表項的IP位址是受到攻擊的伺服器 IP位址，對應的MAC地址是異常流量清洗設備本身的MAC地址。
核心交換機接收到該靜態ARP配置後，更新本地的ARP表項，如圖 7所示，包括以下步驟
步驟s701、核心交換機收到異常流量清洗設備發送的靜態ARP配置。
步驟s702、核心交換機執行該ARP配置後並生成一條靜態ARP表項， 該表項的IP位址是受到攻擊的伺服器IP位址，對應的MAC地址是異常流 量清洗設備的MAC地址。
需要說明的是，在生成靜態該ARP表項之前，在ARP表中針對IPA 已經存在一條由伺服器A的ARP報文生成的動態ARP表項。由於針對同 一 IP位址不能同時存在兩條ARP表項，且靜態ARP表項的優先級高於動 態生成的ARP表項，所以核心交換機會先刪除原本存在的動態ARP表項。 然後生成一條針對IP A的靜態ARP表項。
另外，由於靜態ARP表項的存在，後續伺服器A的ARP報文同樣無 法生成動態ARP表項。也就是說，在核心交換機上對受到攻擊的伺服器A 的IP位址IPA進行ARP解析時，會得到異常流量清洗設備B的MAC地 址，異常流量清洗i殳備B的MAC地址在核心交換機上對應的埠是連才妄 異常流量清洗設備的埠 。
核心交換機收到發往受攻擊伺服器的流量後，查找路由會得到 一條直 連路由，然後根據目的IP位址查找ARP表解析目的MAC地址，得到異 常流量清洗設備B的MAC地址。因此將原本直接發給伺服器的流量發給 異常流量清洗設備B。該流量牽引流程，如圖8所示，包括以下步驟 步驟s801、核心交換機收到發往受攻擊伺服器A的流量。 步驟s802、根據IPA查找路由，得到一條直連路由，確定出接口。步驟s803、根據目的地址IPA查找ARP表解析目的MAC地址，得到 異常流量清洗設備的MAC地址，出埠是連接異常流量清洗設備的埠。 步驟s804、將原本直接發給伺服器A的流量發給異常流量清洗設備B。
異常流量清洗設備對流量進行清洗後進行流量清洗回注，該流量清洗 回注流程，如圖9所示，包括以下步驟
步驟s901、異常流量清洗設備根據清洗策略對流量進行清洗。
步驟s902、將清洗後的流量才艮文目的MAC替換為ja務器A的MAC 地址，回注到核心交換機。
步驟s903、核心交換機根據Vlan和目的MAC將報文直接二層轉發給 伺服器A。
步驟s904、伺服器A收到報文後進行響應，預設網關是核心交換機。 通過核心交換機直接轉發出去，不會再經過流量清洗設備。
流量回注流程後，若異常流量探測設備發現對伺服器的攻擊停止時， 則進行流量清洗恢復，該流量清洗恢復流程如圖IO所示，包括以下步驟
步驟s1001、在異常流量探測設備發現針對伺服器的攻擊流量停止後， 通知業務管理設備。
步驟s1002、業務管理設備向異常流量清洗設備下發防雄卩策略，該防 御策略要求異常流量清洗設備刪除之前下發的牽引策略。
步驟s1003、異常流量清洗設備根據該策略向核心交換機下發刪除靜 態ARP的配置。
需要說明的是，核心交換機刪除靜態ARP表項後，伺服器A的ARP 淨艮文會生成的動態ARP表項。也就是說，在核心交換機上對受到攻擊的月良 務器A的IP位址進行ARP解析時，會得到伺服器A的MAC地址。
步驟sl004、流量的轉發流程恢復正常。
上述圖3至圖IO所描述的各流程中，以攻擊流量發生時，業務管理設備向異常流量清洗設備發送防禦策略、進而由異常流量清洗設備生成靜態
ARP配置並向攻擊流量經過的交換設備發送為例，說明了本發明中流量清 洗方法的具體實施方式
。在實際應用中，上述生成靜態ARP配置並向交換 設備發送的主體並不限於異常流量清洗設備，還可以是業務管理設備或流 量探測設備。
當由業務管理設備生成靜態ARP配置並向交換設備發送時，如圖11 所示，本發明還提供了一種流量清洗方法，應用於包括異常流量檢測設備、 異常流量清洗設備以及業務管理設備的流量清洗系統中，包括
步驟s1101、對網絡設備的攻擊流量發生時，業務管理設備生成靜態 ARP配置。
具體的，該攻擊流量發生的探測流程參見上述對於圖4的相關描述，在 此不再重複介紹。另夕卜，該靜態ARP配置的IP位址是所述受到攻擊的網絡設 備的IP位址，對應的MAC地址是所述異常流量清洗設備的MAC地址，對 應的埠是所述交換設備與所述異常流量清洗設備連接所使用的埠 。
步驟s1102、業務管理設備將所述靜態ARP配置向所述攻擊流量經過 的交換設備發送，以將交換設備上發往網絡設備的流量牽引到所述異常流 量清洗設備進行流量清洗。
如圖12所示，上述步驟sll02後，還可以包括 步驟sl103、所述交換設備解析並存儲所述靜態ARP配置。 該步驟可以具體參見上述對於圖7的相關描述，在此不再重複介紹。 步驟s1104、所述交換設備接收到發往所述受到攻擊的網絡設備的IP地 址的流量時，糹艮據所述靜態ARP配置，將所述流量通過與所述異常流量清洗 設備連接的埠發送到所述異常流量清洗設備。
該步驟可以具體參見上述對於圖8的相關描述，在此不再重複介紹。 步驟s1105、所述異常流量清洗設備將清洗後的流量報文的目的MAC替 換為所述受到攻擊的網絡設備的MAC地址，並向所述交換設備發送。 該步驟可以具體參見上述對於圖9的相關描述，在此不再重複介紹。 步驟s1106、所述交換設備將所述清洗後的流量報文發送到所述網絡設備。
步驟s1107、攻擊流量停止時，所述業務管理設備指示所述交換設備刪 除所述靜態ARP配置，停止將所述交換設備上發往所述網絡設備的流量牽引 到所述異常流量清洗設備。
本發明提供的上述方法中，在攻擊流量發生時，通過生成ARP配置並 向攻擊流量經過的交換設備發送，使得交換設備將攻擊流量發送到異常流 量清洗設備，由異常流量清洗設備對攻擊流量進行清洗，提高了整個系統 在流量清洗過程中的轉發性能和轉發效率；同時配置簡單靈活，不需要對 現有的網絡設備進行特殊^修改即可實現。
本發明還提供一種流量清洗系統，如圖13所示，包括異常流量檢測設備 10、業務管理設備20、以及異常流量清洗設備30，具體的
異常流量檢測設備10，用於在檢測到攻擊流量發生時，通知業務管理設 備20。
業務管理設備20，用於在異常流量檢測設備IO檢測到攻擊流量發生時， 向異常流量清洗設備30發送防禦策略。
異常流量清洗設備30，用於根據業務管理設備20發送的防禦策略，生成 靜態ARP配置並向攻擊流量經過的交換設備發送，該靜態ARP配置用於將交 換設備上發往網絡設備的流量牽引到本設備；對交換設備發送的流量進行清 洗，並將清洗後的流量通過交換設備回流到網絡設備。
具體的，如圖14所示，上述業務管理設備20進一步包括
防禦策略指示單元21,用於在攻擊流量發生時，向異常流量清洗設備30 發送防禦策略，所述防禦策略中包括流量清洗策略、以及對受到攻擊的網絡 設備地址的流量牽引策略。
防禦策略刪除單元22,用於在攻擊流量停止時，向異常流量清洗設備30 發送刪除防禦策略的指示。具體的，如圖15所示，上述異常流量清洗設備30進一步包括
防禦策略接收單元31，用於在對網絡設備的攻擊流量發生時，接收業務 管理設備20發送的防禦策略。
ARP配置生成單元32，用於根據防禦策略接收單元31接收的防禦策略， 生成靜態ARP配置，該靜態ARP配置用於將交換設備上發往網絡設備的流量 牽引到異常流量清洗設備30。該ARP配置生成單元32具體為，用於生成靜 態ARP配置，所述靜態ARP配置的IP位址是所述受到攻擊的網絡設備的IP 地址，對應的MAC地址是所述異常流量清洗設備的MAC地址。
ARP配置發送單元33，用於向所述攻擊流量經過的交換設備發送ARP 配置生成單元32生成的靜態ARP配置。
流量清洗單元34，用於對交換設備發送的流量進行清洗。
流量發送單元35,用於將流量清洗單元34清洗後的流量通過交換設備回 流到所述網絡設備。具體為將流量清洗單元34清洗後的流量報文的目的 MAC替換為所述受到攻擊的網絡設備的MAC地址，並向交換設備發送。
另外，該異常流量清洗i殳備30還包括
ARP配置刪除單元36，用於接收到業務管理設備20發送的刪除防禦策 略指示時，指示所述交換設備刪除所述靜態ARP配置，停止將交換設備上發 往網絡設備的流量牽引到本設備。
本發明還提供一種業務管理設備40，用於在攻擊流量發生時生成靜態 ARP配置並向交換設備發送，如圖16所示，包括
ARP配置生成單元41，用於在攻擊流量發生時，生成靜態ARP配置； 該ARP配置生成單元41具體為，用於生成靜態ARP配置，所述靜態ARP 配置的IP位址是所述受到攻擊的網絡設備的IP位址，對應的MAC地址是所 述異常流量清洗設備的MAC地址。
ARP配置發送單元42，用於將ARP配置生成單元41生成的靜態ARP 配置向所述攻擊流量經過的交換設備發送，以將所述交換設備上發往所述網 絡設備的流量牽引到所述異常流量清洗設備進行流量清洗。另外，該業務管理設備40還包括
ARP配置刪除單元43，用於當攻擊流量停止時，指示所述交換設備刪除 所述靜態ARP配置，停止將交換設備上發往網絡設備的流量牽引到異常流量 清洗設備。
本發明提供的上述系統和設備中，在攻擊流量發生時，通過生成ARP 配置並向攻擊流量經過的交換設備發送，使得交換設備將攻擊流量發送到 異常流量清洗設備，由異常流量清洗設備對攻擊流量進行清洗，提高了整 個系統在流量清洗過程中的轉發性能和轉發效率；同時配置簡單靈活，不 需要對現有的網絡設備進行特殊修改即可實現。
通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本 發明可以通過硬體實現，也可以藉助軟體加必要的通用硬體平臺的方式來 實現基於這樣的理解，本發明的技術方案可以以軟體產品的形式體現出來， 該軟體產品可以存儲在一個非易失性存儲介質(可以是CD-ROM， U盤， 移動硬碟等)中，包括若干指令用以使得一臺計算機設備(可以是個人計 算機，伺服器，或者網絡設備等)執行本發明各個實施例所述的方法。
以上所述僅是本發明的優選實施方式，應當指出，對於本技術領域的 普通技術人員來說，在不脫離本發明原理的前提下，還可以做出若干改進 和潤飾，這些改進和潤飾也應視為本發明的保護範圍。
權利要求
1、一種流量清洗方法，應用於包括異常流量檢測設備、異常流量清洗設備以及業務管理設備的流量清洗系統中，其特徵在於，包括對網絡設備的攻擊流量發生時，所述異常流量清洗設備接收所述業務管理設備發送的防禦策略；所述異常流量清洗設備根據所述防禦策略，生成靜態地址解析協議ARP配置並向所述攻擊流量經過的交換設備發送，所述靜態ARP配置用於將所述交換設備上發往所述網絡設備的流量牽引到所述異常流量清洗設備；所述異常流量清洗設備對所述交換設備發送的流量進行清洗；所述異常流量清洗設備將所述清洗後的流量通過所述交換設備回流到所述網絡設備。
2、 如權利要求l所述的方法，其特徵在於，所述異常流量清洗設備接收 所述業務管理設備發送的防禦策略前，還包括所述異常流量檢測設備探測到對網絡設備的攻擊流量時，通知所述業務管理設備受到攻擊的網絡設備地址；所述業務管理設備向異常流量清洗設備發送防禦策略，所述防禦策略中 包括流量清洗策略、以及對所述受到攻擊的網絡設備地址的流量牽引策略。
3、 如權利要求2所述的方法，其特徵在於，所述異常流量清洗設備根據 所述防禦策略，生成靜態ARP配置包括所述流量清洗設備生成靜態ARP配置，所述靜態ARP配置的IP位址是 所述受到攻擊的網絡設備的IP位址，對應的MAC地址是所述異常流量清洗 設備的MAC地址。
4、 如權利要求3所述的方法，其特徵在於，所述異常流量清洗設備根據 所述防禦策略，生成ARP配置並向所述攻擊流量經過的交換設備發送後，還 包括所述交換設備解析並存儲所述靜態ARP配置；所述交換設備接收到發往所述受到攻擊的網絡設備的IP位址的流量時， 根據所述靜態ARP配置，將所述流量通過與所述異常流量清洗i殳備連接的埠發送到所述異常流量清洗設備。
5、 如權利要求1或2所述的方法，其特徵在於，所述異常流量清洗設備 將所述清洗後的流量通過所述交換設備回流到所述網絡設備包括所述異常流量清洗設備將清洗後的流量^^文的目的MAC替換為所述受 到攻擊的網絡設備的MAC地址，並向所述交換設備發送；所述交換設備將所述清洗後的流量^^艮文回流到所述網絡設備。
6、 如權利要求1或2所述的方法，其特徵在於，所述異常流量清洗設備 對所述交換設備發送的流量進行清洗後，還包括攻擊流量停止時，所述異常流量清洗設備接收所述業務管理設備發送的 刪除防^f卸策略指示；所述異常流量清洗設備指示所述交換設備刪除所述靜態ARP配置，停止 將所述交換設備上發往所述網絡設備的流量牽引到所述異常流量清洗設備。
7、 一種異常流量清洗設備，其特徵在於，包括防禦策略接收單元，用於在對網絡設備的攻擊流量發生時，接收業務管 理設備發送的防禦策略；ARP配置生成單元，用於根據所述防禦策略接收單元接收的防禦策略， 生成靜態ARP配置；所述靜態ARP配置用於將所述交換設備上發往所述網絡 設備的流量牽引到所述異常流量清洗設備；ARP配置發送單元，用於向所述攻擊流量經過的交換設備發送所述ARP 配置生成單元生成的靜態ARP配置；流量清洗單元，用於對所述交換設備發送的流量進行清洗；流量發送單元，用於將所述流量清洗單元清洗後的流量通過所述交換設 備回流到所述網絡設備。
8、 如權利要求7所述的設備，其特徵在於，所述ARP配置生成單元具 體為，用於生成靜態ARP配置，所述靜態ARP配置的IP位址是所述受到攻 擊的網絡設備的IP位址，對應的MAC地址是所述異常流量清洗設備的MAC 地址。
9、 如權利要求7所述的設備，其特徵在於，所述流量發送單元具體用於 將所述流量清洗單元清洗後的流量報文的目的MAC替換為所述受到攻擊的 網絡設備的MAC地址，並向所述交換設備發送。
10、 如權利要求7所述的設備，其特徵在於，還包括ARP配置刪除單元，用於接收到所述業務管理設備發送的刪除防禦策略 指示時，指示所述交換設備刪除所述靜態ARP配置，停止將所述交換設備上 發往所述網絡設備的流量牽引到本設備。
11、 一種業務管理設備，其特徵在於，包括防禦策略指示單元，用於在攻擊流量發生時，向異常流量清洗設備發送 防禦策略，所述防禦策略中包括流量清洗策略、以及對受到攻擊的網絡設備 地址的流量牽引策略；防禦策略刪除單元，用於在攻擊流量停止時，向所述異常流量清洗設備 發送刪除防禦策略的指示。
12、 一種流量清洗系統，其特徵在於，包括異常流量檢測設備、異常流 量清洗設備以及業務管理設備；所述異常流量檢測設備，用於在檢測到對網絡設備的攻擊流量發生時， 通知所述業務管理設備；所述業務管理設備，用於在所述異常流量檢測設備檢測到攻擊流量發生 時，向所述常流量清洗設備發送防禦策略；所述異常流量清洗設備，用於根據所述業務管理設備發送的防禦策略， 生成靜態ARP配置並向所述攻擊流量經過的交換設備發送，所述靜態ARP 配置用於將所述交換設備上發往所述網絡設備的流量牽引到本設備；對所述 交換設備發送的流量進行清洗，並將所述清洗後的流量通過所述交換設備回 流到所述網絡設備。
13、 一種流量清洗方法，應用於包括異常流量檢測設備、異常流量清洗 設備以及業務管理設備的流量清洗系統中，其特徵在於，包括對網絡設備的攻擊流量發生時，所述業務管理設備生成靜態ARP配置；所述業務管理設備將所述靜態ARP配置向所述攻擊流量經過的交換設備 發送，以將所述交換設備上發往所述網絡設備的流量牽引到所述異常流量清 洗設備進行流量清洗。
14、 如權利要求13所述的方法，其特徵在於，所述業務管理設備生成靜 態ARP配置前還包4舌所述異常流量檢測設備探測到攻擊流量時，通知所述業務管理設備受到 攻擊的網絡設備地址。
15、 如權利要求14所述的方法，其特徵在於，所述業務管理設備生成靜 態ARP配置包括所述流量檢測設備生成靜態ARP配置，所述靜態ARP配置的IP位址是 所述受到攻擊的網絡設備的IP位址，對應的MAC地址是所述異常流量清洗 設備的MAC地址。
16、 如權利要求14所述的方法，其特徵在於，所述業務管理設備將所述 靜態ARP配置向所述攻擊流量經過的交換設備發送後，還包括所述交換設備解析並存儲所述靜態ARP配置；所述交換設備接收到發往所述受到攻擊的網絡設備的IP位址的流量時， 根據所述靜態ARP配置，將所述流量通過與所述異常流量清洗設備連接的端 口發送到所述異常流量清洗設備；所述異常流量清洗設備將清洗後的流量報文的目的MAC替換為所述受 到攻擊的網絡設備的MAC地址，並向所述交換設備發送；所述交換設備將所述清洗後的流量報文發送到所述網絡設備。
17、 如權利要求14所述的方法，其特徵在於，還包括攻擊流量停止時，所述業務管理設備指示所述交換設備刪除所述靜態 ARP配置，停止將所述交換設備上發往所述網絡設備的流量牽引到所述異常 流量清洗設備。
18、 一種業務管理設備，其特徵在於，包括ARP配置生成單元，用於在對網絡設備的攻擊流量發生時，生成靜態ARP配置；ARP配置發送單元，用於將所述靜態ARP配置向所述攻擊流量經過的交 換設備發送，以將所述交換設備上發往所述網絡設備的流量牽引到所述異常 流量清洗設備進行流量清洗。
19、 如權利要求18所述的業務管理設備，其特徵在於，所述ARP配置 生成單元具體為，用於生成靜態ARP配置，所述靜態ARP配置的IP位址是 所述受到攻擊的網絡設備的IP位址，對應的MAC地址是所述異常流量清洗 設備的MAC地址。
20、 如權利要求18所述的業務管理設備，其特徵在於，還包括ARP配置刪除單元，用於當攻擊流量停止時，指示所述交換設備刪除所 述靜態ARP配置，停止將所述交換設備上發往所述網絡設備的流量牽引到所 述異常流量清洗設備。
全文摘要
本發明公開了一種流量清洗方法、系統和設備。該方法應用於包括異常流量檢測設備、異常流量清洗設備以及業務管理設備的流量清洗系統中，本發明通過ARP仿冒方法，將向交換設備上發往受攻擊網絡設備的攻擊流量牽引到異常流量清洗設備上，由異常流量清洗設備對攻擊流量進行清洗並回流到網絡設備。通過使用本發明，提高了整個系統在流量清洗過程中的轉發性能和轉發效率；同時配置簡單靈活，不需要對現有的網絡設備進行特殊修改即可實現。
文檔編號H04L12/26GK101299724SQ200810126499
公開日2008年11月5日 申請日期2008年7月4日 優先權日2008年7月4日
發明者蔚 李 申請人:杭州華三通信技術有限公司