分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法及其裝置和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)領(lǐng)域���,具體而言���,涉及一種分布式拒絕服務(wù)DDoS攻擊的防護(hù)方 法及其裝置和系統(tǒng)��。
【背景技術(shù)】
[0002] 分布式拒絕服務(wù)(DDoS����,DistributedDenialofService)攻擊�����,指借助于客戶端 /服務(wù)器技術(shù)��,將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)�,對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從 而成倍地拒絕服務(wù)攻擊的威力����。通常,攻擊者使用一個(gè)偷竊賬號(hào)將DDoS主控程序安裝在一 個(gè)計(jì)算機(jī)上��,在一個(gè)設(shè)定的時(shí)間�����,主控程序?qū)⑴c大量代理程序通訊,其中�,代理程序已經(jīng)安 裝在Internet上的許多計(jì)算機(jī)上,代理程序收到指令時(shí)就發(fā)動(dòng)攻擊�。利用客戶/服務(wù)器技 術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行���,因?yàn)楣魰r(shí)���,攻擊數(shù)據(jù)包都是 經(jīng)過(guò)偽裝的,源IP地址也進(jìn)行了偽裝����,因而難以對(duì)攻擊進(jìn)行準(zhǔn)確區(qū)分���。
[0003] 目前�����,本領(lǐng)域技術(shù)人員通常采用流量清洗的方式來(lái)對(duì)DDoS攻擊進(jìn)行防護(hù)����,其中流 量清洗可以包括以下兩種方式:在發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)流量中隱藏的非法攻擊流量后��,及時(shí)通知并 激活防護(hù)設(shè)備進(jìn)行流量的清洗;在發(fā)現(xiàn)攻擊后�,通過(guò)專業(yè)的流量?jī)艋a(chǎn)品,將異常流量從原 始網(wǎng)絡(luò)路徑中重定向到凈化產(chǎn)品上����,進(jìn)行異常流量的識(shí)別和剝離,然后將還原出的合法流 量回注到原網(wǎng)絡(luò)中���,并轉(zhuǎn)發(fā)給目標(biāo)系統(tǒng)�,其他合法流量的轉(zhuǎn)發(fā)路徑不受影響����。
[0004] 進(jìn)一步,在本領(lǐng)域現(xiàn)有技術(shù)中�,通常采用的針對(duì)DDoS攻擊的流量清洗防護(hù)方法仍 然存在很多缺陷:有些防護(hù)方法由于清洗系統(tǒng)部署層級(jí)較高,而難以部署精細(xì)化的防護(hù)策 略����,進(jìn)而難以為客戶提供精細(xì)化的DDoS攻擊防護(hù);而還有些防護(hù)方法能為本地用戶提供清 洗防護(hù)�����,防護(hù)能力有限,無(wú)法有效應(yīng)對(duì)大規(guī)模�、超大規(guī)模的DDoS攻擊。
[0005] 此外���,現(xiàn)有的DDoS攻擊防護(hù)方案都需要人工來(lái)確認(rèn)防護(hù)的效果�,目前���,還并沒(méi)有 設(shè)置對(duì)防護(hù)的結(jié)果建立反饋機(jī)制�����。
[0006] 針對(duì)上述的問(wèn)題��,目前尚未提出有效的解決方案�����。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明實(shí)施例提供了一種分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法及其裝置和系 統(tǒng),以至少解決現(xiàn)有技術(shù)中僅基于靠近業(yè)務(wù)服務(wù)器的清洗設(shè)備進(jìn)行流量清洗所導(dǎo)致的防護(hù) 能力較低的技術(shù)問(wèn)題�����。
[0008] 根據(jù)本發(fā)明實(shí)施例的一個(gè)方面����,提供了一種分布式拒絕服務(wù)DDoS攻擊的防護(hù)方 法��,包括:接收到DDoS攻擊告警消息�����,其中��,上述DDoS攻擊告警消息用于指示業(yè)務(wù)服務(wù)器出 現(xiàn)DDoS攻擊��;響應(yīng)上述DDoS攻擊告警消息獲取防護(hù)配置參數(shù)��,其中�,上述防護(hù)配置參數(shù)用 于對(duì)發(fā)送到上述業(yè)務(wù)服務(wù)器的數(shù)據(jù)包進(jìn)行過(guò)濾��;將上述防護(hù)配置參數(shù)發(fā)送到多級(jí)流量清洗 系統(tǒng)��,以指示上述多級(jí)流量清洗系統(tǒng)根據(jù)接收到的上述防護(hù)配置參數(shù)對(duì)發(fā)送到上述業(yè)務(wù)服 務(wù)器的數(shù)據(jù)包進(jìn)行過(guò)濾���,其中����,上述多級(jí)流量清洗系統(tǒng)包括位于骨干網(wǎng)節(jié)點(diǎn)的第一流量清 洗系統(tǒng)和位于互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC��,InternetDataCenter)入口的第二流量清洗系統(tǒng)。
[0009] 根據(jù)本發(fā)明實(shí)施例的另一方面�����,還提供了一種分布式拒絕服務(wù)DDoS攻擊的防護(hù) 裝置�,包括:第一接收單元,用于接收到DDoS攻擊告警消息�,其中,上述DDoS攻擊告警消息 用于指示業(yè)務(wù)服務(wù)器出現(xiàn)DDoS攻擊����;獲取單元,用于響應(yīng)上述DDoS攻擊告警消息獲取防護(hù) 配置參數(shù)��,其中�,上述防護(hù)配置參數(shù)用于對(duì)發(fā)送到上述業(yè)務(wù)服務(wù)器的數(shù)據(jù)包進(jìn)行過(guò)濾;第一 發(fā)送單元��,用于將上述防護(hù)配置參數(shù)發(fā)送到多級(jí)流量清洗系統(tǒng)����,以指示上述多級(jí)流量清洗 系統(tǒng)根據(jù)接收到的上述防護(hù)配置參數(shù)對(duì)發(fā)送到上述業(yè)務(wù)服務(wù)器的數(shù)據(jù)包進(jìn)行過(guò)濾��,其中�����, 上述多級(jí)流量清洗系統(tǒng)包括位于骨干網(wǎng)節(jié)點(diǎn)的第一流量清洗系統(tǒng)和位于互聯(lián)網(wǎng)數(shù)據(jù)中心 IDC入口的第二流量清洗系統(tǒng)。
[0010] 根據(jù)本發(fā)明實(shí)施例的又一方面���,還提供了一種分布式拒絕服務(wù)DDoS攻擊的防護(hù) 系統(tǒng)����,其包括:流量監(jiān)測(cè)服務(wù)器���,用于向聯(lián)動(dòng)配置服務(wù)器發(fā)送DDoS攻擊告警信息���,其中,上 述DDoS攻擊告警消息用于指示業(yè)務(wù)服務(wù)器出現(xiàn)DDoS攻擊��;上述聯(lián)動(dòng)配置服務(wù)器��,用于根據(jù) 接收到的DDoS攻擊告警信息獲取防護(hù)配置參數(shù)�����,并將上述防護(hù)配置參數(shù)發(fā)送到多級(jí)流量 清洗服務(wù)器�,以指示上述多級(jí)流量清洗服務(wù)器根據(jù)接收到的上述防護(hù)配置參數(shù)對(duì)發(fā)送到上 述業(yè)務(wù)服務(wù)器的數(shù)據(jù)包進(jìn)行過(guò)濾;上述多級(jí)流量清洗服務(wù)器�����,用于根據(jù)接收到的上述防護(hù) 配置參數(shù)對(duì)發(fā)送到上述業(yè)務(wù)服務(wù)器的數(shù)據(jù)包進(jìn)行過(guò)濾,其中����,上述多級(jí)流量清洗系統(tǒng)包括 位于骨干網(wǎng)節(jié)點(diǎn)的第一流量清洗服務(wù)器和位于互聯(lián)網(wǎng)數(shù)據(jù)中心IDC入口的第二流量清洗 服務(wù)器;其中�,上述第二流量清洗服務(wù)器被設(shè)置為對(duì)經(jīng)過(guò)上述第一流量清洗服務(wù)器過(guò)濾后 的數(shù)據(jù)包進(jìn)行再次過(guò)濾,并將上述再次過(guò)濾后得到的數(shù)據(jù)包發(fā)送到上述業(yè)務(wù)服務(wù)器�����。
[0011] 在本發(fā)明實(shí)施例中����,通過(guò)在骨干網(wǎng)節(jié)點(diǎn)和互聯(lián)網(wǎng)數(shù)據(jù)中心入口進(jìn)行多級(jí)流量清 洗,避免了僅基于靠近業(yè)務(wù)服務(wù)器的清洗設(shè)備進(jìn)行流量清洗所導(dǎo)致的防護(hù)能力較低的技術(shù) 問(wèn)題��,從而通過(guò)設(shè)置在骨干網(wǎng)節(jié)點(diǎn)上的流量清洗系統(tǒng)可以防御大規(guī)模����、超大規(guī)模的DDoS攻 擊,并通過(guò)設(shè)置在IDC入口處的流量清洗系統(tǒng)提高流量清洗的精度����。
[0012] 此外���,通過(guò)聯(lián)動(dòng)反饋機(jī)制�����,根據(jù)過(guò)濾后的反饋信息對(duì)業(yè)務(wù)服務(wù)器的防護(hù)配置參數(shù) 進(jìn)行及時(shí)的調(diào)整修改�����,以使對(duì)業(yè)務(wù)服務(wù)器的清洗過(guò)濾持續(xù)有效�����,從而實(shí)現(xiàn)了進(jìn)一步提高對(duì) DDoS攻擊的防護(hù)能力以及對(duì)DDoS攻擊的清洗精度的技術(shù)效果����。
【附圖說(shuō)明】
[0013] 此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分����,本發(fā) 明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定�。在附圖中:
[0014] 圖1是根據(jù)本發(fā)明實(shí)施例的一種可選的分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法所 在網(wǎng)絡(luò)的結(jié)構(gòu)示意圖;
[0015] 圖2是根據(jù)本發(fā)明實(shí)施例的一種可選的分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法的 流程圖�;
[0016] 圖3是根據(jù)本發(fā)明實(shí)施例的一種可選的分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法的 應(yīng)用場(chǎng)景的不意圖��;
[0017] 圖4是根據(jù)本發(fā)明實(shí)施例的一種可選的分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法所 應(yīng)用的系統(tǒng)的不意圖���;
[0018] 圖5是根據(jù)本發(fā)明實(shí)施例的另一種可選的分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法 的流程圖;
[0019] 圖6是根據(jù)本發(fā)明實(shí)施例的另一種可選的分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法 的流程圖�;
[0020] 圖7是根據(jù)本發(fā)明實(shí)施例的一種可選的分布式拒絕服務(wù)DDoS攻擊的防護(hù)裝置的 示意圖;
[0021] 圖8是根據(jù)本發(fā)明實(shí)施例的另一種可選的分布式拒絕服務(wù)DDoS攻擊的防護(hù)裝置 的不意圖�����;以及
[0022] 圖9是根據(jù)本發(fā)明實(shí)施例的一種用于存儲(chǔ)執(zhí)行分布式拒絕服務(wù)DDoS攻擊的防護(hù) 方法的程序代碼的存儲(chǔ)介質(zhì)���。
【具體實(shí)施方式】
[0023] 為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案�,下面將結(jié)合本發(fā)明實(shí)施例中的 附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�、完整地描述,顯然����,所描述的實(shí)施例僅僅是 本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例�?����;诒景l(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù) 人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例����,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范 圍。
[0024] 需要說(shuō)明的是�,本發(fā)明的說(shuō)明書(shū)和權(quán)利要求書(shū)及上述附圖中的術(shù)語(yǔ)"第一"、"第 二"等是用于區(qū)別類似的對(duì)象�,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用 的數(shù)據(jù)在適當(dāng)情況下可以互換�,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或 描述的那些以外的順序?qū)嵤4送?�,術(shù)語(yǔ)"包括"和"具有"以及他們的任何變形�,意圖在于 覆蓋不排他的包含,例如���,包含了一系列步驟或單元的過(guò)程��、方法��、系統(tǒng)���、產(chǎn)品或設(shè)備不必限 于清楚地列出的那些步驟或單元����,而是可包括沒(méi)有清楚地列出的或?qū)τ谶@些過(guò)程�����、方法����、產(chǎn) 品或設(shè)備固有的其它步驟或單元。
[0025] 實(shí)施例1
[0026] 根據(jù)本發(fā)明實(shí)施例��,提供了 一種分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法�����,在本 實(shí)施例中上述分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法可以應(yīng)用于如圖1所示的網(wǎng)絡(luò)中���, 其中���,上述網(wǎng)絡(luò)包括但不限于:骨干網(wǎng)�、骨干網(wǎng)下的城域網(wǎng)�����、城域網(wǎng)下的互聯(lián)網(wǎng)數(shù)據(jù)中心 IDC(InternetDataCenter)��、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)下的業(yè)務(wù)服務(wù)器以及與骨干網(wǎng)連接的 客戶端����?���?蛇x地,在本實(shí)施例中骨干網(wǎng)下的城域網(wǎng)也可以但不限于視為上述網(wǎng)絡(luò)中的骨干 網(wǎng)��。
[0027] 例如����,如圖1所示,骨干網(wǎng)與城域網(wǎng)1和城域網(wǎng)2連接��,其中����,城域網(wǎng)1中包括互 聯(lián)網(wǎng)數(shù)據(jù)中心IDC-I以及互聯(lián)網(wǎng)數(shù)據(jù)中心IDC-2,互聯(lián)網(wǎng)數(shù)據(jù)中心IDC-I中包括業(yè)務(wù)服務(wù) 器102-1互聯(lián)網(wǎng)數(shù)據(jù)中心IDC-2中包括業(yè)務(wù)服務(wù)器102-2 ;城域網(wǎng)2中包括互聯(lián)網(wǎng)數(shù)據(jù)中 心IDC-3以及互聯(lián)網(wǎng)數(shù)據(jù)中心IDC-4,互聯(lián)網(wǎng)數(shù)據(jù)中心IDC-3中包括業(yè)務(wù)服務(wù)器102-3互 聯(lián)網(wǎng)數(shù)據(jù)中心IDC-4中包括業(yè)務(wù)服務(wù)器102-4 ;此外�,骨干網(wǎng)還與客戶端連接��,例如�����,客戶端 104-1�����、客戶端104-2�、客戶端104-3。上述網(wǎng)絡(luò)中的客戶端通過(guò)骨干網(wǎng)與業(yè)務(wù)服務(wù)器建立連 接����,進(jìn)而實(shí)現(xiàn)對(duì)業(yè)務(wù)服務(wù)器中的相應(yīng)業(yè)務(wù)的請(qǐng)求。上述舉例只是一種示例��,本實(shí)施例對(duì)此不 做任何限定��。
[0028] 可選地��,在本實(shí)施例中上述分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法�����,如圖2所示,該 方法包括:
[0029]S202,接收到DDoS攻擊告警消息�����,其中�,DDoS攻擊告警消息用于指示業(yè)務(wù)服務(wù)器 出現(xiàn)DDoS攻擊;
[0030]S204,響應(yīng)DDoS攻擊告警消息獲取防護(hù)配置參數(shù)�����,其中����,防護(hù)配置參數(shù)用于對(duì)發(fā) 送到業(yè)務(wù)服務(wù)器的數(shù)據(jù)包進(jìn)行過(guò)濾�����;
[0031] S206,將防護(hù)配置參數(shù)發(fā)送到多級(jí)流量清洗系統(tǒng)�����,以指示多級(jí)流量清洗系統(tǒng)根據(jù) 接收到的防護(hù)配置參數(shù)對(duì)發(fā)送到業(yè)務(wù)服務(wù)器的數(shù)據(jù)包進(jìn)行過(guò)濾��,其中,多級(jí)流量清洗系統(tǒng) 包括位于骨干網(wǎng)節(jié)點(diǎn)的第一流量清洗系統(tǒng)和位于互聯(lián)網(wǎng)數(shù)據(jù)中心IDC入口的第二流量清 洗系統(tǒng)�。
[0032] 可選地,在本實(shí)施例中����,上述分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法可以由如圖3 所示的網(wǎng)絡(luò)中的多個(gè)網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)。例如�,結(jié)合圖3進(jìn)行說(shuō)明,流量監(jiān)測(cè)服務(wù)器302將對(duì) 骨干網(wǎng)全網(wǎng)中的業(yè)務(wù)流量進(jìn)行實(shí)時(shí)監(jiān)控��,然后對(duì)已確認(rèn)的DDoS攻擊告警消息發(fā)送到全局 聯(lián)動(dòng)配置服務(wù)器304中���,由全局聯(lián)動(dòng)配置服務(wù)器304將獲取的防護(hù)配置參數(shù)以及觸發(fā)清洗 操作的系統(tǒng)消息下發(fā)至骨干網(wǎng)節(jié)點(diǎn)處的第一流量清洗服務(wù)器306-1���、第一流量清洗服務(wù)器 306-2、第一流量清洗服務(wù)器306-3���、第一流量清洗服務(wù)器306-4,其中�,上述防護(hù)配置參數(shù) 可以由內(nèi)置于全局聯(lián)動(dòng)配置服務(wù)器304中的業(yè)務(wù)防護(hù)配置策略庫(kù)獲取����,其中,上述業(yè)務(wù)防 護(hù)配置策略庫(kù)并不限于內(nèi)置于全局聯(lián)動(dòng)配置服務(wù)器304中�。
[0033] 進(jìn)一步�����,上述第一流量清洗服務(wù)器306-1���、第一流量清洗服務(wù)器306-2、第一流量 清洗服務(wù)器306-3����、第一流量清洗服務(wù)器306-4會(huì)將過(guò)濾后得到的數(shù)據(jù)包由城域網(wǎng)1、城域 網(wǎng)2��、城域網(wǎng)3或城域網(wǎng)4,發(fā)送至第二流量清洗服務(wù)器308-1���、第二流量清洗服務(wù)器308-2����、 第二流量清洗服務(wù)器308-3���、第二流量清洗服務(wù)器308-4,進(jìn)行再次過(guò)濾。
[0034] 其中����,一個(gè)或多個(gè)城域網(wǎng)可以共享區(qū)域聯(lián)動(dòng)配置服務(wù)器(例如�����,城域網(wǎng)1與城域網(wǎng) 2共用區(qū)域聯(lián)動(dòng)配置服務(wù)器310-1��,城域網(wǎng)3與城域網(wǎng)4共用區(qū)域聯(lián)動(dòng)配置服務(wù)器310-2)�����, 以達(dá)到實(shí)時(shí)監(jiān)控業(yè)務(wù)流量的效果��,然后��,將區(qū)域聯(lián)動(dòng)配置服務(wù)器310-1以及區(qū)域聯(lián)動(dòng)配置 服務(wù)器310-2的區(qū)域內(nèi)的反饋信息集中通過(guò)骨干網(wǎng)反饋至全局聯(lián)動(dòng)配置服務(wù)器304,以使 全局聯(lián)動(dòng)配置服務(wù)器304可以實(shí)時(shí)更新防護(hù)配置參數(shù)����,以得到更新后的防護(hù)配置參數(shù)��。
[0035] 可選地��,在本實(shí)施例中��,上述分布式拒絕服務(wù)DDoS攻擊的防護(hù)方法可以應(yīng)用于如 圖4所示的分布式拒絕服務(wù)DDoS攻擊的防護(hù)系統(tǒng)中���,其中����,上述系統(tǒng)包括以下內(nèi)容:
[0036] 1)流量監(jiān)測(cè)子系統(tǒng)402 :對(duì)全網(wǎng)的業(yè)務(wù)流量進(jìn)行實(shí)時(shí)監(jiān)控,搜尋可疑的DDoS攻擊 行為����,并通過(guò)實(shí)時(shí)對(duì)業(yè)務(wù)服務(wù)器的業(yè)務(wù)探測(cè)監(jiān)控,以及由歷史數(shù)據(jù)得到的業(yè)務(wù)服務(wù)器的業(yè) 務(wù)流量基線對(duì)DDoS行為進(jìn)行確認(rèn)���,其中��,上述由歷史數(shù)據(jù)得到的業(yè)務(wù)服務(wù)器的業(yè)務(wù)流量基 線統(tǒng)計(jì)的時(shí)間單位可以包括但不限于:1分鐘�����、1小時(shí)����、1天����、1個(gè)月。通過(guò)上述業(yè)務(wù)流量基線 實(shí)現(xiàn)判斷業(yè)務(wù)服務(wù)器是否受到客戶端發(fā)起的DDoS攻擊���。其中�,上述業(yè)務(wù)流量基線可以包括 但不限于:上述時(shí)間單位內(nèi)統(tǒng)計(jì)的業(yè)務(wù)流量的平均值�����。
[0037] 例如��,由上述流量監(jiān)測(cè)子系統(tǒng)402監(jiān)測(cè)可以監(jiān)測(cè)到上述圖1中所示的客戶端在單 位時(shí)間(例如����,1小時(shí))內(nèi)向業(yè)務(wù)服務(wù)器-1、業(yè)務(wù)服務(wù)器-2����、業(yè)務(wù)服務(wù)器-3、業(yè)務(wù)服務(wù)器 102-4)發(fā)送的數(shù)據(jù)包的數(shù)量���。例如�����,如表1示出了客戶端在13 :00-14:00��、14 :00-15 :00����、 15:00-16 :00三個(gè)小時(shí)向業(yè)務(wù)服務(wù)器102-1、業(yè)務(wù)服務(wù)器102-2����、業(yè)務(wù)服務(wù)器102-3、業(yè)務(wù)服 務(wù)器102-4發(fā)送的數(shù)據(jù)包的數(shù)量�����,以及由上述時(shí)間段統(tǒng)計(jì)得到的上述業(yè)務(wù)服務(wù)器的業(yè)務(wù)流 量基線�����。
[0038] 表I
[0039]
[0040] 2)全局聯(lián)動(dòng)配置中心404 :對(duì)已確認(rèn)DDoS事件的安全報(bào)警�����,首先根據(jù)業(yè)務(wù)服務(wù)器 的當(dāng)前狀態(tài)信息獲取上述業(yè)務(wù)服務(wù)器的防護(hù)策略(包括防護(hù)配置參數(shù))����,并將上述防護(hù)策 略下發(fā)至多級(jí)流量清洗系統(tǒng),同時(shí)向多級(jí)流量清洗系統(tǒng)發(fā)送觸發(fā)清洗操作的系統(tǒng)消息�����,并 將該DDoS異常流量牽引至上述流量清洗系統(tǒng),以使全局聯(lián)動(dòng)配置中心404可以實(shí)時(shí)根據(jù)客 戶端以及業(yè)務(wù)服務(wù)器的業(yè)務(wù)流量���,以及客戶的優(yōu)先級(jí),啟用分層級(jí)的防護(hù)策略����,為用戶提供 更加精細(xì)的防護(hù)。
[0041] 可選地����,在本實(shí)施例中,IDC入口的防護(hù)策略(精細(xì)防護(hù)策略)可以比骨干網(wǎng)的防 護(hù)策略(粗略防護(hù)策略)更為嚴(yán)格�,例如,IDC入口的防護(hù)策略中的防護(hù)配置參數(shù)要多于骨 干網(wǎng)的防護(hù)策略中的防護(hù)配置參數(shù)���,或者���,對(duì)于相同的防護(hù)配置參數(shù),IDC入口的防護(hù)配置 參數(shù)的取值大于或小于骨干網(wǎng)的防護(hù)策略中的防護(hù)配置參數(shù)的取值����。
[0042] 例如,骨干網(wǎng)的防護(hù)策略可以但不限于:使單位時(shí)間內(nèi)發(fā)送到業(yè)務(wù)服務(wù)器的數(shù)據(jù) 包不超過(guò)N個(gè)���;IDC入口的防護(hù)策略可以但不限于:使單位時(shí)間內(nèi)發(fā)送到業(yè)務(wù)服務(wù)器的數(shù)據(jù) 包不超過(guò)M個(gè)�,其中,N大于M�����。
[0043] 又例如�,骨干網(wǎng)的防護(hù)策略可以但不限于:使單位時(shí)間內(nèi)發(fā)送到業(yè)務(wù)服務(wù)器的數(shù) 據(jù)包不超過(guò)N個(gè);IDC入口的防護(hù)策略可以但不限于:使單位時(shí)間內(nèi)來(lái)自于第一源IP地址 (例如����,10. 10. 0. 1)、且發(fā)送到業(yè)務(wù)服務(wù)器的數(shù)據(jù)包不超過(guò)M個(gè)����,其中,N大于M�。
[0044] 3)業(yè)務(wù)服務(wù)器健康度監(jiān)控系統(tǒng)406 :對(duì)需要保護(hù)的業(yè)務(wù),或者業(yè)務(wù)服務(wù)器所在的 目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)質(zhì)量進(jìn)行實(shí)時(shí)的健康度監(jiān)控�����,若發(fā)現(xiàn)業(yè)務(wù)或目標(biāo)網(wǎng)絡(luò)出現(xiàn)了告警����,則對(duì)上 述業(yè)務(wù)或目標(biāo)網(wǎng)絡(luò)進(jìn)行相應(yīng)的過(guò)濾操作����,并將過(guò)濾后的結(jié)果反饋至全局聯(lián)動(dòng)配置中心404 或者區(qū)域聯(lián)動(dòng)配置中心408。同時(shí),在本實(shí)施例中也可以對(duì)執(zhí)行完過(guò)濾操作后的業(yè)務(wù)服務(wù)器 進(jìn)行持續(xù)健康度監(jiān)控,以達(dá)到及時(shí)發(fā)現(xiàn)上述防護(hù)策略是否有問(wèn)題,以及清洗對(duì)業(yè)務(wù)正常流 量是否存在誤操作的目的����。
[0045] 4)區(qū)域聯(lián)動(dòng)配置中心408 :接收來(lái)自業(yè)務(wù)服務(wù)器健康度監(jiān)控系統(tǒng)406的實(shí)時(shí)監(jiān)控 反饋��,如果業(yè)務(wù)服務(wù)器上的業(yè)務(wù)持續(xù)受到影響�,則會(huì)將多級(jí)流量清洗系統(tǒng)根據(jù)防護(hù)配置參 數(shù)執(zhí)行過(guò)濾操作后的反饋信息反饋至全局聯(lián)動(dòng)配置中心404,由全局聯(lián)動(dòng)配置中心404及 時(shí)更新防護(hù)策略(包括更新防護(hù)策略中的防護(hù)配置參數(shù)),并將更新后的防護(hù)策略(包括更 新后的防護(hù)配置參數(shù))重新下發(fā)至多級(jí)流量清洗系統(tǒng)410��。
[0046] 5)多級(jí)流量清洗系統(tǒng)410 :多級(jí)流量清洗系統(tǒng)410分別部署在骨干網(wǎng)節(jié)點(diǎn)處���、城域 網(wǎng)入口處以及互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)入口處�。在接收到觸發(fā)清洗操作的系統(tǒng)消息后���,則對(duì) 指定IP的業(yè)務(wù)服務(wù)器中疑似DDoS攻擊的異常流量進(jìn)行清洗��;此外��,多級(jí)流量清洗系統(tǒng)410 還主要負(fù)責(zé)在靠近發(fā)送數(shù)據(jù)包的客戶端處對(duì)進(jìn)入骨干網(wǎng)的跨域攻擊流量進(jìn)行清洗(可以 稱為"基于源端的清洗防護(hù)方式")����,并且上述清洗遵循"就近清洗"的原則。清洗后正常的 業(yè)務(wù)流量將通過(guò)網(wǎng)絡(luò)回注到目標(biāo)服務(wù)器(例如�,數(shù)據(jù)包所需發(fā)送到的業(yè)務(wù)服務(wù)器)所在的 本地網(wǎng)絡(luò)。在上述系統(tǒng)中�����,分布式地位于骨干網(wǎng)節(jié)點(diǎn)的流量清洗系統(tǒng)和位于城域網(wǎng)入口的 流量清洗系統(tǒng)使用基于源端的清洗防護(hù)方式�����,負(fù)責(zé)在骨干網(wǎng)層面清洗攻擊流量�,而位于互 聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)入口的流量清洗系統(tǒng)則采用基于末端的清洗防護(hù)方式(即,采用靠近 上述業(yè)務(wù)服務(wù)器的流量清洗系統(tǒng)進(jìn)行流量清洗)���,負(fù)責(zé)清洗本地內(nèi)部攻擊流量以及對(duì)上一 層已清洗過(guò)的流量進(jìn)行反復(fù)清洗�����,從而構(gòu)成多層聯(lián)動(dòng)的清洗機(jī)制�。
[0047] 可選地��,在本實(shí)施例中�,多級(jí)流量清洗系統(tǒng)410可以包括但不限于:位于骨干網(wǎng)節(jié) 點(diǎn)的第一流量清洗系統(tǒng)和位于互聯(lián)網(wǎng)數(shù)據(jù)中心IDC入口的第二流量清洗系統(tǒng)�����?���?蛇x地�,結(jié) 合圖1和圖4所示,在本實(shí)施例中上述位于骨干網(wǎng)節(jié)點(diǎn)的第一流量清洗系統(tǒng)與位于互聯(lián)網(wǎng) 數(shù)據(jù)中心IDC入口的第二流量清洗系統(tǒng)之間還可以但不限于包括:位于城域網(wǎng)入口的流量 清洗系統(tǒng)����。
[0048] 可選地���,在本