CN107819733A - 用户自助执行黑洞路由的方法、装置和*** - Google Patents

用户自助执行黑洞路由的方法、装置和*** Download PDF

Info

Publication number
CN107819733A
CN107819733A CN201610823297.0A CN201610823297A CN107819733A CN 107819733 A CN107819733 A CN 107819733A CN 201610823297 A CN201610823297 A CN 201610823297A CN 107819733 A CN107819733 A CN 107819733A
Authority
CN
China
Prior art keywords
blackhole route
address
blackhole
route
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610823297.0A
Other languages
English (en)
Other versions
CN107819733B (zh
Inventor
舒园园
刘长生
魏渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201610823297.0A priority Critical patent/CN107819733B/zh
Publication of CN107819733A publication Critical patent/CN107819733A/zh
Application granted granted Critical
Publication of CN107819733B publication Critical patent/CN107819733B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种用户自助执行黑洞路由的方法、装置和***。该方法包括:接收用户终端发送的黑洞路由请求;从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址;向黑洞路由服务器发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器对所述黑洞路由IP地址执行黑洞路由指令。本发明可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明具有实用性强、使用方便、实时响应、适用性广的优点。

Description

用户自助执行黑洞路由的方法、装置和***
技术领域
本发明涉及数据通信、网络安全领域,特别涉及一种用户自助执行黑洞路由的方法、装置和***。
背景技术
随着互联网的迅猛发展,互联网用户特别是IDC(Internet Data Center,互联网数据中心)/ISP(Internet Service Provider,互联网服务提供商)用户遭受到网络攻击的风险也呈几何倍数增加,目前如果IDC/ISP用户的某个IP受到攻击,用户只有联系运营商,由运营商对其IP进行黑洞路由封堵,然而从用户遭受攻击到运营商接收到用户申诉进行受理,整个时长短则几十分钟,长则几个小时,一般情况下,网络攻击不会持续特别长的时间,有时,还没有等到维护人员对用户IP进行处理,攻击已经结束。处理的滞后性和周转时间长的弊端给用户的业务带来直接的经济损失和负面影响,也造成了大量的用户投诉。
黑洞路由,是将所有无关路由吸入其中,使他们有来无回的路由。黑洞路由最大的好处是充分利用了路由器的包转发能力,对***负载影响非常小,所以,一直是解决DDOS(Distributed denial of service attack,分布式拒绝服务攻击)攻击的好办法。黑洞路由一般由运营商用于网络管理,对特定地址进行封堵。在骨干网与各城域网、IDC出口核心路由器建立eBGP(External Border Gateway Protocol,外部边界网关协议)邻居关系,用于发布黑洞路由消息,只用于运营商自身的网络维护,不对用户开放。
发明内容
鉴于以上技术问题,本发明提供了一种用户自助执行黑洞路由的方法和***、黑洞路由自服务平台以及黑洞路由服务器,可以实现用户按需自助操作IP的黑洞路由。
根据本发明的一个方面,提供一种用户自助执行黑洞路由的方法,包括:
接收用户终端发送的黑洞路由请求;
从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
向黑洞路由服务器发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器对所述黑洞路由IP地址执行黑洞路由指令。
在本发明的一个实施例中,所述从所述黑洞路由请求中提取出黑洞路由IP地址之后,还包括:
判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;
若所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中,则不向黑洞路由服务器发送黑洞路由指令;
若所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中,则执行向黑洞路由服务器发送黑洞路由指令的步骤。
在本发明的一个实施例中,所述方法还包括:
从所述黑洞路由请求中提取出用户平台账号;
根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址;
判断所述黑洞路由IP地址是否属于所述用户IP地址集合;
若所述黑洞路由IP地址不属于所述用户IP地址集合,则不向黑洞路由服务器发送黑洞路由指令;
若所述黑洞路由IP地址属于所述用户IP地址集合,则执行判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中的步骤。
在本发明的一个实施例中,所述方法还包括:
接收用户终端发送的账号开通请求;
根据用户终端的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
根据本发明的另一方面,提供一种用户自助执行黑洞路由的方法,包括:
接收黑洞路由自服务平台发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台从用户终端发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
对所述黑洞路由IP地址执行黑洞路由指令。
根据本发明的另一方面,提供一种黑洞路由自服务平台,包括黑洞路由请求接收模块、黑洞路由IP提取模块和黑洞路由指令发送模块,其中:
黑洞路由请求接收模块,用于接收用户终端发送的黑洞路由请求;
黑洞路由IP提取模块,用于从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
黑洞路由指令发送模块,用于向黑洞路由服务器发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器对所述黑洞路由IP地址执行黑洞路由指令。
在本发明的一个实施例中,所述黑洞路由自服务平台还包括第一IP地址判断模块,其中:
第一IP地址判断模块,用于在黑洞路由IP提取模块从所述黑洞路由请求中提取出黑洞路由IP地址之后,判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;在所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中的情况下,不向黑洞路由服务器发送黑洞路由指令;在所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中的情况下,指示黑洞路由指令发送模块执行向黑洞路由服务器发送黑洞路由指令的操作。
在本发明的一个实施例中,所述黑洞路由自服务平台还包括用户平台账号提取模块、用户IP地址集合获取模块和第二IP地址判断模块,其中:
用户平台账号提取模块,用于从所述黑洞路由请求中提取出用户平台账号;
用户IP地址集合获取模块,用于根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址;
第二IP地址判断模块,用于判断黑洞路由IP提取模块提取的所述黑洞路由IP地址是否属于用户IP地址集合获取模块获取的所述用户IP地址集合;在所述黑洞路由IP地址不属于所述用户IP地址集合的情况下,不向黑洞路由服务器发送黑洞路由指令;在所述黑洞路由IP地址属于所述用户IP地址集合的情况下,指示第一IP地址判断模块执行判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中的操作。
在本发明的一个实施例中,所述黑洞路由自服务平台还包括账号开通请求接收模块和账号开通模块,其中:
账号开通请求接收模块,用于接收用户终端发送的账号开通请求;
账号开通模块,用于根据用户终端的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
根据本发明的另一方面,提供一种黑洞路由服务器,包括黑洞路由指令接收模块和黑洞路由指令执行模块,其中:
黑洞路由指令接收模块,用于接收黑洞路由自服务平台发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台从用户终端发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
黑洞路由指令执行模块,用于对所述黑洞路由IP地址执行黑洞路由指令。
根据本发明的另一方面,提供一种用户自助执行黑洞路由的***,包括用户终端、如上述任一实施例所述的黑洞路由自服务平台、以及如上述任一实施例所述的黑洞路由服务器。
本发明可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明具有实用性强、使用方便、实时响应、适用性广的优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明用户自助执行黑洞路由的***第一实施例的示意图。
图2为本发明用户自助执行黑洞路由的***第二实施例的示意图。
图3为本发明用户自助执行黑洞路由的方法第一实施例的示意图。
图4为本发明一个实施例中部署黑洞路由自服务平台的实施效果示意图。
图5为本发明一个实施例中部署黑洞路由自服务平台的响应时间示意图。
图6为本发明黑洞路由自服务平台第一实施例的示意图。
图7为本发明黑洞路由自服务平台第二实施例的示意图。
图8为本发明黑洞路由自服务平台第三实施例的示意图。
图9为本发明黑洞路由自服务平台第四实施例的示意图。
图10为本发明用户自助执行黑洞路由的方法第二实施例的示意图。
图11为本发明黑洞路由服务器第一实施例的示意图。
图12为本发明用户自助执行黑洞路由的方法第三实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明用户自助执行黑洞路由的***第一实施例的示意图。如图1所示,所述用户自助执行黑洞路由的***包括用户终端1、黑洞路由自服务平台2和黑洞路由服务器3,其中:
黑洞路由自服务平台2和黑洞路由服务器3对接;黑洞路由服务器3跟自治域出口核心路由器4对接。
在本发明的一个实施例中,黑洞路由服务器3既可以是新部署的,也可以是在网的;黑洞路由服务器3既可以是物理服务器,也可以是虚拟机。
在本发明的一个实施例中,黑洞路由自服务平台2和黑洞路由服务器3可以通过SSH(安全外壳协议)或者Telnet(远程登录协议)对接。
用户终端1,用于向黑洞路由自服务平台2发送黑洞路由请求,其中,所述黑洞路由请求中包括黑洞路由IP地址,所述黑洞路由IP地址为需要进行黑洞路由的IP地址。
黑洞路由自服务平台2,用于接收用户终端1发送的黑洞路由请求;从所述黑洞路由请求中提取出黑洞路由IP地址;以及向黑洞路由服务器3发布黑洞路由指令,使黑洞路由生效,其中所述黑洞路由指令中包括黑洞路由IP地址。
黑洞路由服务器3,用于接收黑洞路由自服务平台2发送的黑洞路由指令;向运营商互联网自治域出口核心路由器4发布黑洞路由,以便对所述黑洞路由IP地址执行黑洞路由指令。
基于本发明上述实施例提供的用户自助执行黑洞路由的***中,黑洞路由自服务平台用于向用户提供服务通道,同时用户向黑洞路由服务器发布黑洞路由指令;黑洞路由服务器用于向运营商互联网自治域发布黑洞路由。由此本发明上述实施例可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
图2为本发明用户自助执行黑洞路由的***第二实施例的示意图。如图2实施例所示,黑洞路由自服务平台2和黑洞路由服务器3可以根据多个用户终端1的黑洞路由请求,实现用户按需自助操作IP的黑洞路由,从而满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。
如图2所示的实施例中还包括防火墙51和防火墙52,其中防火墙51设置在用户终端1与黑洞路由自服务平台2之间,防火墙52设置在黑洞路由自服务平台2和黑洞路由服务器3之间。
所述用户终端1可以包括IDC用户终端、运营商专线用户终端等拥有静态合法IP的用户终端。
图3为本发明用户自助执行黑洞路由的方法第一实施例的示意图。优选的,本实施例可由本发明用户自助执行黑洞路由的***执行。该方法包括以下步骤:
步骤31,部署黑洞路由服务器,跟自治域出口核心路由器对接。
步骤32,部署黑洞路由自服务平台,实现该平台和黑洞路由服务器对接。
步骤33,黑洞路由自服务平台导入用户IP信息、创建用户账号并建立用户和IP地址之间的关联。
步骤34,用户通过平台对需要做黑洞路由的IP进行操作。
在本发明的一个实施例中,所述方法还包括:用户操作IP地址前,***需要对用户进行鉴权,以确认用户账号的合法性。
步骤35,平台收到用户请求后,向黑洞路由服务器发布黑洞路由指令,使黑洞路由生效。
步骤36,重复步骤34-步骤35。
进一步的,如果用户所要做黑洞路由的IP已做过黑洞路由,平台不再重复发送黑洞路由指令。
在本发明的一个具体实施例中,平台实施效果如图4所示。本实施例表明,如图4和图5所示,从用户操作黑洞路由到生效,再把黑洞路由撤销,共只用了3个ping周期,响应非常迅速。
基于本发明上述实施例提供的用户自助执行黑洞路由的方法,可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
下面通过具体示例对用户自助执行黑洞路由的***中的黑洞路由自服务平台2和黑洞路由服务器3的结构和功能进行说明:
图6为本发明黑洞路由自服务平台第一实施例的示意图。如图6所示,本发明图1或图2实施例中的黑洞路由自服务平台2可以包括黑洞路由请求接收模块21、黑洞路由IP提取模块22和黑洞路由指令发送模块23,其中:
黑洞路由请求接收模块21,用于接收用户终端1发送的黑洞路由请求。
黑洞路由IP提取模块22,用于从黑洞路由请求接收模块21接收的所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址。
黑洞路由指令发送模块23,用于向黑洞路由服务器3发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器3对所述黑洞路由IP地址执行黑洞路由指令。
基于本发明上述实施例提供的黑洞路由自服务平台,用于向用户提供服务通道,同时用户向黑洞路由服务器发布黑洞路由指令,以便黑洞路由服务器向运营商互联网自治域发布黑洞路由。由此本发明上述实施例可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
图7为本发明黑洞路由自服务平台第二实施例的示意图。与图6所示实施例相比,在图7所示实施例中,本发明图1或图2实施例中的黑洞路由自服务平台2还可以包括第一IP地址判断模块24,其中:
第一IP地址判断模块24,用于在黑洞路由IP提取模块22从所述黑洞路由请求中提取出黑洞路由IP地址之后,判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;在所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中的情况下,不向黑洞路由服务器3发送黑洞路由指令;在所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中的情况下,指示黑洞路由指令发送模块23执行向黑洞路由服务器3发送黑洞路由指令的操作。
本发明上述实施例的黑洞路由自服务平台,在用户请求的黑洞路由IP地址已做黑洞路由的情况下,不再向黑洞路由服务器发布指令,从而提高了工作效率,避免了黑洞路由服务器对某一请求IP进行重复黑洞路由操作。
图8为本发明黑洞路由自服务平台第三实施例的示意图。与图7所示实施例相比,在图8所示实施例中,本发明图1或图2实施例中的黑洞路由自服务平台2还可以包括用户平台账号提取模块25、用户IP地址集合获取模块26和第二IP地址判断模块27,其中:
用户平台账号提取模块25,用于从黑洞路由请求接收模块21接收的所述黑洞路由请求中提取出用户平台账号。
用户IP地址集合获取模块26,用于根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址。
在本发明的一个实施例中,用户只能操作自己的IP地址,即用户只能将自己的IP地址作为用户IP地址集合,进行黑洞路由。
在本发明的另一实施例中,作为管理员的用户可以操作本单位的所有IP地址,用户将只能将本单位的所有IP地址作为用户IP地址集合,选择本单位的任一IP地址进行黑洞路由。
第二IP地址判断模块27,用于判断黑洞路由IP提取模块22提取的所述黑洞路由IP地址是否属于用户IP地址集合获取模块26获取的所述用户IP地址集合;在所述黑洞路由IP地址不属于所述用户IP地址集合的情况下,不向黑洞路由服务器3发送黑洞路由指令;在所述黑洞路由IP地址属于所述用户IP地址集合的情况下,指示第一IP地址判断模块24执行判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中的操作。
本发明上述实施例的黑洞路由自服务平台,在所述黑洞路由IP地址属于用户可操作IP地址集合的情况下,判断黑洞路由IP地址是否已做黑洞路由,并在黑洞路由IP地址未做黑洞路由的情况下,向黑洞路由服务器发布指令的操作,从而保证了用户安全使用网络,只有用户终端的使用者或管理员才有资格进行黑洞路由请求的发送。
图9为本发明黑洞路由自服务平台第四实施例的示意图。与图8所示实施例相比,在图9所示实施例中,本发明图1或图2实施例中的黑洞路由自服务平台2还可以包括账号开通请求接收模块28和账号开通模块29,其中:
账号开通请求接收模块28,用于接收用户终端1发送的账号开通请求。
账号开通模块29,用于根据用户终端1的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
本发明上述实施例增加了开通用户平台账号以及建立用户平台账号和用户IP地址集合的对应关系的功能,从而方便了对用户平台账号以及用户可操作IP地址的管理,进而提高了黑洞路由自服务平台的安全性。
在本发明的一个实施例中,如图9所示,所述黑洞路由自服务平台2还可以包括鉴权模块20,其中:
鉴权模块20,用于在黑洞路由请求接收模块21接收到用户终端1发送的黑洞路由请求后,对用户终端进行鉴权,以确认用户平台账号的合法性。
本发明上述实施例增加了对用户终端进行鉴权,以确认用户平台账号的合法性,从而进一步提高了黑洞路由自服务平台的安全性。
图10为本发明用户自助执行黑洞路由的方法第二实施例的示意图。优选的,本实施例可由本发明黑洞路由自服务平台执行。该方法包括以下步骤:
步骤101,接收用户终端1发送的黑洞路由请求。
步骤102,从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址。
步骤103,向黑洞路由服务器3发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器3对所述黑洞路由IP地址执行黑洞路由指令。
基于本发明上述实施例提供的用户自助执行黑洞路由的方法,通过向用户提供服务通道,以便用户向黑洞路由服务器发布黑洞路由指令,使得黑洞路由服务器向运营商互联网自治域发布黑洞路由。由此本发明上述实施例可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
在本发明的一个实施例中,在图10实施例的步骤102之后,所述方法还可以包括:判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;若所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中,则不向黑洞路由服务器3发送黑洞路由指令;若所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中,则执行图10实施例的步骤103。
本发明上述实施例在用户请求的黑洞路由IP地址已做黑洞路由的情况下,不再向黑洞路由服务器发布指令,从而提高了工作效率,避免了黑洞路由服务器对某一请求IP进行重复黑洞路由操作。
在本发明的一个实施例中,在图10实施例的步骤102之后,所述方法还可以包括:
从所述黑洞路由请求中提取出用户平台账号。
根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址。
判断所述黑洞路由IP地址是否属于所述用户IP地址集合;
若所述黑洞路由IP地址不属于所述用户IP地址集合,则不向黑洞路由服务器3发送黑洞路由指令;
若所述黑洞路由IP地址属于所述用户IP地址集合,则执行判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中的步骤。
本发明上述实施例在所述黑洞路由IP地址属于用户可操作IP地址集合的情况下,判断黑洞路由IP地址是否已做黑洞路由,并在黑洞路由IP地址未做黑洞路由的情况下,向黑洞路由服务器发布指令的操作,从而保证了用户安全使用网络,只有用户终端的使用者或管理员才有资格进行黑洞路由请求的发送。
在本发明的一个实施例中,在图10实施例的步骤101之前,所述方法还可以包括:接收用户终端1发送的账号开通请求;根据用户终端1的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
本发明上述实施例增加了开通用户平台账号以及建立用户平台账号和用户IP地址集合的对应关系的功能,从而方便了对用户平台账号以及用户可操作IP地址的管理,进而提高了黑洞路由自服务平台的安全性。
在本发明的一个实施例中,在图10实施例的步骤101之后,所述方法还可以包括:对用户终端进行鉴权,以确认用户平台账号的合法性。
本发明上述实施例增加了对用户终端进行鉴权,以确认用户平台账号的合法性,从而进一步提高了黑洞路由自服务平台的安全性。
图11为本发明黑洞路由服务器第一实施例的示意图。如图11所示,本发明图1或图2实施例中的黑洞路由服务器3可以包括黑洞路由指令接收模块31和黑洞路由指令执行模块32,其中:
黑洞路由指令接收模块31,用于接收黑洞路由自服务平台2发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台2从用户终端1发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
黑洞路由指令执行模块32,用于向运营商互联网自治域出口核心路由器4发布黑洞路由,以便对所述黑洞路由IP地址执行黑洞路由指令。
基于本发明上述实施例提供的黑洞路由服务器,黑洞路由服务器根据用户通过黑洞路由自服务平台的发布黑洞路由指令,向运营商互联网自治域发布黑洞路由。由此本发明上述实施例可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
图12为本发明用户自助执行黑洞路由的方法第三实施例的示意图。优选的,本实施例可由本发明黑洞路由服务器执行。该方法包括以下步骤:
步骤121,接收黑洞路由自服务平台2发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台2从用户终端1发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址。
步骤122,向运营商互联网自治域出口核心路由器4发布黑洞路由,以便对所述黑洞路由IP地址执行黑洞路由指令。
基于本发明上述实施例提供的自助执行黑洞路由的方法,根据用户通过黑洞路由自服务平台的发布黑洞路由指令,向运营商互联网自治域发布黑洞路由。由此本发明上述实施例可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
在上面所描述的黑洞路由请求接收模块21、黑洞路由IP提取模块22、黑洞路由指令发送模块23、第一IP地址判断模块24、用户平台账号提取模块25、用户IP地址集合获取模块26、第二IP地址判断模块27、账号开通请求接收模块28、账号开通模块29、鉴权模块20、黑洞路由指令接收模块31、黑洞路由指令执行模块32等功能单元可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

Claims (11)

1.一种用户自助执行黑洞路由的方法,其特征在于,包括:
接收用户终端发送的黑洞路由请求;
从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
向黑洞路由服务器发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器对所述黑洞路由IP地址执行黑洞路由指令。
2.根据权利要求1所述的方法,其特征在于,所述从所述黑洞路由请求中提取出黑洞路由IP地址之后,还包括:
判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;
若所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中,则不向黑洞路由服务器发送黑洞路由指令;
若所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中,则执行向黑洞路由服务器发送黑洞路由指令的步骤。
3.根据权利要求2所述的方法,其特征在于,还包括:
从所述黑洞路由请求中提取出用户平台账号;
根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址;
判断所述黑洞路由IP地址是否属于所述用户IP地址集合;
若所述黑洞路由IP地址不属于所述用户IP地址集合,则不向黑洞路由服务器发送黑洞路由指令;
若所述黑洞路由IP地址属于所述用户IP地址集合,则执行判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中的步骤。
4.根据权利要求1-3中任一项所述的方法,其特征在于,还包括:
接收用户终端发送的账号开通请求;
根据用户终端的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
5.一种用户自助执行黑洞路由的方法,其特征在于,包括:
接收黑洞路由自服务平台发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台从用户终端发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
对所述黑洞路由IP地址执行黑洞路由指令。
6.一种黑洞路由自服务平台,其特征在于,包括黑洞路由请求接收模块、黑洞路由IP提取模块和黑洞路由指令发送模块,其中:
黑洞路由请求接收模块,用于接收用户终端发送的黑洞路由请求;
黑洞路由IP提取模块,用于从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
黑洞路由指令发送模块,用于向黑洞路由服务器发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器对所述黑洞路由IP地址执行黑洞路由指令。
7.根据权利要求6所述的黑洞路由自服务平台,其特征在于,还包括第一IP地址判断模块,其中:
第一IP地址判断模块,用于在黑洞路由IP提取模块从所述黑洞路由请求中提取出黑洞路由IP地址之后,判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;在所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中的情况下,不向黑洞路由服务器发送黑洞路由指令;在所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中的情况下,指示黑洞路由指令发送模块执行向黑洞路由服务器发送黑洞路由指令的操作。
8.根据权利要求7所述的黑洞路由自服务平台,其特征在于,还包括用户平台账号提取模块、用户IP地址集合获取模块和第二IP地址判断模块,其中:
用户平台账号提取模块,用于从所述黑洞路由请求中提取出用户平台账号;
用户IP地址集合获取模块,用于根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址;
第二IP地址判断模块,用于判断黑洞路由IP提取模块提取的所述黑洞路由IP地址是否属于用户IP地址集合获取模块获取的所述用户IP地址集合;在所述黑洞路由IP地址不属于所述用户IP地址集合的情况下,不向黑洞路由服务器发送黑洞路由指令;在所述黑洞路由IP地址属于所述用户IP地址集合的情况下,指示第一IP地址判断模块执行判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中的操作。
9.根据权利要求6-8中任一项所述的黑洞路由自服务平台,其特征在于,还包括账号开通请求接收模块和账号开通模块,其中:
账号开通请求接收模块,用于接收用户终端发送的账号开通请求;
账号开通模块,用于根据用户终端的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
10.一种黑洞路由服务器,其特征在于,包括黑洞路由指令接收模块和黑洞路由指令执行模块,其中:
黑洞路由指令接收模块,用于接收黑洞路由自服务平台发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台从用户终端发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
黑洞路由指令执行模块,用于对所述黑洞路由IP地址执行黑洞路由指令。
11.一种用户自助执行黑洞路由的***,其特征在于,包括用户终端、如权利要求6-9中任一项所述的黑洞路由自服务平台、以及如权利要求10所述的黑洞路由服务器。
CN201610823297.0A 2016-09-14 2016-09-14 用户自助执行黑洞路由的方法、装置和*** Active CN107819733B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610823297.0A CN107819733B (zh) 2016-09-14 2016-09-14 用户自助执行黑洞路由的方法、装置和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610823297.0A CN107819733B (zh) 2016-09-14 2016-09-14 用户自助执行黑洞路由的方法、装置和***

Publications (2)

Publication Number Publication Date
CN107819733A true CN107819733A (zh) 2018-03-20
CN107819733B CN107819733B (zh) 2020-05-01

Family

ID=61600693

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610823297.0A Active CN107819733B (zh) 2016-09-14 2016-09-14 用户自助执行黑洞路由的方法、装置和***

Country Status (1)

Country Link
CN (1) CN107819733B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124802A (zh) * 2021-11-10 2022-03-01 中盈优创资讯科技有限公司 一种跨域黑洞路由集中管控方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101179515A (zh) * 2007-12-24 2008-05-14 杭州华三通信技术有限公司 一种抑制黑洞路由的方法和装置
US20140331308A1 (en) * 2013-05-03 2014-11-06 Centurylink Intellectual Property Llc Combination of Remote Triggered Source and Destination Blackhole Filtering
CN105678193A (zh) * 2016-01-06 2016-06-15 杭州数梦工场科技有限公司 一种防篡改的处理方法和装置
CN105959334A (zh) * 2016-07-20 2016-09-21 上海携程商务有限公司 DDoS攻击的自动防御***及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101179515A (zh) * 2007-12-24 2008-05-14 杭州华三通信技术有限公司 一种抑制黑洞路由的方法和装置
US20140331308A1 (en) * 2013-05-03 2014-11-06 Centurylink Intellectual Property Llc Combination of Remote Triggered Source and Destination Blackhole Filtering
CN105678193A (zh) * 2016-01-06 2016-06-15 杭州数梦工场科技有限公司 一种防篡改的处理方法和装置
CN105959334A (zh) * 2016-07-20 2016-09-21 上海携程商务有限公司 DDoS攻击的自动防御***及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
舒园园: "运营商网络流量安全监测***的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124802A (zh) * 2021-11-10 2022-03-01 中盈优创资讯科技有限公司 一种跨域黑洞路由集中管控方法及装置
CN114124802B (zh) * 2021-11-10 2023-08-25 中盈优创资讯科技有限公司 一种跨域黑洞路由集中管控方法及装置

Also Published As

Publication number Publication date
CN107819733B (zh) 2020-05-01

Similar Documents

Publication Publication Date Title
CN109891841B (zh) 网络控制装置、通信***、网络控制方法、及记录介质
US10063432B2 (en) Method and system of supporting service chaining in a data network
CN101102291B (zh) 基于pppoe代理功能实现用户接入互联网的方法
CN101022340B (zh) 实现城域以太网交换机接入安全的智能控制方法
US6874030B1 (en) PPP domain name and L2TP tunnel selection configuration override
CN101217435B (zh) 一种L2TP over IPSEC远程接入的方法及装置
CN108322417A (zh) 网络攻击的处理方法、装置和***及安全设备
CN101599904B (zh) 一种虚拟拨号安全接入的方法和***
CN106302371A (zh) 一种基于用户业务***的防火墙控制方法和***
CN104541483A (zh) 用于连接性故障时为家庭网络启用重新路由的方法和***
CN107566196A (zh) 组网方法和组网装置、用户边缘设备及可读存储介质
CN102457421B (zh) 在两个网络间建立vpn连接的方法
CN107888613A (zh) 一种基于云平台的管理***架构
CN104660527A (zh) 一种服务交换机、跨VLAN的PPPoE网络***及方法
CN103888307B (zh) 用于优化深度包检测的方法、用户侧板卡和宽带接入网关
CN102130792A (zh) 通信量监视***
CN109768906A (zh) 一种子网专线配置方法及装置
CN101141396B (zh) 报文处理方法和网络设备
EP1411676A1 (en) Method, network access server, client and computer software product for dynamic definition of layer 2 tunneling connections
CN106549936A (zh) 一种基于多路vpn负载均衡的扫描器反溯源方法和设备
CN107819733A (zh) 用户自助执行黑洞路由的方法、装置和***
Brassil Physical layer network isolation in multi-tenant clouds
CN107426100A (zh) 一种基于用户组的vpn用户接入方法及装置
CN108011825B (zh) 一种基于软件定义网络的多网络设备互联现实方法及***
Cisco T

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant