CN107819733B - 用户自助执行黑洞路由的方法、装置和*** - Google Patents

用户自助执行黑洞路由的方法、装置和*** Download PDF

Info

Publication number
CN107819733B
CN107819733B CN201610823297.0A CN201610823297A CN107819733B CN 107819733 B CN107819733 B CN 107819733B CN 201610823297 A CN201610823297 A CN 201610823297A CN 107819733 B CN107819733 B CN 107819733B
Authority
CN
China
Prior art keywords
black hole
hole routing
address
user
routing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610823297.0A
Other languages
English (en)
Other versions
CN107819733A (zh
Inventor
舒园园
刘长生
魏渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201610823297.0A priority Critical patent/CN107819733B/zh
Publication of CN107819733A publication Critical patent/CN107819733A/zh
Application granted granted Critical
Publication of CN107819733B publication Critical patent/CN107819733B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种用户自助执行黑洞路由的方法、装置和***。该方法包括:接收用户终端发送的黑洞路由请求;从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址;向黑洞路由服务器发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器对所述黑洞路由IP地址执行黑洞路由指令。本发明可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明具有实用性强、使用方便、实时响应、适用性广的优点。

Description

用户自助执行黑洞路由的方法、装置和***
技术领域
本发明涉及数据通信、网络安全领域,特别涉及一种用户自助执行黑洞路由的方法、装置和***。
背景技术
随着互联网的迅猛发展,互联网用户特别是IDC(Internet Data Center,互联网数据中心)/ISP(Internet Service Provider,互联网服务提供商)用户遭受到网络攻击的风险也呈几何倍数增加,目前如果IDC/ISP用户的某个IP受到攻击,用户只有联系运营商,由运营商对其IP进行黑洞路由封堵,然而从用户遭受攻击到运营商接收到用户申诉进行受理,整个时长短则几十分钟,长则几个小时,一般情况下,网络攻击不会持续特别长的时间,有时,还没有等到维护人员对用户IP进行处理,攻击已经结束。处理的滞后性和周转时间长的弊端给用户的业务带来直接的经济损失和负面影响,也造成了大量的用户投诉。
黑洞路由,是将所有无关路由吸入其中,使他们有来无回的路由。黑洞路由最大的好处是充分利用了路由器的包转发能力,对***负载影响非常小,所以,一直是解决DDOS(Distributed denial of service attack,分布式拒绝服务攻击)攻击的好办法。黑洞路由一般由运营商用于网络管理,对特定地址进行封堵。在骨干网与各城域网、IDC出口核心路由器建立eBGP(External Border Gateway Protocol,外部边界网关协议)邻居关系,用于发布黑洞路由消息,只用于运营商自身的网络维护,不对用户开放。
发明内容
鉴于以上技术问题,本发明提供了一种用户自助执行黑洞路由的方法和***、黑洞路由自服务平台以及黑洞路由服务器,可以实现用户按需自助操作IP的黑洞路由。
根据本发明的一个方面,提供一种用户自助执行黑洞路由的方法,包括:
接收用户终端发送的黑洞路由请求;
从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
向黑洞路由服务器发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器对所述黑洞路由IP地址执行黑洞路由指令。
在本发明的一个实施例中,所述从所述黑洞路由请求中提取出黑洞路由IP地址之后,还包括:
判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;
若所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中,则不向黑洞路由服务器发送黑洞路由指令;
若所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中,则执行向黑洞路由服务器发送黑洞路由指令的步骤。
在本发明的一个实施例中,所述方法还包括:
从所述黑洞路由请求中提取出用户平台账号;
根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址;
判断所述黑洞路由IP地址是否属于所述用户IP地址集合;
若所述黑洞路由IP地址不属于所述用户IP地址集合,则不向黑洞路由服务器发送黑洞路由指令;
若所述黑洞路由IP地址属于所述用户IP地址集合,则执行判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中的步骤。
在本发明的一个实施例中,所述方法还包括:
接收用户终端发送的账号开通请求;
根据用户终端的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
根据本发明的另一方面,提供一种用户自助执行黑洞路由的方法,包括:
接收黑洞路由自服务平台发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台从用户终端发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
对所述黑洞路由IP地址执行黑洞路由指令。
根据本发明的另一方面,提供一种黑洞路由自服务平台,包括黑洞路由请求接收模块、黑洞路由IP提取模块和黑洞路由指令发送模块,其中:
黑洞路由请求接收模块,用于接收用户终端发送的黑洞路由请求;
黑洞路由IP提取模块,用于从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
黑洞路由指令发送模块,用于向黑洞路由服务器发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器对所述黑洞路由IP地址执行黑洞路由指令。
在本发明的一个实施例中,所述黑洞路由自服务平台还包括第一IP地址判断模块,其中:
第一IP地址判断模块,用于在黑洞路由IP提取模块从所述黑洞路由请求中提取出黑洞路由IP地址之后,判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;在所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中的情况下,不向黑洞路由服务器发送黑洞路由指令;在所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中的情况下,指示黑洞路由指令发送模块执行向黑洞路由服务器发送黑洞路由指令的操作。
在本发明的一个实施例中,所述黑洞路由自服务平台还包括用户平台账号提取模块、用户IP地址集合获取模块和第二IP地址判断模块,其中:
用户平台账号提取模块,用于从所述黑洞路由请求中提取出用户平台账号;
用户IP地址集合获取模块,用于根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址;
第二IP地址判断模块,用于判断黑洞路由IP提取模块提取的所述黑洞路由IP地址是否属于用户IP地址集合获取模块获取的所述用户IP地址集合;在所述黑洞路由IP地址不属于所述用户IP地址集合的情况下,不向黑洞路由服务器发送黑洞路由指令;在所述黑洞路由IP地址属于所述用户IP地址集合的情况下,指示第一IP地址判断模块执行判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中的操作。
在本发明的一个实施例中,所述黑洞路由自服务平台还包括账号开通请求接收模块和账号开通模块,其中:
账号开通请求接收模块,用于接收用户终端发送的账号开通请求;
账号开通模块,用于根据用户终端的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
根据本发明的另一方面,提供一种黑洞路由服务器,包括黑洞路由指令接收模块和黑洞路由指令执行模块,其中:
黑洞路由指令接收模块,用于接收黑洞路由自服务平台发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台从用户终端发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
黑洞路由指令执行模块,用于对所述黑洞路由IP地址执行黑洞路由指令。
根据本发明的另一方面,提供一种用户自助执行黑洞路由的***,包括用户终端、如上述任一实施例所述的黑洞路由自服务平台、以及如上述任一实施例所述的黑洞路由服务器。
本发明可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明具有实用性强、使用方便、实时响应、适用性广的优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明用户自助执行黑洞路由的***第一实施例的示意图。
图2为本发明用户自助执行黑洞路由的***第二实施例的示意图。
图3为本发明用户自助执行黑洞路由的方法第一实施例的示意图。
图4为本发明一个实施例中部署黑洞路由自服务平台的实施效果示意图。
图5为本发明一个实施例中部署黑洞路由自服务平台的响应时间示意图。
图6为本发明黑洞路由自服务平台第一实施例的示意图。
图7为本发明黑洞路由自服务平台第二实施例的示意图。
图8为本发明黑洞路由自服务平台第三实施例的示意图。
图9为本发明黑洞路由自服务平台第四实施例的示意图。
图10为本发明用户自助执行黑洞路由的方法第二实施例的示意图。
图11为本发明黑洞路由服务器第一实施例的示意图。
图12为本发明用户自助执行黑洞路由的方法第三实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明用户自助执行黑洞路由的***第一实施例的示意图。如图1所示,所述用户自助执行黑洞路由的***包括用户终端1、黑洞路由自服务平台2和黑洞路由服务器3,其中:
黑洞路由自服务平台2和黑洞路由服务器3对接;黑洞路由服务器3跟自治域出口核心路由器4对接。
在本发明的一个实施例中,黑洞路由服务器3既可以是新部署的,也可以是在网的;黑洞路由服务器3既可以是物理服务器,也可以是虚拟机。
在本发明的一个实施例中,黑洞路由自服务平台2和黑洞路由服务器3可以通过SSH(安全外壳协议)或者Telnet(远程登录协议)对接。
用户终端1,用于向黑洞路由自服务平台2发送黑洞路由请求,其中,所述黑洞路由请求中包括黑洞路由IP地址,所述黑洞路由IP地址为需要进行黑洞路由的IP地址。
黑洞路由自服务平台2,用于接收用户终端1发送的黑洞路由请求;从所述黑洞路由请求中提取出黑洞路由IP地址;以及向黑洞路由服务器3发布黑洞路由指令,使黑洞路由生效,其中所述黑洞路由指令中包括黑洞路由IP地址。
黑洞路由服务器3,用于接收黑洞路由自服务平台2发送的黑洞路由指令;向运营商互联网自治域出口核心路由器4发布黑洞路由,以便对所述黑洞路由IP地址执行黑洞路由指令。
基于本发明上述实施例提供的用户自助执行黑洞路由的***中,黑洞路由自服务平台用于向用户提供服务通道,同时用户向黑洞路由服务器发布黑洞路由指令;黑洞路由服务器用于向运营商互联网自治域发布黑洞路由。由此本发明上述实施例可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
图2为本发明用户自助执行黑洞路由的***第二实施例的示意图。如图2实施例所示,黑洞路由自服务平台2和黑洞路由服务器3可以根据多个用户终端1的黑洞路由请求,实现用户按需自助操作IP的黑洞路由,从而满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。
如图2所示的实施例中还包括防火墙51和防火墙52,其中防火墙51设置在用户终端1与黑洞路由自服务平台2之间,防火墙52设置在黑洞路由自服务平台2和黑洞路由服务器3之间。
所述用户终端1可以包括IDC用户终端、运营商专线用户终端等拥有静态合法IP的用户终端。
图3为本发明用户自助执行黑洞路由的方法第一实施例的示意图。优选的,本实施例可由本发明用户自助执行黑洞路由的***执行。该方法包括以下步骤:
步骤31,部署黑洞路由服务器,跟自治域出口核心路由器对接。
步骤32,部署黑洞路由自服务平台,实现该平台和黑洞路由服务器对接。
步骤33,黑洞路由自服务平台导入用户IP信息、创建用户账号并建立用户和IP地址之间的关联。
步骤34,用户通过平台对需要做黑洞路由的IP进行操作。
在本发明的一个实施例中,所述方法还包括:用户操作IP地址前,***需要对用户进行鉴权,以确认用户账号的合法性。
步骤35,平台收到用户请求后,向黑洞路由服务器发布黑洞路由指令,使黑洞路由生效。
步骤36,重复步骤34-步骤35。
进一步的,如果用户所要做黑洞路由的IP已做过黑洞路由,平台不再重复发送黑洞路由指令。
在本发明的一个具体实施例中,平台实施效果如图4所示。本实施例表明,如图4和图5所示,从用户操作黑洞路由到生效,再把黑洞路由撤销,共只用了3个ping周期,响应非常迅速。
基于本发明上述实施例提供的用户自助执行黑洞路由的方法,可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
下面通过具体示例对用户自助执行黑洞路由的***中的黑洞路由自服务平台2和黑洞路由服务器3的结构和功能进行说明:
图6为本发明黑洞路由自服务平台第一实施例的示意图。如图6所示,本发明图1或图2实施例中的黑洞路由自服务平台2可以包括黑洞路由请求接收模块21、黑洞路由IP提取模块22和黑洞路由指令发送模块23,其中:
黑洞路由请求接收模块21,用于接收用户终端1发送的黑洞路由请求。
黑洞路由IP提取模块22,用于从黑洞路由请求接收模块21接收的所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址。
黑洞路由指令发送模块23,用于向黑洞路由服务器3发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器3对所述黑洞路由IP地址执行黑洞路由指令。
基于本发明上述实施例提供的黑洞路由自服务平台,用于向用户提供服务通道,同时用户向黑洞路由服务器发布黑洞路由指令,以便黑洞路由服务器向运营商互联网自治域发布黑洞路由。由此本发明上述实施例可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
图7为本发明黑洞路由自服务平台第二实施例的示意图。与图6所示实施例相比,在图7所示实施例中,本发明图1或图2实施例中的黑洞路由自服务平台2还可以包括第一IP地址判断模块24,其中:
第一IP地址判断模块24,用于在黑洞路由IP提取模块22从所述黑洞路由请求中提取出黑洞路由IP地址之后,判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;在所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中的情况下,不向黑洞路由服务器3发送黑洞路由指令;在所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中的情况下,指示黑洞路由指令发送模块23执行向黑洞路由服务器3发送黑洞路由指令的操作。
本发明上述实施例的黑洞路由自服务平台,在用户请求的黑洞路由IP地址已做黑洞路由的情况下,不再向黑洞路由服务器发布指令,从而提高了工作效率,避免了黑洞路由服务器对某一请求IP进行重复黑洞路由操作。
图8为本发明黑洞路由自服务平台第三实施例的示意图。与图7所示实施例相比,在图8所示实施例中,本发明图1或图2实施例中的黑洞路由自服务平台2还可以包括用户平台账号提取模块25、用户IP地址集合获取模块26和第二IP地址判断模块27,其中:
用户平台账号提取模块25,用于从黑洞路由请求接收模块21接收的所述黑洞路由请求中提取出用户平台账号。
用户IP地址集合获取模块26,用于根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址。
在本发明的一个实施例中,用户只能操作自己的IP地址,即用户只能将自己的IP地址作为用户IP地址集合,进行黑洞路由。
在本发明的另一实施例中,作为管理员的用户可以操作本单位的所有IP地址,用户将只能将本单位的所有IP地址作为用户IP地址集合,选择本单位的任一IP地址进行黑洞路由。
第二IP地址判断模块27,用于判断黑洞路由IP提取模块22提取的所述黑洞路由IP地址是否属于用户IP地址集合获取模块26获取的所述用户IP地址集合;在所述黑洞路由IP地址不属于所述用户IP地址集合的情况下,不向黑洞路由服务器3发送黑洞路由指令;在所述黑洞路由IP地址属于所述用户IP地址集合的情况下,指示第一IP地址判断模块24执行判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中的操作。
本发明上述实施例的黑洞路由自服务平台,在所述黑洞路由IP地址属于用户可操作IP地址集合的情况下,判断黑洞路由IP地址是否已做黑洞路由,并在黑洞路由IP地址未做黑洞路由的情况下,向黑洞路由服务器发布指令的操作,从而保证了用户安全使用网络,只有用户终端的使用者或管理员才有资格进行黑洞路由请求的发送。
图9为本发明黑洞路由自服务平台第四实施例的示意图。与图8所示实施例相比,在图9所示实施例中,本发明图1或图2实施例中的黑洞路由自服务平台2还可以包括账号开通请求接收模块28和账号开通模块29,其中:
账号开通请求接收模块28,用于接收用户终端1发送的账号开通请求。
账号开通模块29,用于根据用户终端1的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
本发明上述实施例增加了开通用户平台账号以及建立用户平台账号和用户IP地址集合的对应关系的功能,从而方便了对用户平台账号以及用户可操作IP地址的管理,进而提高了黑洞路由自服务平台的安全性。
在本发明的一个实施例中,如图9所示,所述黑洞路由自服务平台2还可以包括鉴权模块20,其中:
鉴权模块20,用于在黑洞路由请求接收模块21接收到用户终端1发送的黑洞路由请求后,对用户终端进行鉴权,以确认用户平台账号的合法性。
本发明上述实施例增加了对用户终端进行鉴权,以确认用户平台账号的合法性,从而进一步提高了黑洞路由自服务平台的安全性。
图10为本发明用户自助执行黑洞路由的方法第二实施例的示意图。优选的,本实施例可由本发明黑洞路由自服务平台执行。该方法包括以下步骤:
步骤101,接收用户终端1发送的黑洞路由请求。
步骤102,从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址。
步骤103,向黑洞路由服务器3发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器3对所述黑洞路由IP地址执行黑洞路由指令。
基于本发明上述实施例提供的用户自助执行黑洞路由的方法,通过向用户提供服务通道,以便用户向黑洞路由服务器发布黑洞路由指令,使得黑洞路由服务器向运营商互联网自治域发布黑洞路由。由此本发明上述实施例可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
在本发明的一个实施例中,在图10实施例的步骤102之后,所述方法还可以包括:判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;若所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中,则不向黑洞路由服务器3发送黑洞路由指令;若所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中,则执行图10实施例的步骤103。
本发明上述实施例在用户请求的黑洞路由IP地址已做黑洞路由的情况下,不再向黑洞路由服务器发布指令,从而提高了工作效率,避免了黑洞路由服务器对某一请求IP进行重复黑洞路由操作。
在本发明的一个实施例中,在图10实施例的步骤102之后,所述方法还可以包括:
从所述黑洞路由请求中提取出用户平台账号。
根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址。
判断所述黑洞路由IP地址是否属于所述用户IP地址集合;
若所述黑洞路由IP地址不属于所述用户IP地址集合,则不向黑洞路由服务器3发送黑洞路由指令;
若所述黑洞路由IP地址属于所述用户IP地址集合,则执行判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中的步骤。
本发明上述实施例在所述黑洞路由IP地址属于用户可操作IP地址集合的情况下,判断黑洞路由IP地址是否已做黑洞路由,并在黑洞路由IP地址未做黑洞路由的情况下,向黑洞路由服务器发布指令的操作,从而保证了用户安全使用网络,只有用户终端的使用者或管理员才有资格进行黑洞路由请求的发送。
在本发明的一个实施例中,在图10实施例的步骤101之前,所述方法还可以包括:接收用户终端1发送的账号开通请求;根据用户终端1的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
本发明上述实施例增加了开通用户平台账号以及建立用户平台账号和用户IP地址集合的对应关系的功能,从而方便了对用户平台账号以及用户可操作IP地址的管理,进而提高了黑洞路由自服务平台的安全性。
在本发明的一个实施例中,在图10实施例的步骤101之后,所述方法还可以包括:对用户终端进行鉴权,以确认用户平台账号的合法性。
本发明上述实施例增加了对用户终端进行鉴权,以确认用户平台账号的合法性,从而进一步提高了黑洞路由自服务平台的安全性。
图11为本发明黑洞路由服务器第一实施例的示意图。如图11所示,本发明图1或图2实施例中的黑洞路由服务器3可以包括黑洞路由指令接收模块31和黑洞路由指令执行模块32,其中:
黑洞路由指令接收模块31,用于接收黑洞路由自服务平台2发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台2从用户终端1发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
黑洞路由指令执行模块32,用于向运营商互联网自治域出口核心路由器4发布黑洞路由,以便对所述黑洞路由IP地址执行黑洞路由指令。
基于本发明上述实施例提供的黑洞路由服务器,黑洞路由服务器根据用户通过黑洞路由自服务平台的发布黑洞路由指令,向运营商互联网自治域发布黑洞路由。由此本发明上述实施例可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
图12为本发明用户自助执行黑洞路由的方法第三实施例的示意图。优选的,本实施例可由本发明黑洞路由服务器执行。该方法包括以下步骤:
步骤121,接收黑洞路由自服务平台2发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台2从用户终端1发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址。
步骤122,向运营商互联网自治域出口核心路由器4发布黑洞路由,以便对所述黑洞路由IP地址执行黑洞路由指令。
基于本发明上述实施例提供的自助执行黑洞路由的方法,根据用户通过黑洞路由自服务平台的发布黑洞路由指令,向运营商互联网自治域发布黑洞路由。由此本发明上述实施例可以实现用户按需自助操作IP的黑洞路由,由此满足了用户可以迅速封堵自己遭受网络流量攻击的IP需求。本发明上述实施例具有实用性强、使用方便、实时响应、适用性广的优点。
在上面所描述的黑洞路由请求接收模块21、黑洞路由IP提取模块22、黑洞路由指令发送模块23、第一IP地址判断模块24、用户平台账号提取模块25、用户IP地址集合获取模块26、第二IP地址判断模块27、账号开通请求接收模块28、账号开通模块29、鉴权模块20、黑洞路由指令接收模块31、黑洞路由指令执行模块32等功能单元可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

Claims (9)

1.一种用户自助执行黑洞路由的方法,其特征在于,包括:
接收用户终端发送的黑洞路由请求;
从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
向黑洞路由服务器发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器对所述黑洞路由IP地址执行黑洞路由指令;
所述用户自助执行黑洞路由的方法还包括:
从所述黑洞路由请求中提取出用户平台账号;
根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址;
判断所述黑洞路由IP地址是否属于所述用户IP地址集合;
若所述黑洞路由IP地址不属于所述用户IP地址集合,则不向黑洞路由服务器发送黑洞路由指令;
若所述黑洞路由IP地址属于所述用户IP地址集合,则判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;
若所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中,则执行向黑洞路由服务器发送黑洞路由指令的步骤。
2.根据权利要求1所述的方法,其特征在于,还包括:
若所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中,则不向黑洞路由服务器发送黑洞路由指令。
3.根据权利要求1或2所述的方法,其特征在于,还包括:
接收用户终端发送的账号开通请求;
根据用户终端的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
4.一种用户自助执行黑洞路由的方法,其特征在于,包括:
接收黑洞路由自服务平台发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台从用户终端发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址,黑洞路由自服务平台从所述黑洞路由请求中提取出用户平台账号,根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址,判断所述黑洞路由IP地址是否属于所述用户IP地址集合,在所述黑洞路由IP地址属于所述用户IP地址集合的情况下,判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中,在所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中的情况下,向黑洞路由服务器发送黑洞路由指令;
对所述黑洞路由IP地址执行黑洞路由指令。
5.一种黑洞路由自服务平台,其特征在于,包括黑洞路由请求接收模块、黑洞路由IP提取模块和黑洞路由指令发送模块,其中:
黑洞路由请求接收模块,用于接收用户终端发送的黑洞路由请求;
黑洞路由IP提取模块,用于从所述黑洞路由请求中提取出黑洞路由IP地址,其中所述黑洞路由IP地址为需要进行黑洞路由的IP地址;
黑洞路由指令发送模块,用于向黑洞路由服务器发送黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,以便黑洞路由服务器对所述黑洞路由IP地址执行黑洞路由指令;
其中,所述黑洞路由自服务平台还包括用户平台账号提取模块、用户IP地址集合获取模块、第一IP地址判断模块和第二IP地址判断模块,其中:
用户平台账号提取模块,用于从所述黑洞路由请求中提取出用户平台账号;
用户IP地址集合获取模块,用于根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址;
第二IP地址判断模块,用于判断黑洞路由IP提取模块提取的所述黑洞路由IP地址是否属于用户IP地址集合获取模块获取的所述用户IP地址集合;在所述黑洞路由IP地址不属于所述用户IP地址集合的情况下,不向黑洞路由服务器发送黑洞路由指令;在所述黑洞路由IP地址属于所述用户IP地址集合的情况下,指示第一IP地址判断模块执行判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中的操作;
第一IP地址判断模块,用于在黑洞路由IP提取模块从所述黑洞路由请求中提取出黑洞路由IP地址之后,判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中;在所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中的情况下,指示黑洞路由指令发送模块执行向黑洞路由服务器发送黑洞路由指令的操作。
6.根据权利要求5所述的黑洞路由自服务平台,其特征在于,
第一IP地址判断模块还用于在所述黑洞路由IP地址处于已进行过黑洞路由的IP地址列表中的情况下,不向黑洞路由服务器发送黑洞路由指令。
7.根据权利要求5或6所述的黑洞路由自服务平台,其特征在于,还包括账号开通请求接收模块和账号开通模块,其中:
账号开通请求接收模块,用于接收用户终端发送的账号开通请求;
账号开通模块,用于根据用户终端的账号开通请求,为用户开通用户平台账号,并建立用户平台账号和用户IP地址集合的对应关系。
8.一种黑洞路由服务器,其特征在于,包括黑洞路由指令接收模块和黑洞路由指令执行模块,其中:
黑洞路由指令接收模块,用于接收黑洞路由自服务平台发送的黑洞路由指令,其中所述黑洞路由指令中包括黑洞路由IP地址,所述黑洞路由IP地址是黑洞路由自服务平台从用户终端发送的黑洞路由请求中提取的,所述黑洞路由IP地址为需要进行黑洞路由的IP地址,黑洞路由自服务平台从所述黑洞路由请求中提取出用户平台账号,根据用户平台账号查询与所述用户平台账号对应的用户IP地址集合,其中所述用户IP地址集合为所述用户平台账号的用户可以操作的IP地址,判断所述黑洞路由IP地址是否属于所述用户IP地址集合,在所述黑洞路由IP地址属于所述用户IP地址集合的情况下,判断所述黑洞路由IP地址是否处于已进行过黑洞路由的IP地址列表中,在所述黑洞路由IP地址不处于已进行过黑洞路由的IP地址列表中的情况下,向黑洞路由服务器发送黑洞路由指令;
黑洞路由指令执行模块,用于对所述黑洞路由IP地址执行黑洞路由指令。
9.一种用户自助执行黑洞路由的***,其特征在于,包括用户终端、如权利要求5-7中任一项所述的黑洞路由自服务平台、以及如权利要求8所述的黑洞路由服务器。
CN201610823297.0A 2016-09-14 2016-09-14 用户自助执行黑洞路由的方法、装置和*** Active CN107819733B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610823297.0A CN107819733B (zh) 2016-09-14 2016-09-14 用户自助执行黑洞路由的方法、装置和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610823297.0A CN107819733B (zh) 2016-09-14 2016-09-14 用户自助执行黑洞路由的方法、装置和***

Publications (2)

Publication Number Publication Date
CN107819733A CN107819733A (zh) 2018-03-20
CN107819733B true CN107819733B (zh) 2020-05-01

Family

ID=61600693

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610823297.0A Active CN107819733B (zh) 2016-09-14 2016-09-14 用户自助执行黑洞路由的方法、装置和***

Country Status (1)

Country Link
CN (1) CN107819733B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124802B (zh) * 2021-11-10 2023-08-25 中盈优创资讯科技有限公司 一种跨域黑洞路由集中管控方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101179515A (zh) * 2007-12-24 2008-05-14 杭州华三通信技术有限公司 一种抑制黑洞路由的方法和装置
CN105678193A (zh) * 2016-01-06 2016-06-15 杭州数梦工场科技有限公司 一种防篡改的处理方法和装置
CN105959334A (zh) * 2016-07-20 2016-09-21 上海携程商务有限公司 DDoS攻击的自动防御***及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9888028B2 (en) * 2013-05-03 2018-02-06 Centurylink Intellectual Property Llc Combination of remote triggered source and destination blackhole filtering

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101179515A (zh) * 2007-12-24 2008-05-14 杭州华三通信技术有限公司 一种抑制黑洞路由的方法和装置
CN105678193A (zh) * 2016-01-06 2016-06-15 杭州数梦工场科技有限公司 一种防篡改的处理方法和装置
CN105959334A (zh) * 2016-07-20 2016-09-21 上海携程商务有限公司 DDoS攻击的自动防御***及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
运营商网络流量安全监测***的设计与实现;舒园园;《中国优秀硕士学位论文全文数据库信息科技辑》;20160415;第4-5章 *

Also Published As

Publication number Publication date
CN107819733A (zh) 2018-03-20

Similar Documents

Publication Publication Date Title
US7934258B2 (en) System and method for remote authentication security management
Izhikevich et al. {LZR}: Identifying unexpected internet services
EP2760158B1 (en) Policy processing method and network device
CN105262738B (zh) 一种路由器及其防arp攻击的方法
CN101022340B (zh) 实现城域以太网交换机接入安全的智能控制方法
CN110855666B (zh) 基于端云协同的网关设备激活方法、装置、设备及介质
US10375118B2 (en) Method for attribution security system
CN107438074A (zh) 一种DDoS攻击的防护方法及装置
CN107707435B (zh) 一种报文处理方法和装置
CN107733764B (zh) 虚拟可扩展局域网隧道的建立方法、***以及相关设备
US20160072784A1 (en) Client, server, radius capability negotiation method and system between client and server
WO2015131524A1 (zh) 远程访问服务器的方法及web服务器
CN113271299B (zh) 一种登录方法和服务器
CN109936515A (zh) 接入配置方法、信息提供方法及装置
CN107819733B (zh) 用户自助执行黑洞路由的方法、装置和***
CN112870692B (zh) 一种游戏加速方法、加速***、加速装置以及存储介质
CN101141396B (zh) 报文处理方法和网络设备
CN111901284B (zh) 流量控制方法及***
CN105792216B (zh) 基于认证的无线钓鱼接入点检测方法
CN109995759B (zh) 一种物理机接入vpc的方法及相关装置
CN106487751B (zh) 一种数据传输方法、相关装置及***
CN105391720A (zh) 用户终端登录方法及装置
CN114710388B (zh) 一种校园网安全***及网络监护***
CN107566418B (zh) 一种安全管理的方法及接入设备
CN109327375B (zh) 用于建立vxlan隧道的方法、装置和***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant