CN113992347B - 一种报文处理方法及装置 - Google Patents
一种报文处理方法及装置 Download PDFInfo
- Publication number
- CN113992347B CN113992347B CN202111090839.5A CN202111090839A CN113992347B CN 113992347 B CN113992347 B CN 113992347B CN 202111090839 A CN202111090839 A CN 202111090839A CN 113992347 B CN113992347 B CN 113992347B
- Authority
- CN
- China
- Prior art keywords
- message
- address
- tunnel
- flow cleaning
- network message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种报文处理方法及装置。流量清洗设备在接收到目标IP地址的远程牵引指令后,通过第一接口向核心路由器发布牵引路由,牵引路由包括流量清洗设备上用于远程转发报文的第二接口的第一IP地址;通过第一接口接收核心路由器发送的第一网络报文,第一网络报文的目的IP地址为第一IP地址;根据预先配置的第二接口的下一跳IP地址,将第一网络报文进行隧道封装,得到第一隧道报文,第一隧道报文的目的IP地址为下一跳IP地址,下一跳IP地址为高防中心设备的隧道IP地址;将第一隧道报文通过第二接口对应的第一隧道发送给高防中心设备,以使高防中心设备对从第一隧道报文中解析出第一网络报文并对第一网络报文进行流量清洗。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种报文处理方法及装置。
背景技术
随着网络的发展,攻击流量也随之增加,为了避免异常流量的攻击,引入了流量清洗,而传统的异常流量清洗***仅支持本地清洗,参考图1所示的异常流量清洗***。管理中心向清洗设备下发牵引指令,配置guard路由,以使BGP引入guard路由,并发布给邻居核心路由器。核心路由器原有路由为24位掩码,通过精确匹配,就会使得服务器192.168.1.2产生的流量命中guard路由,从而将服务器产生的流量转发至清洗设备。清洗设备会对流量进行清洗,清洗完成后查找路由转发至核心路由器。为了避免再次命中牵引路由,配置回注策略,且策略路由下一跳为下游汇聚交换机,这样就能将清洗后的流量转发至汇聚交换机,进而在汇聚交换机上查找路由完成正常转发。
然而,近年来DDoS攻击频发,攻击流量及影响越来越大,可能会造成清洗设备清洗能力不足的情况,因此出现了大量的高防中心设备将攻击流量牵引至高防中心设备进行防护。因此如何将业务流量牵引至高防中心设备以及如何将清洗完成后的流量回注至原有网络便成了高防中心设备的难点,目前提供的方案是在发生攻击发现业务发生异常时,人为更改CNAME域名到域名DNS服务器,使得DNS服务器更新网络的DNS域名,这样新的流量到达网络时,会默认将流量转发至高防中心设备。但是现有的人为修改CNAME的方法,会存在人工处理延时,且修改过程中用户设备可能已经遭受较长时间的攻击;此外,攻击装在攻击前会获取DNS服务器的IP地址,若攻击者针对该IP地址发起攻击,则可能造成修改后的DNS无法立即生效,进而导致后续的流量无法牵引至高防中心设备。
因此,如何及时的将异常流量牵引到高防中心设备且避免用户设备遭到攻击是值得考虑的技术问题之一。
发明内容
有鉴于此,本申请提供一种报文处理方法及装置,用以及时的将异常流量牵引到高防中心设备且避免用户设备遭到攻击。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种报文处理方法,应用于流量清洗设备中,所述方法,包括:
在接收到目标IP地址的远程牵引指令后,通过第一接口向核心路由器发布牵引路由,所述牵引路由包括所述流量清洗设备上用于远程转发报文的第二接口的第一IP地址;
通过所述第一接口接收所述核心路由器发送的第一网络报文,所述第一网络报文的目的IP地址为所述第一IP地址;
根据预先配置的所述第二接口的下一跳IP地址,将所述第一网络报文进行隧道封装,得到第一隧道报文,所述第一隧道报文的目的IP地址为所述下一跳IP地址,所述下一跳IP地址为高防中心设备的隧道IP地址;
将所述第一隧道报文通过预先建立的所述第二接口对应的第一隧道发送给高防中心设备,以使所述高防中心设备对从所述第一隧道报文中解析出所述第一网络报文并对所述第一网络报文进行流量清洗。
根据本申请的第二方面,提供一种报文处理方法,应用于高防中心设备,所述方法包括:
接收流量清洗设备发送的第一隧道报文,所述第一隧道报文为所述流量清洗设备在接收到远程牵引指令后,对核心路由器发送的第一网络报文进行隧道封装得到的;
从所述第一隧道报文中解析出所述第一网络报文,并对所述第一网络报文进行流量清洗。
根据本申请的第三方面,提供一种报文处理装置,设置于流量清洗设备中,所述装置,包括:
控制模块,用于接收目标IP地址的远程牵引指令。
第一发送模块,用于在所述控制模块接收到目标IP地址的远程牵引指令后,通过第一接口向核心路由器发布牵引路由,所述牵引路由包括所述流量清洗设备上用于远程转发报文的第二接口的第一IP地址;
第一接收模块,用于通过所述第一接口接收所述核心路由器发送的第一网络报文,所述第一网络报文的目的IP地址为所述第一IP地址;
封装模块,用于根据预先配置的所述第二接口的下一跳IP地址,将所述第一网络报文进行隧道封装,得到第一隧道报文,所述第一隧道报文的目的IP地址为所述下一跳IP地址,所述下一跳IP地址为高防中心设备的隧道IP地址;
第二发送模块,用于将所述第一隧道报文通过预先建立的所述第二接口对应的第一隧道发送给高防中心设备,以使所述高防中心设备对从所述第一隧道报文中解析出所述第一网络报文并对所述第一网络报文进行流量清洗。
根据本申请的第四方面,提供一种报文处理装置,设置于高防中心设备中,所述装置,包括:
接收模块,用于接收流量清洗设备发送的第一隧道报文,所述第一隧道报文为所述流量清洗设备在接收到远程牵引指令后,对核心路由器发送的第一网络报文进行隧道封装得到的;
流量清洗模块,用于从所述第一隧道报文中解析出所述第一网络报文,并对所述第一网络报文进行流量清洗。
根据本申请的第五方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
根据本申请的第六方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
本申请实施例的有益效果:
流量清洗设备接收到目标IP地址的远程牵引指令后,向核心路由器发送包括第二接口的牵引路由,使得核心路由器将包括该目标IP地址的第一网络报文发送给流量清洗设备;流量清洗设备接收到该第一网络报文后,就可以基于预先配置的第二接口的下一跳IP地址,也即高防中心设备的隧道IP地址,对该第一网络报文进行封装处理,然后将封装得到的第一隧道报文发送给高防中心设备,使得高防中心设备对接收到的报文进行流量清洗,这样一来,就实现了需要清洗的流量及时准确地到达高防中心设备,而且不需要人工修改CNAME,从而也就避免了人工修改CAME方式所导致的流量清洗延时及人工修改所导致的用户设备遭到攻击的情况的发生。
附图说明
图1是目前提供的一种流量清洗架构示意图;
图2是本申请实施例提供的一种报文处理方法的流程示意图;
图3是本申请实施例提供的另一种报文处理方法的流程示意图;
图4是本申请实施例提供的一种报文处理方法的交互示意图;
图5是本申请实施例提供的一种报文处理装置的结构示意图;
图6是本申请实施例提供的一种远程报文处理的架构图;
图7是本申请实施例提供的一种本地处理报文的架构图;
图8是本申请实施例提供的另一种报文处理装置的结构示意图;
图9是本申请实施例提供的实施报文处理方法的电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请提供的报文处理方法进行详细地说明。
参见图2,图2是本申请提供的一种报文处理方法的流程图,应用于流量清洗设备中,该方法可包括如下所示步骤:
S201、在接收到目标IP地址的远程牵引指令后,通过第一接口向核心路由器发布牵引路由。
其中,上述牵引路由包括流量清洗设备上用于远程转发报文的第二接口的第一IP地址。
本步骤中,检测设备当检测到核心路由器上的流量满足流量清洗条件且需要高防中心对流量进行防护时,会向流量清洗设备发送远程牵引指令。具体来说,该远程牵引指令为上述检测设备在检测到目标IP地址对应的流量达到设定流量时发送的。
可选地,上述设定流量可以但不限于为10Gbps等等,也就是说,当目标IP地址对应的流量达到10Gbps时,则确认该目标IP地址对应的流量需要进行流量防护,可以但不限于包括流量检测、流量清洗等等。
具体地,当流量清洗设备接收到远程牵引指令时,为了能够让目标IP地址对应的流量能够在高防中心设备上进行流量清洗,流量清洗设备会向核心路由器发送牵引路由,该牵引路由包括用于转发报文的第二接口的第一IP地址,然后通过第一接口向核心路由器发送该牵引路由。
需要说明的是,在通过第一接口向核心路由器发送牵引路由之前,会预先与核心路由器建立通信关系,具体可以利用BGP协议与核心路由器建立通信关系,在建立通信关系后会在各自设备上记录该通信关系对应的接口,也即上述第一接口。这样一来,流量清洗设备在接收到远程牵引指令后,会在本地生成牵引路由,然后通过上述第一接口将该牵引路由发送给核心路由器。
可选地,流量清洗设备本身具有流量防护功能。一般情况下,检测设备当确认目标IP地址的流量介于预设阈值与设定流量之间时,则开启流量清洗设备本地的流量防护功能,即检测设备向流量清洗设备发送本地牵引指令。
需要说明的是,上述设定阈值可以但不限于为1Gbps等等。当检测设备检测到目标IP地址的流量大于1Gbps但小于10Gbps时,则检测设备向流量清洗设备发送本地牵引指令。这样一来,流量清洗设备当接收到本端牵引指令时,就开启本地流量防护功能,流量清洗设备触发本地的流量防护功能后流量清洗设备执行的流程可以采用目前现存的本地的流量防护功能,此处不再详细说明。
此外,当检测设备检测到目标IP地址的流量小于1Gbps时,则表明该目标IP地址对应的流量在正常检测范围内,不需要触发流量防护功能。需要说明的是,检测设备在向流量清洗设备发送本地或远程牵引指令时,会先将本地或远程牵引指令上送到管理中心,然后由管理中心向流量清洗设备下发本地或远程牵引指令。
S202、通过所述第一接口接收所述核心路由器发送的第一网络报文,所述第一网络报文的目的IP地址为第一IP地址。
本步骤中,当核心路由器接收到该上述牵引路由后,会修改该目的IP地址对应的路由表项,以使该核心路由器将该目标IP地址的流量均牵引到该流量清洗设备。这样一来,流量清洗设备会接收到外层IP地址为牵引路由中第一IP地址的该目标IP地址的第一网络报文。即,该第一网络报文的内层IP地址为上述目的IP地址,外层目的IP地址为上述牵引路由中第二接口的第一IP地址。
S203、根据预先配置的所述第二接口的下一跳IP地址,将所述第一网络报文进行隧道封装,得到第一隧道报文。
其中,上述第一隧道报文的目的IP地址为所述下一跳IP地址,所述下一跳IP地址为高防中心设备的隧道IP地址。
具体地,为了能够将报文上送到高防中心设备而且不需要人为修改CNAME,流量清洗设备接收到第一网络报文后,会从第一网络报文中解析出第一IP地址,然后进行查找路由表,查询到该第一IP地址对应的接口为第二接口,然后基于第二接口查询到第一网络报文的下一跳IP地址,则根据该第二接口的下一跳IP地址对该第一网络报文进行隧道封装,得到第一隧道报文,其中第一隧道报文的隧道IP地址为高防中心的隧道IP地址。
S204、将所述第一隧道报文通过预先建立的所述第二接口对应的第一隧道发送给高防中心设备,以使高防中心设备对从第一隧道报文中解析出第一网络报文并对第一网络报文进行流量清洗。
本步骤中,流量清洗设备将第一网络报文封装得到第一隧道报文后,会通过预先建立的第二接口对应的第一隧道将第一隧道报文上送给高防中心设备。这样一来,高防中心设备接收到第一隧道报文后,就能从第一隧道报文中解析簇第一网络报文然后对该第一网络报文进行流量清洗。这样一来,通过隧道向高防中心设备发送需要清洗的报文,也就不用采用现有技术中人工修改CNAME的方式,从而可以及时且快速地将需要清洗的流量上送至高防中心设备,进而避免了用户设备遭到攻击。
需要说明的是,第一隧道是预先建立的,且上述第一隧道可以但不限于为GRE(通用路由封装协议,Generic Routing Encapsulation)隧道。且该第一隧道为预先建立的。具体来说,流量清洗设备会通过核心路由器与高防中心设备建立第一隧道,并指定第一隧道在流量清洗设备的接口及隧道IP地址,及第一隧道在高防中心设备的接口及隧道IP地址,并均记录在流量清洗设备和高防中心设备中。
通过实施本申请提供的报文处理方法,流量清洗设备接收到目标IP地址的远程牵引指令后,向核心路由器发送包括第二接口的牵引路由,使得核心路由器将包括该目标IP地址的第一网络报文发送给流量清洗设备;流量清洗设备接收到该第一网络报文后,就可以基于预先配置的第二接口的下一跳IP地址,也即高防中心设备的隧道IP地址,对该第一网络报文进行封装处理,然后将封装得到的第一隧道报文发送给高防中心设备,使得高防中心设备对接收到的报文进行流量清洗,这样一来,就实现了需要清洗的流量及时准确地到达高防中心设备,而且不需要人工修改CNAME,从而也就避免了人工修改CAME方式所导致的流量清洗延时及人工修改所导致的用户设备遭到攻击的情况的发生。
可选地,本申请提供的报文处理方法,还包括:通过预先建立的第三接口对应的第二隧道接收所述高防中心设备发送的第二隧道报文,所述第二隧道报文中携带有流量清洗后无异常的第二网络报文;从所述第二隧道报文中解析出所述第二网络报文;根据预先配置的回注路由中的下一跳IP地址,将所述第二网络报文发送给所述回注路由中的下一跳IP地址对应的核心路由器。
具体地,为了保证报文发送与接收实时性且互不干扰,本申请提出在流量清洗设备与高防中心设备之间建立第二隧道,然后与高防中心设备进行协商,使得高防中心设备利用前述第一隧道接收需要进行流量清洗的网络报文,然后利用第二隧道发送流量清洗通过的网络报文。由此一来,当高防中心设备接收到隧道报文后,会从隧道报文中解析出需要清洗的网络报文,然后对该网络报文进行流量清洗。待清洗完成确认该网络报文无异常时,为了方便描述,将流量清洗后无异常的网络报文记为第二网络报文,则将第二网络报文进行隧道封装,将封装得到的第二隧道报文通过上述第二隧道发送给流量清洗设备。
这样,流量清洗设备接收到上述第二隧道报文后,由于该第二隧道报文是经过流量清洗后返回的报文,表明该第二隧道报文中的内层报文是安全的,因此流量清洗设备需要会从中解析出第二网络报文,然后回注到核心路由器中,则流量清洗设备会根据预先配置的回注路由中的下一跳IP地址,将该第二网络报文发送给核心路由器。由此一来,也就实现了清洗后报文的回注流程,进而保证无异常的报文能正常到达实际接收方。
需要说明的是,上述第二网络报文可以为流量清洗且无异常的第一网络报文等。
基于上述任一实施例,本实施例提供的报文处理方法,还包括:在接收到目标IP地址的远程牵引指令后,关闭流量清洗设备本地的流量清洗功能;当接收到本地牵引指令时,开启流量清洗设备本地的流量清洗功能。
具体地,当流量清洗设备接收到检测设备发送的远程牵引指令后,由于流量清洗设备后续主要用于向高防中心设备发送需要清洗的报文,为了减少流量清洗设备的资源消耗,本实施例提出接收到远程牵引指令后,关闭流量清洗设备本地的流量清洗功能,这样一来,就可以减少本地的流量清洗功能所占用的资源,可以更好地为远程防护转发报文,在一定程度上更提升了流量清洗的实时性,进而避免用户设备遭受攻击。
进一步地,由于一些流量也需要在流量清洗设备本地进行攻击防护,因此,当接收到检测设备发送的本地牵引指令后,会开启流量清洗设备本地的流量清洗功能,这样一来,流量清洗设备就能够更好地在本地进行流量清洗。
综上,不仅能实现流量的远程清洗,也能实现流量的远程清洗,而且不需要人工手动修改CNAME,大大提升了流量清洗的效率。此外,由于不需要修改CNAME,从而也就避免了攻击者在攻击前获取DNS服务器的IP地址,进而也就避免了攻击者攻击该IP地址所造成的人为修改CNAME后无法将流量牵引至高防中心设备的情况发生。
基于同一发明构思,本申请还提供了一种报文处理方法,应用于高防中心设备,高防中心设备实施上述方法时,可以按照图3所示的流程实施,包括如下所示步骤:
S301、接收流量清洗设备发送的第一隧道报文,所述第一隧道报文为所述流量清洗设备在接收到远程牵引指令后,对核心路由器发送的第一网络报文进行隧道封装得到的;
本步骤中,高防中心设备会基于预先与流量清洗设备之间建立的第一隧道接收流量清洗设备发送的第一隧道报文,该第一隧道报文即为需要清洗的报文,且上述第一隧道报文为流量清洗设备接收到远程牵引指令后对核心路由器发来的第一网络报文进行隧道封装得到的。该第一隧道报文的外层目的IP地址为高防中心设备的隧道IP地址。
S302、从第一隧道报文中解析出第一网络报文,并对第一网络报文进行流量清洗。
本步骤中,高防中心设备接收到第一隧道报文后,就可以将第一隧道报文的外层封装剥离,以剥离出第一网络报文,然后就可以对第一网络报文进行流量清洗。
需要说明的是,在对第一网络报文进行流量清洗时,不同用户设备的流量清洗策略可以相同也可以不同,当清洗策略不同时,可以基于第一网络报文的报文信息查询用于处理该第一网络报文的清洗策略,然后对该清洗策略执行清洗流程。
采用图3所示的流程,实现了需要清洗的报文准确地上送至高防中心设备,进而实现报文的及时检测及防护。
可选地,基于上述实施例,本申请提供的报文处理方法,还包括:在对第一网络报文进行流量清洗且确认第一网络报文无异常时,根据预先配置的下一跳IP地址,将第一网络报文封装成第二隧道报文,上述下一跳IP地址为流量清洗设备的隧道IP地址;将第二隧道报文发送给流量清洗设备。
具体地,高防中心设备对接收到的需要清洗的报文按照清洗防护策略清洗后,确认报文无异常时,会将报文回注到流量清洗设备中,基于此,高防中心设备会预先配置清洗后流量的回注路由,即在高防中心设备中预先记录回注路由,该回注路由中的下一跳IP地址为流量清洗设备的隧道IP地址;基于此,高防中心设备对第一网络报文进行流量清洗且确认该第一网络报文无异常时,则会查询路由表,然后确认该第一网络报文的下一跳IP地址(流量清洗设备的隧道IP地址),然后利用该下一跳IP地址对第一网络报文进行隧道封装处理,得到第二隧道报文,该第二隧道报文的外层IP地址为高防中心设备和流量清洗设备的隧道IP地址,内层IP地址为第一网络报文的实际IP地址。然后将第二隧道报文经过预先配置的第二隧道发送给流量清洗设备。这样一来,当流量清洗设备接收到该第二隧道报文后,就可以对第二隧道报文进行解封装处理,以解析出第二网络报文,然后再基于本地的回注路由中记录的下一跳IP地址(核心路由器的IP地址),将第二网络报文发送给核心路由器,以使核心路由器将第二网络报文发送给该报文的实际接收方。从而实现了报文的清洗及准确地回注,进而准确地送至该报文的实际接收方。
可选地,为了更好地保证不同用户间清洗策略的隔离,高防中心设备可以为每个用户预先配置虚拟路由转发(Virtual Route Forwarding,VRF),然后记录不同VRF下的流量清洗策略,也即不同用户分别对应不同的流量清洗策略。具体实现时,可以用每个用户配置唯一的VRF,然后基于VRF为该用户建立用户接收或发送该用户的报文的物理接口,同理,在流量清洗设备侧也会针对每个用户配置分配VRF,相应地,流量清洗设备为该用户分配物理接口用于转发该用户的报文,由此就可以实现不同用户的流量之间的隔离。
需要说明的是,上述高防中心设备可以但不限于为专门用于高效安全防护的网络节点等等。
为了更好地理解本申请提供的报文处理方法,以图4所示的交互图为例进行说明,以检测设备检测到目的IP地址为192.168.1.254的流量为例进行说明,不论是在流量清洗设备进行本地清洗还是在高防中心设备处进行远端清洗,当流量清洗设备发布牵引路由的过程是一样的,只不过发布的牵引路由的内容不同。具体地,当流量清洗设备接收到本地牵引指令(当检测设备检测到192.168.1.254的流量介于1Gbps与10Gbps之间时触发本地牵引指令)或者远程牵引指令(当检测设备检测到192.168.1.254的流量不小于10Gbps之间时触发远程牵引指令)时,流量清洗设备在接收到本地牵引指令后,向核心路由器发送牵引路由,参考图4所示,发布的牵引路由中目标IP地址为192.168.1.254的下一跳IP地址next-hop为10.1.1.1,也即流量清洗设备第一接口的IP地址,这样一来,核心路由器在接收到该牵引路由时,修改核心路由器中192.168.1.254对应的路由表项,以将该路由表项中下一跳IP地址修改为10.1.1.1,进而使得核心路由器后续接收到目的IP地址为192.168.1.254的网络报文时,将该网络报文发送给流量清洗设备,以使流量清洗设备在本地对该网络报文执行流量清洗功能。
而当流量清洗设备接收到远程牵引指令时,向核心路由器发布图4所示的牵引路由,该牵引路由中携带第二接口的第一IP地址,即11.1.1.1,该第一IP地址为该第二接口的物理地址。此外,为了实现在不修改CNAME的情况下报文能够成功上送到高防中心设备,流量清洗设备会预先建立其与高防中心设备之间的第一隧道(对于流量清洗设备来说,该第一隧道为发送隧道且为GRE隧道),以传输需要清洗的报文,建立隧道的方式可以参考目前所存在的方案,此处不再详细描述,而该第一隧道涉及的第一接口的隧道IP地址也参考图4所示,为12.1.1.1,该第一隧道高防中心设备侧的接口的IP地址为15.1.1.1,隧道IP地址为16.1.1.1,然后记录启用第一接口的路由,该路由的下一跳IP地址为高防中心设备的隧道IP地址,参考图4所示。同时高防中心设备会记录存储回注路由:0.0.0.0/0next-hop14.1.1.1,该回注路由包括下一跳IP地址,即用于将报文回注到流量清洗设备的IP地址,也即流量清洗设备的隧道IP地址14.1.1.1。这样一来,当流量清洗设备接收到核心路由器发送的第一网络报文时,会基于上述第一隧道双方的隧道IP地址封装该第一网络报文,然后将封装得到的第一隧道报文发送给核心路由器,然后由核心路由器转发给高防中心设备;高防中心设备接收到该第一隧道报文后,从第一隧道报文中解析出第一网络报文,然后对该第一网络报文进行流量清洗;待清洗完成且确认该报文无异常时,将该第一网络报文记为第二网络报文,然后基于高防中心设备记录的回注路由,将该报文封装成第二隧道报文并通过第二隧道(对于流量清洗设备来说,该第二隧道为接收隧道,为预先建立,且该第二隧道为GRE隧道)经核心路由器发送给流量清洗设备,上述第二隧道在流量清洗设备上的接口记为上述隧道地址14.1.1.1对应的第三接口。这样一来,流量清洗设备会通过第三接口接收第二隧道报文,然后从第二隧道报文中解封装出第二网络报文。为了能够将第二网络报文成功转发给核心路由器,流量清洗设备中会预先配置该第三接口的回注路由,回注路由包括的下一跳IP地址为核心路由器的IP地址:13.1.1.2,参考图4所示,这样一来,流量清洗设备通过查询回注路由,就可以找到该第二网络报文的下一跳IP地址,然后将该第二网络报文发送给核心路由器。由此,在不需要修改CNAME的前提下,实现了高防中心对报文的清洗及回注。
基于同一发明构思,本申请还提供了与上述流量清洗设备实施的报文处理方法对应的报文处理装置。该报文处理装置的实施具体可以参考上述对流量清洗设备实施的报文处理方法的描述,此处不再一一论述。
参见图5,图5是本申请一示例性实施例提供的一种报文处理装置,设置于流量清洗设备中,该装置,包括:
控制模块501,用于接收目标IP地址的远程牵引指令。
第一发送模块502,用于在控制模块501接收到目标IP地址的远程牵引指令后,通过第一接口向核心路由器发布牵引路由,所述牵引路由包括所述流量清洗设备上用于远程转发报文的第二接口的第一IP地址;
第一接收模块503,用于通过所述第一接口接收所述核心路由器发送的第一网络报文,所述第一网络报文的目的IP地址为所述第一IP地址;
封装模块504,用于根据预先配置的所述第二接口的下一跳IP地址,将所述第一网络报文进行隧道封装,得到第一隧道报文,所述第一隧道报文的目的IP地址为所述下一跳IP地址,所述下一跳IP地址为高防中心设备的隧道IP地址;
第二发送模块505,用于将所述第一隧道报文通过预先建立的所述第二接口对应的第一隧道发送给高防中心设备,以使所述高防中心设备对从所述第一隧道报文中解析出所述第一网络报文并对所述第一网络报文进行流量清洗。
可选地,本实施例提供的报文处理装置,还包括:
第二接收模块(图中未示出),用于通过预先建立的第三接口对应的第二隧道接收所述高防中心设备发送的第二隧道报文,所述第二隧道报文中携带有流量清洗后无异常的第二网络报文;
解析模块(图中未示出),用于从所述第二隧道报文中解析出所述第二网络报文;
第三发送模块(图中未示出),用于根据预先配置的回注路由中的下一跳IP地址,将所述第二网络报文发送给所述回注路由中的下一跳IP地址对应的核心路由器。
可选地,本实施例提供的报文处理装置,还包括:
关闭模块(图中未示出),用于在接收到目标IP地址的远程牵引指令后,关闭所述流量清洗设备本地的流量清洗功能;
开启模块(图中未示出),用于当接收到本地牵引指令时,开启所述流量清洗设备本地的流量清洗功能。
可选地,上述远程牵引指令为检测设备在检测到所述目标IP地址对应的流量达到设定流量时发送的。
为了更好地理解本申请提供的报文处理方法,结合图6所示的报文处理架构图进行说明,需要说明的是,图5中的第一发送模块、第一接收模块、第二发送模块可以设置在图6所示的转发模块中,且图6中未示出图5中所有模块,仅是一个示例,并不构成对报文装置结构的限定。在此基础上,控制模块接收到检测设备发送的远程牵引指令后,在本地生成牵引路由,然后将牵引路由发送给转发模块中第一发送模块,以使第一发送模块将该牵引路由通过第一接口发送给核心路由器;然后转发模块的第一接收模块通过第一接口接收核心路由器发送的第一网络报文,并转发给封装模块,然后由封装模块根据预先配置的所述第二接口的下一跳IP地址,将所述第一网络报文进行隧道封装,得到第一隧道报文,并发送给转发模块中的第二发送模块,由第二发送模块将第一隧道报文通过第一隧道发送给高防防护中心,以使高防中心设备从第一隧道报文解析出第一网络报文并进行流量清洗。待高防中心设备流量清洗完成后,会向流量清洗设备发送第二隧道报文,由此转发模块中的第二接收模块会接收到第二隧道报文,并转发给解析模块,待解析模块从第二隧道报文中解析出第二网络报文后,将第二网络报文发送给转发模块中的第三发送模块,然后由第三发送模块根据预先配置的回注路由中的下一跳IP地址,将所述第二网络报文发送给所述回注路由中的下一跳IP地址对应的核心路由器。由此完成了高防中心设备对报文的清洗及回注。
此外,流量清洗设备还具有本地防护功能,大致处理逻辑请参考图7所示,流量清洗设备接收检测设备发送的本地牵引指令,流量清洗设备中的控制模块会基于该本地牵引指令向核心路由器发送本地牵引路由,以使核心路由器将后续该目标IP地址的流量牵引到流量清洗设备中。这样图7中流量清洗设备中的防护模块会接收到核心路由器发送的牵引流量(目标IP地址对应的流量),该防护模块接收到该牵引流量时,会对该牵引流量进行流量清洗;当清洗完成后,如果确认该牵引流量无误则将该牵引流量发送给转发模块,以使该转发模块将清洗后的牵引流量回注到核心路由器,进而使得核心路由器将该牵引流量下发给该流量的实际接收方。
基于同一发明构思,本申请还提供了与上述高防中心设备实施的报文处理方法对应的报文处理装置。该报文处理装置的实施具体可以参考上述对高防中心设备实施的报文处理方法的描述,此处不再一一论述。
参见图8,图8是本申请一示例性实施例提供的一种报文处理装置,设置于高防中心设备中,该装置,包括:
接收模块801,用于接收流量清洗设备发送的第一隧道报文,所述第一隧道报文为所述流量清洗设备在接收到远程牵引指令后,对核心路由器发送的第一网络报文进行隧道封装得到的;
流量清洗模块802,用于从所述第一隧道报文中解析出所述第一网络报文,并对所述第一网络报文进行流量清洗。
可选地,本实施例提供的报文处理装置,还包括:
封装模块(图中未示出),用于在对所述第一网络报文进行流量清洗且确认所述第一网络报文无异常时,根据预先配置的下一跳IP地址,将所述第一网络报文封装成第二隧道报文,所述下一跳IP地址为流量清洗设备的隧道IP地址;
发送模块(图中未示出),用于将所述第二隧道报文发送给所述流量清洗设备。
基于同一发明构思,本申请实施例提供了一种电子设备,该电子设备可以但不限于为上述流量清洗设备、高防中心设备等等。如图9所示,该电子设备包括处理器901和机器可读存储介质902,机器可读存储介质902存储有能够被处理器901执行的计算机程序,处理器901被计算机程序促使执行本申请任一实施例所提供的报文处理方法。此外,该电子设备还包括通信接口903和通信总线904,其中,处理器901,通信接口903,机器可读存储介质902通过通信总线904完成相互间的通信。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM)、DDR SRAM(Double Data Rate Synchronous Dynamic Random Access Memory,双倍速率同步动态随机存储器),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
另外,本申请实施例提供了一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例所提供的报文处理方法。
对于电子设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元/模块,即可以位于一个地方,或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (11)
1.一种报文处理方法,其特征在于,应用于流量清洗设备中,所述方法,包括:
在接收到目标IP地址的远程牵引指令后,通过第一接口向核心路由器发布牵引路由,所述牵引路由包括所述流量清洗设备上用于远程转发报文的第二接口的第一IP地址;
通过所述第一接口接收所述核心路由器发送的第一网络报文,所述第一网络报文的目的IP地址为所述第一IP地址;
根据预先配置的所述第二接口的下一跳IP地址,将所述第一网络报文进行隧道封装,得到第一隧道报文,所述第一隧道报文的目的IP地址为所述下一跳IP地址,所述下一跳IP地址为高防中心设备的隧道IP地址;
将所述第一隧道报文通过预先建立的所述第二接口对应的第一隧道发送给高防中心设备,以使所述高防中心设备对从所述第一隧道报文中解析出所述第一网络报文并对所述第一网络报文进行流量清洗。
2.根据权利要求1所述的方法,其特征在于,还包括:
通过预先建立的第三接口对应的第二隧道接收所述高防中心设备发送的第二隧道报文,所述第二隧道报文中携带有流量清洗后无异常的第二网络报文;
从所述第二隧道报文中解析出所述第二网络报文;
根据预先配置的回注路由中的下一跳IP地址,将所述第二网络报文发送给所述回注路由中的下一跳IP地址对应的核心路由器。
3.根据权利要求1所述的方法,其特征在于,还包括:
在接收到目标IP地址的远程牵引指令后,关闭所述流量清洗设备本地的流量清洗功能;
当接收到本地牵引指令时,开启所述流量清洗设备本地的流量清洗功能。
4.根据权利要求1所述的方法,其特征在于,所述远程牵引指令为检测设备在检测到所述目标IP地址对应的流量达到设定流量时发送的。
5.一种报文处理方法,其特征在于,应用于高防中心设备,所述方法包括:
接收流量清洗设备发送的第一隧道报文,所述第一隧道报文为所述流量清洗设备在接收到远程牵引指令后,对核心路由器发送的第一网络报文进行隧道封装得到的;
从所述第一隧道报文中解析出所述第一网络报文,并对所述第一网络报文进行流量清洗。
6.根据权利要求5所述的方法,其特征在于,还包括:
在对所述第一网络报文进行流量清洗且确认所述第一网络报文无异常时,根据预先配置的下一跳IP地址,将所述第一网络报文封装成第二隧道报文,所述下一跳IP地址为流量清洗设备的隧道IP地址;
将所述第二隧道报文发送给所述流量清洗设备。
7.一种报文处理装置,其特征在于,设置于流量清洗设备中,所述装置,包括:
控制模块,用于接收目标IP地址的远程牵引指令;
第一发送模块,用于在所述控制模块接收到目标IP地址的远程牵引指令后,通过第一接口向核心路由器发布牵引路由,所述牵引路由包括所述流量清洗设备上用于远程转发报文的第二接口的第一IP地址;
第一接收模块,用于通过所述第一接口接收所述核心路由器发送的第一网络报文,所述第一网络报文的目的IP地址为所述第一IP地址;
封装模块,用于根据预先配置的所述第二接口的下一跳IP地址,将所述第一网络报文进行隧道封装,得到第一隧道报文,所述第一隧道报文的目的IP地址为所述下一跳IP地址,所述下一跳IP地址为高防中心设备的隧道IP地址;
第二发送模块,用于将所述第一隧道报文通过预先建立的所述第二接口对应的第一隧道发送给高防中心设备,以使所述高防中心设备对从所述第一隧道报文中解析出所述第一网络报文并对所述第一网络报文进行流量清洗。
8.根据权利要求7所述的装置,其特征在于,还包括:
第二接收模块,用于通过预先建立的第三接口对应的第二隧道接收所述高防中心设备发送的第二隧道报文,所述第二隧道报文中携带有流量清洗后无异常的第二网络报文;
解析模块,用于从所述第二隧道报文中解析出所述第二网络报文;
第三发送模块,用于根据预先配置的回注路由中的下一跳IP地址,将所述第二网络报文发送给所述回注路由中的下一跳IP地址对应的核心路由器。
9.根据权利要求7所述的装置,其特征在于,还包括:
关闭模块,用于在接收到目标IP地址的远程牵引指令后,关闭所述流量清洗设备本地的流量清洗功能;
开启模块,用于当接收到本地牵引指令时,开启所述流量清洗设备本地的流量清洗功能。
10.一种报文处理装置,其特征在于,设置于高防中心设备中,所述装置,包括:
接收模块,用于接收流量清洗设备发送的第一隧道报文,所述第一隧道报文为所述流量清洗设备在接收到远程牵引指令后,对核心路由器发送的第一网络报文进行隧道封装得到的;
流量清洗模块,用于从所述第一隧道报文中解析出所述第一网络报文,并对所述第一网络报文进行流量清洗。
11.根据权利要求10所述的装置,其特征在于,还包括:
封装模块,用于在对所述第一网络报文进行流量清洗且确认所述第一网络报文无异常时,根据预先配置的下一跳IP地址,将所述第一网络报文封装成第二隧道报文,所述下一跳IP地址为流量清洗设备的隧道IP地址;
发送模块,用于将所述第二隧道报文发送给所述流量清洗设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111090839.5A CN113992347B (zh) | 2021-09-17 | 2021-09-17 | 一种报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111090839.5A CN113992347B (zh) | 2021-09-17 | 2021-09-17 | 一种报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992347A CN113992347A (zh) | 2022-01-28 |
| CN113992347B true CN113992347B (zh) | 2023-09-19 |
Family
ID=79735985
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111090839.5A Active CN113992347B (zh) | 2021-09-17 | 2021-09-17 | 一种报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992347B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107995324A (zh) * | 2017-12-04 | 2018-05-04 | 北京奇安信科技有限公司 | 一种基于隧道模式的云防护方法及装置 |
| CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护***、方法、装置、电子设备和存储介质 |
| CN111355649A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 流量回注方法、装置和*** |
| CN112532621A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9888028B2 (en) * | 2013-05-03 | 2018-02-06 | Centurylink Intellectual Property Llc | Combination of remote triggered source and destination blackhole filtering |
-
2021
- 2021-09-17 CN CN202111090839.5A patent/CN113992347B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107995324A (zh) * | 2017-12-04 | 2018-05-04 | 北京奇安信科技有限公司 | 一种基于隧道模式的云防护方法及装置 |
| CN111355649A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 流量回注方法、装置和*** |
| CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护***、方法、装置、电子设备和存储介质 |
| CN112532621A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置、电子设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 分布式防范DDos攻击的解决方案探析;程作品;;科协论坛(下半月)(第05期);全文 * |
| 基于P2P的僵尸网络防治技术研究;聂利颖;高静;;现代电子技术(第11期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992347A (zh) | 2022-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10148573B2 (en) | Packet processing method, node, and system | |
| US10191758B2 (en) | Directing data traffic between intra-server virtual machines | |
| EP3846406A1 (en) | Dynamic security actions for network tunnels against spoofing | |
| US10708146B2 (en) | Data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience | |
| EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
| US8509243B2 (en) | Method and device for sending a packet based on tunneling protocol used in layer 2 | |
| US8345682B2 (en) | Data path processing information included in the pseudowire layer of packets | |
| WO2016101646A1 (zh) | 以太虚拟网络的接入方法及装置 | |
| US9674142B2 (en) | Monitoring network traffic | |
| CN106341423B (zh) | 一种报文处理方法和装置 | |
| WO2016119734A1 (en) | Access layer-2 virtual private network from layer-3 virtual private network | |
| CN113452594B (zh) | 一种隧道报文的内层报文匹配方法及装置 | |
| US10263901B2 (en) | Service packet processing method, apparatus, and system | |
| CN105637819A (zh) | 用于传输广播数据的方法和*** | |
| CN107241294B (zh) | 网络流量的处理方法及装置、清洗设备、网络设备 | |
| CN111147519A (zh) | 数据检测方法、装置、电子设备和介质 | |
| CN107690004A (zh) | 地址解析协议报文的处理方法及装置 | |
| US20230097734A1 (en) | Wire-speed routing and policy enforcement without dpi or decryption | |
| CN113992347B (zh) | 一种报文处理方法及装置 | |
| CN112165460A (zh) | 流量检测方法、装置、计算机设备和存储介质 | |
| CN105850091B (zh) | 用于提供通信服务提供方和提供服务的ip服务器之间的连接的方法、边界网络装置以及ip服务器 | |
| CN111654474B (zh) | 一种安全检测的方法和装置 | |
| JP2023531034A (ja) | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 | |
| US20180234334A1 (en) | Redirecting flow control packets | |
| EP4333382A1 (en) | Packet transmission method, apparatus and system, network device, and storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |