一种DDoS流量清洗处理的方法及装置制造方法及图纸

一种分布式拒绝服务流量清洗处理方法，包括：接收分布式部署的各个清洗节点上报的当前流量；选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗。本方案能够在负载均衡各个清洗节点的同时，保证某个清洗节点过载情况下，不影响用户业务。

【技术实现步骤摘要】

本申请涉及但不限于通信领域，尤指一种DDoS(Distributed Denial of Service，分布式拒绝服务)流量清洗处理的方法及装置。
技术介绍
现有的DDoS流量清洗部署方案，除了运营商级的BGP(Border Gateway Protocol，边界网关协议)Anycast方案之外，都解决不了大流量针对非网站类业务的攻击，同时针对网站类业务的防护，也没有很好解决分布式清洗节点之间的负载均衡问题。但是BGP Anycast方案由于资源问题只能由运营商自身来部署，并且回注方案复杂，而且只能对该运营商的业务提供保护，无法针对全网用户提供防护。目前业界的DDoS流量清洗部署方式主要有以下几种：1、本地部署：部署在受保护网络的出口，一般旁路在出口路由器上，对到内网的攻击流量进行清洗。2、运营商级分布式部署：在运营商骨干网不同节点上部署DDoS清洗设备，当受保护的某个目的IP受到攻击时，通过BGP Anycast方式将攻击流量在进入该运营商网络后就近牵引到多个清洗节点进行处理。清洗完成之后，各个清洗节点通过MPLS(Multi-Protocol Label Switching，多协议标签交换)或GRE(Generic Routing Encapsulation，通用路由封装协议)的方式将清洗后的流量回注到受保护的目的IP。3、IDC(Internet Data Center，互联网数据中心)级分布式部署：在多个IDC出口部署DDoS清洗设备，当用户遭受攻击时，通过更改用户DNS(Domain Name System，域名系统)指向，将流量引入清洗节点进行清洗。方式1的缺点：当攻击流量大于受保护网路的出口带宽时，直接将出口带宽塞满，本地部署的清洗设备将起不到防御作用。方式2的缺点：对于BGP Anycast引流方式，仅有运营商有此资源，而且只能为本运营商的用户提供服务。同时此种部署方式需要通过MPLS或者GRE等隧道方式回注流量，配置比较复杂，配置不当容易引入环路。方式3的缺点：只能通过DNS方式进行牵引，因此只能支持网站类等依赖DNS获取IP的业务，对于直接通过指定IP进行通信的业务无法通过此方案进行引流，如诸多网络游戏。
技术实现思路
本专利技术实施例提供一种DDoS流量清洗处理的方法及装置，能够实现流量调度。本专利技术实施例提供了一种分布式拒绝服务流量清洗处理方法，包括：接收分布式部署的各个清洗节点上报的当前流量；选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗。可选地，所述接收分布式部署的各个清洗节点上报的当前流量，包括：接收到本地域名系统服务器发送的域名系统请求消息后，接收分布式部署的各个清洗节点上报的当前流量；所述选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：根据所述域名系统请求消息中携带的IP地址，从当前流量未超出各自流量阈值的清洗节点中选择就近的清洗节点，将所选择的清洗节点上配置的代理IP地址信息发送给所述本地域名系统服务器。可选地，所述获取分布式部署的各个清洗节点的当前流量之前，还包括：设置受保护的用户源站域名和IP地址，将所述用户源站域名和IP地址的对应关系发送给所述分布式部署的各个清洗节点。可选地，所述获取分布式部署的各个清洗节点的当前流量，包括：定时接收分布式部署的各个清洗节点上报的当前流量；所述选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：将当前流量未超出各自流量阈值的清洗节点上配置的代理IP地址信息发送给地址分配服务器。可选地，所述获取分布式部署的各个清洗节点的当前流量之前，还包括：为用户源站选择所述分布式部署的各个清洗节点中配置的代理IP地址；将用户源站的IP地址与所选的清洗节点中配置的代理IP地址的对应关系信息发送给所述分布式部署的各个清洗节点和所述地址分配服务器。本专利技术实施例还提供了一种分布式拒绝服务流量清洗处理的装置，包括：接收模块，用于接收分布式部署的各个清洗节点上报的当前流量；选择模块，用于选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理。可选地，所述接收模块，是在接收到本地域名系统服务器发送的域名系统请求消息后，接收分布式部署的各个清洗节点上报的当前流量的；所述选择模块，选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：根据所述域名系统请求消息中携带的IP地址，从当前流量未超出各自流量阈值的清洗节点中选择就近的清洗节点，将所选择的清洗节点上配置的代理IP地址信息发送给所述本地域名系统服务器。可选地，设置模块，用于设置受保护的用户源站域名和IP地址，将所述用户源站域名和IP地址的对应关系发送给所述分布式部署的各个清洗节点。可选地，所述接收模块，是定时接收分布式部署的各个清洗节点上报的当前流量的；所述选择模块，选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：将当前流量未超出各自流量阈值的清洗节点上配置的代理IP地址信息发送给地址分配服务器。可选地，所述装置还包括：设置模块，为用户源站选择所述分布式部署的各个清洗节点中配置的代理IP地址；将用户源站的IP地址与所选的清洗节点中配置的代理IP地址的对应关系信息发送给所述分布式部署的各个清洗节点和所述地址分配服务器。本专利技术实施例还提供一种分布式拒绝服务流量清洗处理的方法，包括：地址分配服务器接收到当前流量未超出各自流量阈值的清洗节点中配置的代理IP地址信息后，更新本地存储的清洗节点的代理IP地址信息；所述地址分配服务器根据在线的客户端的IP地址地理位置信息，选择就近的清洗节点的代理IP地址信息发送给所述客户端。可选地，所述地址分配服务器更新本地存储的清洗节点的代理IP地址信息之前，还包括：所述地址分配服务器接收用户源站的IP地址与清洗节点中配置的代理IP地址的对应关系信息；所述地址分配服务器将本地的用户源站的IP地址设置为对应的清洗节点中配置的代理IP地址。本专利技术实施例还提供一种地址分配服务器，包括：更新模块，用于接收到当前流量未超出各自流量阈值的清洗节点中配置的代理IP地址信息后，更新本地存储的清洗节点的代理IP地址信息；选择模块，用于根据在线的客户端的IP地址地理位置信息，选择就近的清洗节点的代理IP地址信息发送给所述客户端。可选地，所述地址分配服务器还包括：接收模块，用于接收用户源站的IP地址与清洗节点中配置的代理IP地址的对应关系信息；设置模块，用于将本地的用户源站的IP地址设置为对应的清洗节点中配置的代理IP地址。综上，本专利技术实施例提供的一种分布式拒绝服务流量清洗处理方法及装置，在IDC级分布式部署方法之上，提出了一种针对各种类型业务进行防护的分布式DDoS流量清洗架构，能够在负载均衡各个清洗节点的同时，保证某个清洗节点过载情况下，不影响用户业务。附图说明图1为本专利技术实施例一的DDoS流量清洗处理的方法的流程图；图2为本专利技术实施例二的DDoS流量清洗处理的方法的流程图；图3为本专利技术实施例的DDoS流量清洗处理的系统的示意图；图4为本专利技术应用示例一的DDoS流量清洗处理的方法的流程图；图5为本专利技术应用示例二的DDoS流量清洗处理的方法的流程图；图6为本专利技术应用示例三的DDoS流量清洗处理的方法的流程图；图7为本专利技术本文档来自技高网...

【技术保护点】
一种分布式拒绝服务流量清洗处理方法，包括：接收分布式部署的各个清洗节点上报的当前流量；选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗。

【技术特征摘要】
1.一种分布式拒绝服务流量清洗处理方法，包括：接收分布式部署的各个清洗节点上报的当前流量；选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗。2.如权利要求1所述的方法，其特征在于：所述接收分布式部署的各个清洗节点上报的当前流量，包括：接收到本地域名系统服务器发送的域名系统请求消息后，接收分布式部署的各个清洗节点上报的当前流量；所述选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：根据所述域名系统请求消息中携带的IP地址，从当前流量未超出各自流量阈值的清洗节点中选择就近的清洗节点，将所选择的清洗节点上配置的代理IP地址信息发送给所述本地域名系统服务器。3.如权利要求2所述的方法，其特征在于：所述获取分布式部署的各个清洗节点的当前流量之前，还包括：设置受保护的用户源站域名和IP地址，将所述用户源站域名和IP地址的对应关系发送给所述分布式部署的各个清洗节点。4.如权利要求1所述的方法，其特征在于：所述获取分布式部署的各个清洗节点的当前流量，包括：定时接收分布式部署的各个清洗节点上报的当前流量；所述选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：将当前流量未超出各自流量阈值的清洗节点上配置的代理IP地址信息发送给地址分配服务器。5.如权利要求4所述的方法，其特征在于：所述获取分布式部署的各个清洗节点的当前流量之前，还包括：为用户源站选择所述分布式部署的各个清洗节点中配置的代理IP地址；将用户源站的IP地址与所选的清洗节点中配置的代理IP地址的对应关系信息发送给所述分布式部署的各个清洗节点和所述地址分配服务器。6.一种分布式拒绝服务流量清洗处理的装置，其特征在于，包括：接收模块，用于接收分布式部署的各个清洗节点上报的当前流量；选择模块，用于选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理。7.如权利要求6所述的装置，其特征在于：所述接收模块，是在接收到本地域名系统服务器发送的域名系统请求消息后，接收分布式部署的各个清洗节点上报的当前流量的；所述选择模块，选择当前流量未超出各自流量阈值的清洗节点进行业务流量清洗处理包括：根据所述域名系统请求消息中携带的IP地址，从当前流量未超出各自流量阈值的清洗...

【专利技术属性】
技术研发人员：肖洪亮，
申请(专利权)人：北京兰云科技有限公司，
类型：发明
国别省市：北京;11