本发明专利技术实施例提供了一种数据过滤方法和装置,以解决现有DDoS流量攻击而导致网络不稳定的问题。所述的方法包括:接收运营商边界网络设备PE发送的第一流量;当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传第一流量;将所述流路由发送给所述PE设备;当接收到所述PE透传的第一流量时,保留所述流路由。能够基于透传的攻击流量保持Flow Route的有效性,减少对网络稳定性的影响。
【技术实现步骤摘要】
本专利技术涉及通信
,特别是涉及一种数据过滤方法和装置。
技术介绍
随着互联网的发展,针对企业的各类恶意攻击也日益繁多,企业面临着越来越多的安全问题。例如,目前较为常见的一种针对企业的攻击:DDoS(Distributed Denial of Service,分布式拒绝服务)。DDoS攻击发生时,大量的流量直接从运营商一侧涌入,瞬间占用企业的出口链路资源,造成无法接入正常业务流量,使得企业无法正常执行业务。
技术实现思路
本专利技术实施例所要解决的技术问题是提供一种数据过滤方法,以解决现有DDoS流量攻击而导致网络不稳定的问题。相应的,本专利技术实施例还提供了一种数据过滤的装置,用以保证上述方法的实现及应用。为了解决上述问题,本专利技术实施例公开了一种数据过滤方法,包括:接收运营商边界网络设备PE发送的第一流量;当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传第一流量;将所述流路由发送给所述PE设备;当接收到所述PE透传的第一流量时,保留所述流路由。可选的,在所述当判断第一流量为攻击流量后,还包括:获取针对第一流量的流操作策略,依据所述流操作策略确定第一信息。可选的,所述依据所述流操作策略确定第一信息,包括:当所述流操作策略包括丢弃所述第一流量时,确定所述第一信息包括放行第一范围的第一流量。可选的,所述依据所述流操作策略确定第一信息,包括:当所述流操作策略包括限制所述第一流量的传输速度时,确定所述第一信息包括用于指示PE设备增加标识的控制指令,所述标识用于使所述CE设备识别出接收的流量为透传的第一流量。可选的,还包括:判断未接收到透传的第一流量时,删除所述流路由。本专利技术实施例还公开了一种数据过滤的装置,包括:接收模块,用于接收运营商边界网络设备PE发送的第一流量;生成模块,用于当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传第一流量;发送模块,用于将所述流路由发送给所述PE设备;流路由处理模块,用于当接收到所述PE透传的第一流量时,保留所述流路由。可选的,所述的装置还包括:第一信息确定模块,用于获取针对第一流量的流操作策略,依据所述流操作策略确定第一信息。可选的,所述第一信息确定模块,用于当所述流操作策略包括丢弃所述第一流量时,确定所述第一信息包括放行第一范围的第一流量。可选的,所述第一信息确定模块,用于当所述流操作策略包括限制所述第一流量的传输速度时,确定所述第一信息包括用于指示PE设备增加标识的控制指令,所述标识用于使所述CE设备识别出接收的流量为透传的第一流量。可选的,所述流路由处理模块,还用于判断未接收到透传的第一流量时,删除所述流路由。与现有技术相比,本专利技术实施例包括以下优点:接收PE设备发送的第一流量,当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由Flow Route,所述第一信息用于指示所述PE透传第一流量,然后将所述流路由发送给所述PE,PE设备会依据第一信息透传部分攻击流量给CE设备,CE设备当接收到所述PE透传的第一流量时,确认仍然存在攻击流量,会继续保留该Flow Route,从而CE设备能够基于透传的攻击流量保持Flow Route的有效性,减少对网络稳定性的影响。附图说明图1是本专利技术实施例的Flow-spec防攻击组网示意图;图2是本专利技术一个实施例的一种数据过滤方法的步骤流程图;图3是本专利技术另一个实施例的一种数据过滤方法的步骤流程图;图4是本专利技术另一个实施例的另一种数据过滤方法的步骤流程图;图5是本专利技术一种数据过滤的装置实施例的结构框图;图6是本专利技术另一种数据过滤的装置实施例的结构框图。具体实施方式为使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本专利技术作进一步详细的说明。通常流量的接入可以大致分为两类:一是正常业务对应的正常流量,一是恶意攻击对应的攻击流量。其中一种流量攻击方式是DDoS攻击,可以通过Flow-spec技术来实现对DDoS攻击的防御。其中,Flow-spec技术防DDoS攻击的原理是:当网络检测到攻击流量时,可以触发产生一条流路由,即Flow Route。Flow Route可以携带包含IP(Internet Protocol,网络之间互连的协议)5元组和TCP(Transmission Control Protocol,传输控制协议)的控制字段等17个属性流信息以及对流处理信息,它可以借助MP-BGP广播到上游各个路由器,上游路由器根据这条Flow route的信息,自动产生一个动态过滤列表来过滤或限速攻击流量,达到防止DDoS攻击的目的。Flow-spec技术实际上提供了一种功能强大、高效、灵活的防DDoS攻击的方法。如图1所示,当客户侧边缘(Customer Edge,CE)网络设备检测到攻击流量时,生成流路由(Flow route)信息,通过边界网关协议(Border Gateway Protocol,BGP)Flow-spec报文扩散到运营商边界(Provider Edge,PE)网络设备,PE设备再把Flow route传给各个核心设备(Provider)P,P-1设备和P-2设备学习到BGP Flow-spec报文,从中学习到Flow Route,将该攻击流量对应的Flow Route发送给驱动。后续攻击流量过来时,P-1和P-2设备直接依据Flow Route对攻击流量进行清洗,而不透传给运营商侧的PE设备。但是,如果DDoS流量攻击持续时间较长,就会影响网络稳定性。本专利技术实施例的核心构思之一在于,提出一种数据过滤方法和CE设备,以解决现有DDoS流量攻击而导致网络不稳定的问题。接收PE设备发送的第一流量,当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由Flow Route,所述第一信息用于指示所述PE透传第一流量,然后将所述流路由发送给所述PE,PE设备会依据第一信息透传部分攻击流量给CE设备,CE设备当接收到所述PE透传的第一流量时,确认仍然存在攻击流量,会继续保留该Flow Route,从而CE设备能够基于透传的攻击流量保持Flow Route的有效性,减少对网络稳定性的影响。参照图2,示出了本专利技术一个实施例的一种数据过滤方法的步骤流程图,其中,该数据过滤的方法应用于CE设备中,具体可以包括如下步骤:步骤202,接收PE设备发送的第一流量。步骤204,当判断第一流量为攻击流量时,针对所述第一流量生成对应携带第一信息的流路由。步骤206,将所述流路由发送给PE设备。通过核心设备P设备接收第一流量,在P设备判断出该第一流量不为攻击流量后,通过PE设备将该第一流量发送给CE设备。CE设备接收第一流量,然后可以通过任意一种适当的方式对第一流量进行安全监测(例如,根据CE设备中缓存的攻击表项,判断该第一流量中携带的特征是否与该攻击表项中的内容匹配,若匹配,则确定该第一流量为攻击流量),判断第一流量是否是攻击流量。其中,当确定所述接入流量不是攻击流量时,可以直接结束流程,业务正常执行,即将流量转发给对应主机。当确定所述第一流量是攻击流量时,对所述第一流量进行清洗,本文档来自技高网...
【技术保护点】
一种数据过滤方法,其特征在于,包括:接收运营商边界网络设备PE发送的第一流量;当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传第一流量;将所述流路由发送给所述PE设备;当接收到所述PE透传的第一流量时,保留所述流路由。
【技术特征摘要】
1.一种数据过滤方法,其特征在于,包括:接收运营商边界网络设备PE发送的第一流量;当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传第一流量;将所述流路由发送给所述PE设备;当接收到所述PE透传的第一流量时,保留所述流路由。2.根据权利要求1所述的方法,其特征在于,在所述当判断第一流量为攻击流量后,还包括:获取针对第一流量的流操作策略,依据所述流操作策略确定第一信息。3.根据权利要求2所述的方法,其特征在于,所述依据所述流操作策略确定第一信息,包括:当所述流操作策略包括丢弃所述第一流量时,确定所述第一信息包括放行第一范围的第一流量。4.根据权利要求2所述的方法,其特征在于,所述依据所述流操作策略确定第一信息,包括:当所述流操作策略包括限制所述第一流量的传输速度时,确定所述第一信息包括用于指示PE设备增加标识的控制指令,所述标识用于使所述CE设备识别出接收的流量为透传的第一流量。5.根据权利要求1所述的方法,其特征在于,还包括:判断未接收到透传的第一流量时,删除所述流路由。6.一种数据过滤的装...
【专利技术属性】
技术研发人员:陈岩,余清炎,王伟,黄李伟,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。