基于FRR软件路由集群的IP封堵方法、系统及介质技术方案

本发明专利技术涉及基于FRR软件路由集群的IP封堵方法、系统及介质。其中，IP封堵方法包括：S1、对下发的IP封堵任务进行任务处理，以将各IP封堵任务划分为小任务或正常任务；小任务的待封堵IP的数量小于正常任务的待封堵IP的数量；S2、利用智能调度算法调度FRR软件路由集群中的目标FRR封堵节点，以执行小任务或正常任务的IP封堵；FRR软件路由集群包括数个FRR封堵节点；S3、目标FRR封堵节点产生的黑洞路由通过BGP转发节点同步至外部BGP对等体。本发明专利技术通过FRR软件路由集群技术实现黑洞路由下发，并通过路由重分布机制实现BGP协议转换下发至BGP对等体，从而实现IP高并发大容量快速封堵。从而实现IP高并发大容量快速封堵。从而实现IP高并发大容量快速封堵。

【技术实现步骤摘要】
基于FRR软件路由集群的IP封堵方法、系统及介质


[0001]本专利技术属于网络安全
，具体涉及基于FRR软件路由集群的IP封堵方法、系统及介质。

技术介绍

[0002]随着数字化进程的推进，网络安全问题愈加突出，网络安全监管愈加严格。尤其是在重大活动保障期间，企业一旦出现网络安全问题，将带来重大的负面影响，在面对僵尸网络、DDOS攻击、挖矿等安全风险时，通常会存在大量的IP地址需要快速封堵处置。
[0003]现有基于DPI等封堵手段已无法满足日益增长的IP封堵数量以及时效性要求。因此，亟需开发具备大容量高速封堵技术满足安全应急处置要求。

技术实现思路

[0004]基于现有技术中存在的上述缺点和不足，本专利技术的目的是提供基于FRR软件路由集群的IP封堵方法、系统及介质。
[0005]为了达到上述专利技术目的，本专利技术采用以下技术方案：基于FRR软件路由集群的IP封堵方法，包括以下步骤：S1、对下发的IP封堵任务进行任务处理，以将各IP封堵任务划分为小任务或正常任务；其中，IP封堵任务包括若干待封堵IP；小任务的待封堵IP的数量小于正常任务的待封堵IP的数量；S2、利用智能调度算法调度FRR软件路由集群中的目标FRR封堵节点，以执行小任务或正常任务的IP封堵；其中，FRR软件路由集群包括数个FRR封堵节点；小任务的执行优先级高于正常任务的执行优先级；S3、目标FRR封堵节点产生的黑洞路由通过BGP转发节点同步至外部BGP对等体。
[0006]作为优先方案，所述步骤S1中，对下发的IP封堵任务进行任务处理，包括以下步骤：S11、判断IP封堵任务的待封堵IP的数量是否超出第一预设阈值；若是，则转至步骤S12；若否，则IP封堵任务划分为小任务；S12、判断IP封堵任务的待封堵IP的数量是否处于第一预设阈值与第二预设阈值之间，第二预设阈值大于第一预设阈值；若是，则IP封堵任务划分为正常任务；若否，则转至步骤S13；S13、对IP封堵任务进行任务拆分，拆分为数个正常任务。
[0007]作为优先方案，所述步骤S11之前，还包括步骤：S10、对IP封堵任务的待封堵IP进行IP白名单和已封堵IP名单的过滤；其中，IP白名单包括禁止封堵的IP。
[0008]作为优先方案，所述步骤S2中，利用智能调度算法调度FRR软件路由集群中的目标FRR封堵节点，包括以下步骤：
S21、获取FRR软件路由集群中的各FRR封堵节点的静态路由条目可用容量，并筛选出静态路由条目可用容量最大的初选FRR封堵节点；S22、判断初选FRR封堵节点是否存在任务执行；若是，则返回至步骤S21；若否，则转至步骤S23；S23、判断初选FRR封堵节点是否处于可用状态；若是，则初选FRR封堵节点作为目标FRR封堵节点；若否，则返回至步骤S21。
[0009]作为优先方案，所述步骤S21中，FRR封堵节点的静态路由条目可用容量为FRR封堵节点的预设静态路由容量与已下发使用的静态路由条目数量的差值。
[0010]作为优先方案，所述步骤S23中，通过FRR封堵节点的长连接状态CS、BGP转发节点的IBGP状态IS、BGP转发节点的EBGP状态ES和BGP转发节点的重分布状态RS判断初选FRR封堵节点是否处于可用状态，包括：通过SSH登录FRR封堵节点后设置下发周期下发回车符探测其存活性；若成功，则CS赋值1；若失败，则CS置为0；通过在BGP转发节点获取BGP全局信息后，判断FRR封堵节点的BGP状态是否建立；若是，则IS赋值1；若否，则IS置为0；通过在BGP转发节点获取BGP全局信息后，判断外部BGP对等体的BGP状态是否建立；若是，则ES赋值1；若否，则ES置为0；通过在BGP转发节点获取重分布状态；若成功，则RS赋值1；若失败，则RS置为0；可用状态的判断公式为CS*IS*ES*RS；若CS*IS*ES*RS的值为1，则初选FRR封堵节点处于可用状态。
[0011]作为优先方案，所述IP封堵方法还包括：定时监测各FRR封堵节点的静态路由条目可用容量并求和得到总体剩余容量TRC；根据总体剩余容量以及所有FRR封堵节点的预设静态路由容量的总和TC，得到总体使用率TUR；其中，TUR=(TC
‑
TRC)/TC；判断总体使用率是否超出预警阈值a；若是，则通过docker容器自动扩展FRR封堵节点；其中，FRR封堵节点的扩展数量EN满足：min(EN*K+TRC)/TC>1
‑
a，K为FRR封堵节点的预设静态路由容量。
[0012]作为优先方案，所述步骤S3之后，还包括以下步骤：S4、获取FRR封堵节点的配置文件，根据IP封堵任务的ID获取对应的IP地址及地址段信息；S5、将IP地址及地址段信息拆分为32位主机地址，并转换成整形数值；S6、将转换后的整形数值与当前FRR封堵节点的历史IP整形数值库进行匹配；若全部匹配成功，则更新相应的IP封堵任务验证状态为已验证成功；若部分匹配成功，则更新相应的IP封堵任务状态为部分验证成功，并输出封堵失败IP。
[0013]本专利技术还提供基于FRR软件路由集群的IP封堵系统，应用如上任一项方案所述的IP封堵方法，所述IP封堵系统包括：任务处理模块，用于对下发的IP封堵任务进行任务处理，以将各IP封堵任务划分为小任务或正常任务；其中，IP封堵任务包括若干待封堵IP；小任务的待封堵IP的数量小于正常任务的待封堵IP的数量；
FRR软件路由集群，包括数个FRR封堵节点；封堵调度模块，用于利用智能调度算法调度FRR软件路由集群中的目标FRR封堵节点，以执行小任务或正常任务的IP封堵；其中，小任务的执行优先级高于正常任务的执行优先级；BGP转发节点，用于将目标FRR封堵节点产生的黑洞路由同步至外部BGP对等体。
[0014]本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当指令在计算机上运行时，使得计算机执行如上任一项方案所述的IP封堵方法。
[0015]本专利技术与现有技术相比，有益效果是：本专利技术的IP封堵方法及系统通过FRR软件路由集群技术实现黑洞路由下发，并通过路由重分布机制实现BGP协议转换下发至外部BGP对等体，从而实现外部IP地址的高并发大容量快速封堵。
附图说明
[0016]图1是本专利技术实施例1的基于FRR软件路由集群的IP封堵系统的构架示意图；图2是本专利技术实施例1的单个IP封堵任务的任务处理流程图；图3是本专利技术实施例1的基于FRR软件路由集群的IP封堵方法的流程图；图4是本专利技术实施例1的智能调度的流程图；图5是本专利技术实施例1的封堵验证的流程图。
具体实施方式
[0017]为了更清楚地说明本专利技术实施例，下面将对照附图说明本专利技术的具体实施方式。显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图，并获得其他的实施方式。
[0018]实施例1：如图1所示，本实施例本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于FRR软件路由集群的IP封堵方法，其特征在于，包括以下步骤：S1、对下发的IP封堵任务进行任务处理，以将各IP封堵任务划分为小任务或正常任务；其中，IP封堵任务包括若干待封堵IP；小任务的待封堵IP的数量小于正常任务的待封堵IP的数量；S2、利用智能调度算法调度FRR软件路由集群中的目标FRR封堵节点，以执行小任务或正常任务的IP封堵；其中，FRR软件路由集群包括数个FRR封堵节点；小任务的执行优先级高于正常任务的执行优先级；S3、目标FRR封堵节点产生的黑洞路由通过BGP转发节点同步至外部BGP对等体。2.根据权利要求1所述的基于FRR软件路由集群的IP封堵方法，其特征在于，所述步骤S1中，对下发的IP封堵任务进行任务处理，包括以下步骤：S11、判断IP封堵任务的待封堵IP的数量是否超出第一预设阈值；若是，则转至步骤S12；若否，则IP封堵任务划分为小任务；S12、判断IP封堵任务的待封堵IP的数量是否处于第一预设阈值与第二预设阈值之间，第二预设阈值大于第一预设阈值；若是，则IP封堵任务划分为正常任务；若否，则转至步骤S13；S13、对IP封堵任务进行任务拆分，拆分为数个正常任务。3.根据权利要求2所述的基于FRR软件路由集群的IP封堵方法，其特征在于，所述步骤S11之前，还包括步骤：S10、对IP封堵任务的待封堵IP进行IP白名单和已封堵IP名单的过滤；其中，IP白名单包括禁止封堵的IP。4.根据权利要求1
‑
3任一项所述的基于FRR软件路由集群的IP封堵方法，其特征在于，所述步骤S2中，利用智能调度算法调度FRR软件路由集群中的目标FRR封堵节点，包括以下步骤：S21、获取FRR软件路由集群中的各FRR封堵节点的静态路由条目可用容量，并筛选出静态路由条目可用容量最大的初选FRR封堵节点；S22、判断初选FRR封堵节点是否存在任务执行；若是，则返回至步骤S21；若否，则转至步骤S23；步骤S23、判断初选FRR封堵节点是否处于可用状态；若是，则初选FRR封堵节点作为目标FRR封堵节点；若否，则返回至步骤S21。5.根据权利要求4所述的基于FRR软件路由集群的IP封堵方法，其特征在于，所述步骤S21中，FRR封堵节点的静态路由条目可用容量为FRR封堵节点的预设静态路由容量与已下发使用的静态路由条目数量的差值。6.根据权利要求4所述的基于FRR软件路由集群的IP封堵方法，其特征在于，所述步骤S23中，通过FRR封堵节点的长连接状态CS、BGP转发节点的IBGP状态IS、BGP转发节点的EBGP状态ES和BGP转发节点的重分布状态RS判断初选FRR封堵节点是否处于可用状态，包括：通过SSH登录FRR封堵节点后设置下发周期下发回车符探测其存活性；若成功，则CS赋值1；若失败，则CS置为0；通过在...

【专利技术属性】
技术研发人员：陈晓莉，章亮，金大为，徐路平，张晶晶，祝天鹏，
申请(专利权)人：浙江鹏信信息科技股份有限公司，
类型：发明
国别省市：