[发明专利]网络流量的处理方法及装置、清洗设备、网络设备

说明书

本申请提供一种网络流量的处理方法及装置、清洗设备、网络设备，该方法包括：对被牵引的网络流量进行流量清洗，得到所述网络流量中的正常流量；对所述正常流量的第一数据报文进行隧道封装，得到封装后的第二数据报文；将所述第二数据报文通过隧道传输至目标服务器。在本申请的技术方案可以避免正常流量被目的端的清洗设备重复清洗，继而避免对目的端的清洗设备的计算资源造成浪费，并且还能避免目的端的清洗设备对正常流量的误清洗。

技术领域

本申请涉及网络技术领域，尤其涉及一种网络流量的处理方法及装置、清洗设备、网络设备。

背景技术

随着网络的发展，攻击流量越来越大，通过与运营商合作，在用户的出口处进行安全防护，将攻击分散的消灭在源端，从而减少攻击时服务器机房的带宽压力。现有技术中与运营商进行合作部署的近源端分布式拒绝服务(Distributed Denial of Service，简称为DDoS)防护系统，有些地区因为各种原因无法部署，这时候一般采用两级DDoS防护策略，即：一级为部分的和运营商合作的近源端防护系统，一级为云服务提供商(或IDC机房)部署在机房入口的近目的端防护系统。当攻击目标被攻击时，近源端防护系统和近目的端防护系统联动工作，同时对攻击流量进行流量清洗，丢弃攻击流量，放行正常流量。

但是上述防护方法存在如下问题：目的端防护系统流量清洗边界网关协议(Border Gateway Protocol，简称为BGP)由于在牵引流量时无法区分攻击流量和正常流量，会将全部到达攻击目标的访问流量牵引到清洗设备上进行流量清洗，会使一些通过近源端防护系统清洗后的正常流量到达云服务提供商的IDC机房时仍然会被近目的端防护系统牵引到清洗设备上进行清洗，从而浪费目的端防护系统的清洗设备的计算资源以及正常流量的误清洗。

发明内容

有鉴于此，本申请提供一种新的技术方案，可以避免正常流量到达云服务提供商的IDC机房时不会被近目的端防护系统牵引到清洗设备上进行清洗，降低目的端防护系统的清洗设备的计算资源，避免正常流量的误清洗。

为实现上述目的，本申请提供技术方案如下：

根据本申请的第一方面，提出了一种网络流量的处理方法，应用在网络流量的源端，包括：

对被牵引的网络流量进行流量清洗，得到所述网络流量中的正常流量；

对所述正常流量的第一数据报文进行隧道封装，得到封装后的第二数据报文；

将所述第二数据报文通过隧道传输至目标服务器。

根据本申请的第二方面，提出了一种网络流量的处理方法，应用在网络流量的目的端，包括：

接收网络流量的数据报文；

当所述网络流量的数据报文为封装后的第二数据报文时，对所述第二数据报文进行解封装，得到所述网络流量的第一数据报文以及所述第一数据报文的目的IP地址；

根据所述第一数据报文的目的IP地址将所述第一数据报文转发至目标服务器。

根据本申请的第三方面，提出了一种网络流量的处理装置，应用在网络流量的源端，包括：

流量清洗模块，用于对被牵引的网络流量进行流量清洗，得到所述网络流量中的正常流量；

封装模块，用于对所述流量清洗模块清洗得到的所述正常流量的第一数据报文进行隧道封装，得到封装后的第二数据报文；

发送模块，用于将所述封装模块封装后的所述第二数据报文通过隧道传输至目标服务器。

根据本申请的第四方面，提出了一种网络流量的处理装置，应用在网络流量的目的端，包括：

接收模块，用于接收网络流量的数据报文；