流量清洗架構、裝置及流量牽引、流量回注方法
【專利摘要】本發明公開了一種流量清洗架構、裝置及流量牽引、流量回注方法，包括OpenFlow控制器，生成流量清洗流表和流量回注流表并下發給OpenFlow清洗交換機；生成流量牽引流表并下發給OpenFlow核心路由器。在發生攻擊時，OpenFlow清洗交換機根據流量清洗流表匹配根據流量牽引流表牽引的被攻擊服務器的流量，以進行流量清洗；按照流量回注流表對清洗后的“干凈”流量進行轉發，以實現流量回注。本發明基于OpenFlow的流量清洗架構，統一實現了流量牽引和流量回注；異常流量清洗部件由OpenFlow控制器和OpenFlow清洗交換機組成，實現了流量清洗系統的控制和轉發的分離；當業務需求變化時，僅通過OpenFlow控制器對各種流表進行更新即可，從而簡單、靈活地實現了對網絡的重新配置和部署。
【專利說明】流量清洗架構、裝置及流量牽弓I、流量回注方法
【技術領域】
[0001]本發明涉及流量清洗技術，尤指一種流量清洗架構、流量清洗裝置及流量牽引、流量回注方法。
【背景技術】
[0002]分布式拒絕服務（DDoS, Distributed Denial of Service)已成為互聯網上最常見的攻擊類型，攻擊工具在互聯網上可輕易獲得，發動攻擊的技術門檻很低。近來，DDoS的攻擊流量明顯增大，數十G的攻擊流量頻頻出現，最高已達300G，甚至已經逐漸發展成為公開的服務。
[0003]目前，較為成熟的防御DDoS攻擊的手段是流量清洗，即運營商通過在城域網串接或旁掛流量清洗中心，在不影響正常業務的同時，對城域網中出現的DDoS攻擊流量進行過濾，實現對城域網和大客戶網絡業務的保護。
[0004]圖I為現有流量清洗解決方案組成及工作模型的示意圖，如圖I所示，流量清洗解決方案由異常流量探測部件、異常流量清洗部件及業務管理平臺三部分組成，其中，
[0005]異常流量探測部件，用于通過鏡像或者分光的方式復制用戶的流量，并實時進行攻擊探測及異常流量分析。具體地，異常流量探測部件在網絡中運行一段時間，通過對城域網用戶業務流量進行逐包的分析和統計，學習出一套與實際網絡相似的流量分布情況并自動生成安全策略基線，學習到的安全策略基線上報給業務管理平臺，由業務管理平臺對該安全策略基線進行進一步加工處理后，再下發給異常流量探測部件或異常流量清洗部件，并應支持安全策略基線的配置。目前，大多數運營商的異常流量探測部件具備深度包檢測(DPI, Deep Packet Inspection)和深度流檢測（DFI, Deep Flow Inspection)的綜合防御檢測技術。
[0006]異常流量清洗部件，用于通過發布明細路由的方式，牽引發生攻擊的用戶流量即流量牽引，對牽引過來的流量進行攻擊報文的過濾，并把清洗后的“干凈”流量回注給用戶即流量回注。具體地，當攻擊發生時，異常流量清洗部件通過更新旁路設備上的路由表項，將流經所有旁路設備上的被保護對象的流量動態地牽引到清洗部件進行清洗。清洗部件可通過邊界網關協議版本4 (BGP4, Border Gateway Protocol Version 4)或其它路由協議向旁路設備發布更新路由來實現旁路設備路由表更新。異常流量清洗部件將清洗后的流量回注給被保護對象，并向業務管理平臺上報清洗日志以形成相應的報表。
[0007]業務管理平臺，用于完成對異常流量探測部件、異常流量清洗部件的集中管理，并根據異常流量探測部件上報的異常流量告警，通過郵件、短信的方式通知運營商運維人員或者用戶，并下發防御策略。另外，業務管理平臺還用于為用戶提供詳細的流量日志分析報表、攻擊事件處理報告等。
[0008]對于流量清洗解決方案來講，如何實現流量牽引和流量回注是兩大難題。目前，流量牽引主要有BGP流量牽引。為了能在用戶的業務遭受DDoS攻擊時，將用戶的流量動態的牽弓I到異常流量清洗部件完成清洗過程，異常流量清洗部件利用內部BGP協議（IBGP)或者外部BGP協議（EBGP)，首先與城域網中用戶流量路徑上的多個核心設備建立BGP對等體(BGP Peer);在攻擊發生時，異常流量清洗部件通過BGP協議會向核心路由器發布BGP更新路由通告，更新核心路由器上的路由表項，將流經所有核心路由器上的被攻擊服務器的流量動態的牽引到異常流量清洗部件進行清洗。同時，異常流量清洗部件發布的BGP路由添加不宣告（no-advertise)屬性，確保異常流量清洗部件發布的路由不會被擴散到城域網，其中，no-advertise屬性是BGP協議中的團體屬性中有一個屬性，帶有該屬性的路由信息不通告給任何BGP相鄰體。進一步地，在異常流量清洗部件上通過路由策略不接收核心路路由器發布的路由更新。從而嚴格控制對城域網造成的影響。
[0009]而流量回注主要有采用策略路由方式、MPLS VPN方式、VLAN方式等的流量回注方式。其中，
[0010]圖2為現有采用策略路由方式的流量回注方式的組成示意圖,如圖2所示,采用策略路由方式的流量回注方式，是通過在旁掛路由器上配置策略路由，將異常流量清洗部件中需要回注的流量指向受保護設備相對應的下一跳，從而繞過旁掛設備的正常轉發，實現該用戶的流量回注。為了簡化策略路由的部署，會將城域網的用戶分組，僅為每組用戶配置一條策略路由指向該組用戶所對應的下一跳設備。這樣既可實現針對該組用戶的流量回注，而且在初期實施完成后不需要再修改城域網設備配置，其可維護性和可操作性得到了很大的增加，但是，用策略路由方式的流量回注方式直接影響到了城域網中的路由設備。
[0011]圖3為現有采用MPLS VPN方式的流量回注方式的機構組成示意圖，如圖3所示，在MPLS VPN方式的流量回注方式中，在異常流量清洗部件與業務路由器之間需要建立MPLSVPN隧道，來自城域網外部的異常流量經過異常流量清洗部件清洗后，選擇對應的VPN隧道，并打上該VPN標簽后，將“干凈”報文發送給城域網核心路由器，核心路由器及匯聚路由器對其進行標簽交換，最后在核心路由器上彈出標簽，并轉發到客戶網絡。采用MPLS VPN方式的流量回注方式便于開展業務，一旦部署完成后，后續業務的開展就都不需要再修改城域網設備的數據；但是，這種流量回注方式要求城域網接入層以上的設備都要支持MPLS功能，這樣，對于現網中并沒有開展MPLS VPN業務的情況，部署起來較為復雜，對設備的改動也會很大，而且當配置發生改變后，需要對參與實現流量回注的每個設備進行重新配置，部署起來較為復雜。
[0012]圖4為現有采用VLAN方式的流量回注方式的架構組成示意圖采用，如圖4所示，在采用VLAN方式的流量回注方式中，在異常流量清洗部件與核心路由器之間需要建立多個VLAN子接口，來自城域網外部的異常流量經過異常流量清洗部件清洗后，選擇對應的VLAN子接口，并打上該VLAN Tag后，將“干凈”報文發送給城域網核心路由器，核心路由器根據VLAN Tag找到對應的VLAN子接口，并根據子接口下的策略路由選擇把報文轉發到對應的匯聚路由器上。采用VLAN方式的流量回注方式便于開展業務，一旦部署完成后，后續業務的開展就都不需要再修改城域網設備的數據，以后業務開展時只需要在防御設備上做數據就行了，而且部署實現相對較為簡單，只需要在與防御設備現連的核心路由器上做VLAN子接口與匯聚路由器一一對應的策略路由配置即可。但是，這種流量回注方式中，當匯聚設備路由變化時，核心設備和異常流量清洗部件是無法感知的，因此是不能進行自動調整的，從而影響了流量回注的實現。
[0013]綜上所述，現有流量清洗解決方案中流量牽引和流量回注按照部署場景、路由協議、現網實際業務的不同需要考慮多種實現方式，很難統一管理，也無法實現控制和轉發分離。特別地，當用戶的業務需求變化時，需要重新進行網絡配置和部署，甚至需要更換流量清洗硬件設備，實現難度大，不靈活。

【發明內容】

[0014]為了解決上述技術問題，本發明提供了一種流量清洗架構、流量清洗裝置及流量牽引、流量回注方法，能夠實現流量清洗系統的控制和轉發分離，而且當用戶的業務需求變化時，能夠簡單、靈活地實現對網絡的重新配置和部署。
[0015]為了達到本發明目的，本發明提供了 一種流量清洗裝置，包括OpenFlow控制器和OpenFlow清洗交換機，其中，
[0016]OpenFlow控制器，用于根據業務管理平臺上報的不同異常流量特征生成由不同的流表項以形成流量清洗流表，并下發給OpenFlow清洗交換機；將被攻擊服務器的地址作為目的地址組成流表項，與將牽引的流量轉發至OpenFlow清洗交換機的指令一起生成流量牽引流表，并通過OpenFlow協議下發/更新至OpenFlow核心路由器；將被攻擊服務器的地址作為目的地址組成流表項，與將回注的流量轉發至受保護服務器相對應的下一跳的指令一起生成流量回注流表，并下發給OpenFlow清洗交換機；
[0017]OpenFlow清洗交換機,用于在發生攻擊時,根據流量清洗流表匹配來自OpenFlow核心路由器根據流量牽引流表牽引的被攻擊服務器的流量，以進行流量清洗；按照流量回注流表將清洗后的“干凈”流量轉發至被保護服務器相對應的下一跳地址，以實現流量回注。
[0018]所述OpenFlow清洗交換機，還用于將經過所述流量清洗后確定為異常流量的流表項對應的清洗計數器的計數值加一。
[0019]所述OpenFlow控制器，還用于定時查詢所述清洗計數器；在所述流量清洗流表中的流表項記錄對應的清洗計數器的計數值大于預先設置的閾值時，通知所述業務管理平臺清洗停止，刪除所述流量牽引流表和流量回注流表中對應所述所述清洗計數器的流表項。
[0020]本發明還提供一種核心路由器，支持OpenFlow協議，用于在發生攻擊時，根據異常流量清洗部件中的OpenFlow控制器下發/更新的流量牽引流表，將被攻擊服務器的流量轉發至OpenFlow清洗交換機，以實現流量牽引。
[0021]本發明還提供一種流量清洗架構，包括異常流量探測部件、業務管理平臺，還包括：基于OpenFlow協議的異常流量清洗部件，以及OpenFlow核心路由器；其中，異常流量清洗部件包括OpenFlow控制器和OpenFlow清洗交換機。
[0022]本發明還提供一種流量牽引方法，包括：當攻擊發生時，業務管理平臺向異常流量清洗部件中的OpenFlow控制器通知被攻擊服務器的地址信息；
[0023]OpenFlow控制器將被攻擊服務器的地址作為目的地址組成流表項，與將牽引的流量轉發至OpenFlow清洗交換機的指令一起生成流量牽引流表,并通過OpenFlow協議下發/更新至OpenFlow核心路由器；
[0024]OpenFlow核心路由器將目的地址為被攻擊服務器的流量轉發至OpenFlow清洗交換機，以實現流量牽引。
[0025]所述被攻擊服務器的地址包括IP地址和TCP端口 ；[0026]所述目的地址包括目的IP地址和目的TCP端口。
[0027]本發明還提供一種流量回注方法，OpenFlow清洗交換機根據OpenFlow控制器下發的流量清洗流表，對OpenFlow核心路由器牽引的流量進行匹配，如果不匹配，
[0028]OpenFlow控制器將被攻擊服務器的地址作為目的地址生成流表項，與將回注的流量轉發至受保護服務器相對應的下一跳指令一起生成流量回注流表，并通過OpenFlow協議下發/更新至OpenFlow清洗交換機；
[0029]OpenFlow清洗交換機按照流量回注流表，將所述不匹配的流量轉發目的地址，以實現流量回注。
[0030]當所述牽引的流量在所述流量清洗流表中有匹配的流表項時，所述牽引的流量為異常流量；該方法還包括：
[0031]丟棄該所述異常流量，同時將對應該異常流量的流量清洗流表中流表項條目的清洗計數器的計數值加一。
[0032]所述流量回注表的優先級為最高。
[0033]所述清洗流表的最后一個流表項需要顯示地將報文指向流量回注流表。
[0034]該方法還包括：
[0035]所述OpenFlow控制器定時查詢所述清洗計數器；
[0036]在判斷出流量清洗流表中有流表項記錄對應的清洗計數器的計數值大于預先設置的閾值時，通知業務管理平臺清洗停止，同時分別刪除所述流量牽引流表和所述流量回注流表中對應的流表項。
[0037]與現有技術相比，本發明包括異常流量清洗裝置由OpenFlow控制器和OpenFlow清洗交換機組成；0penFlow控制器,生成流量清洗流表并下發給OpenFlow清洗交換機；生成流量牽引流表并下發給OpenFlow核心路由器；生成流量回注流表并下發給OpenFlow清洗交換機；在發生攻擊時，OpenFlow清洗交換機根據流量清洗流表匹配來自OpenFlow核心路由器根據流量牽引流表牽引的被攻擊服務器的流量，以進行流量清洗；按照流量回注流表將清洗后的“干凈”流量轉發至被保護服務器相對應的下一跳地址，以實現流量回注。本發明基于OpenFlow的流量清洗架構，統一實現了流量牽引和流量回注，不必再依據網絡部署場景、路由協議、現網實際業務的不同而采用多種流量牽引和流量回注的方式；而且，異常流量清洗部件由OpenFlow控制器和OpenFlow清洗交換機組成,實現了流量清洗系統的控制和轉發的分離。按照本發明提供的基于OpenFlow的流量清洗架構，當業務需求變化時，僅通過OpenFlow控制器對各種流表進行更新即可，不必重新進行網絡配置、部署及更換硬件設備，從而簡單、靈活地實現了對網絡的重新配置和部署。
[0038]本發明的其它特征和優點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發明而了解。本發明的目的和其他優點可通過在說明書、權利要求書以及附圖中所特別指出的結構來實現和獲得。
【專利附圖】

【附圖說明】
[0039]附圖用來提供對本發明技術方案的進一步理解，并且構成說明書的一部分，與本申請的實施例一起用于解釋本發明的技術方案，并不構成對本發明技術方案的限制。
[0040]圖I為現有流量清洗解決方案組成及工作模型的示意圖；[0041]圖2為現有采用策略路由方式的流量回注方式的架構組成示意圖；
[0042]圖3為現有采用MPLS VPN方式的流量回注方式的機構組成示意圖；
[0043]圖4為現有采用VLAN方式的流量回注方式的架構組成示意圖；
[0044]圖5為本發明基于OpenFlow的流量清洗架構的組成結構示意圖；
[0045]圖6為本發明生成清洗流表的實施例的流程示意圖；
[0046]圖7為本發明流量牽引方法的實施例的流程示意圖；
[0047]圖8為本發明流量清洗及回注方法的實施例的流程示意圖；
[0048]圖9為本發明攻擊停止取消清洗的實施例的流程示意圖。
【具體實施方式】
[0049]為使本發明的目的、技術方案和優點更加清楚明白，下文中將結合附圖對本發明的實施例進行詳細說明。需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互任意組合。
[0050]在附圖的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行。并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執行所示出或描述的步驟。
[0051]軟件定義網絡（SDN, Software defined Networking)技術是一種通信網絡實現方法，其將傳統交換機上的報文轉發和轉發策略分離開來，目前通用的解決方案是，通過開源的OpenFlow協議將控制器（Controller)與交換機連接。這樣，原來同在一臺交換機設備上的報文轉發功能(硬件芯片實現）和報文轉發策略(各種軟件協議）就被分開到了不同的硬件設備上。其中，一臺控制器還可以控制多臺OpenFlow交換機，從而實現了統一的轉發控制端，更有效地實現了對網絡的管理和控制。
[0052]OpenFlow交換機的核心功能是報文轉發，其報文轉發機制大致包括：先在流表中進行報文流匹配，然后根據流表中查找到的行為進行轉發。其中，流表由多個流表項組成，而流表項又由匹配字段（Match Fields)、計數器字段（Counters)、指令集字段(Instructions)組成。OpenFlow交換機根據流表對經由自身的每個數據包進行查找，如果匹配成功則執行相關策略；否則，通過安全通道將包轉發到控制器，并由控制器決策相關行為。
[0053]圖5為本發明基于OpenFlow的流量清洗架構的組成結構示意圖，如圖5所示,在本發明基于OpenFlow的異常流量清洗架構中，異常流量清洗部件由OpenFlow控制器和OpenFlow清洗交換機組成(旁掛設備需要支持OpenFlow)。
[0054]其中，OpenFlow控制器根據業務管理平臺上報的不同異常流量特征生成多個不同的流表項以形成流量清洗流表，并下發給OpenFlow清洗交換機；0penFlow控制器將被攻擊服務器的地址（如IP地址及TCP端口）作為目的地址(如目的IP地址和目的TCP端口）組成流表項，與將牽引的流量轉發至OpenFlow清洗交換機的指令一起生成流量牽引流表,并通過OpenFlow協議下發/更新至OpenFlow核心路由器；0penFlow控制器將被攻擊服務器的地址(如IP地址及TCP端口）作為目的地址（如目的IP地址和目的TCP端口 )組成流表項，與將牽引的流量轉發至OpenFlow清洗交換機的指令一起生成流量回注流表,并下發給OpenFlow清洗交換機；[0055]當發生攻擊時，OpenFlow核心路由器根據流量牽引流表，將被攻擊服務器的流量轉發至OpenFlow清洗交換機,實現流量牽引；OpenFlow清洗交換機依據流量清洗流表匹配由OpenFlow核心路由器轉發的流量以進行流量清洗，并按照流量回注流表將清洗后的“干凈”流量轉發至被保護服務器相對應的下一跳地址，從而實現流量回注。
[0056]進一步地，OpenFlow清洗交換機，將經過所述流量清洗后確定為異常流量的流表項對應的清洗計數器的計數值加一，其中，清洗計數器與流量清洗流表中的流表項一一對應；那么，當攻擊停止后取消清洗的過程包括=OpenFlow控制器每隔一段時間（如定時器定時）查詢OpenFlow交換機維護的清洗計數器，如果流量清洗流表中的某條流表項記錄對應的清洗計數器的計數值大于預先設置的閾值，OpenFlow控制器通知業務管理平臺清洗停止，同時分別刪除對應的下發給OpenFlow核心路由器的流量牽引流表和OpenFlow清洗交換機的流量回注流表中對應的流表項(依據被保護服務器IP地址和TCP端口判定對應的流表項）；否則，繼續輪詢清洗計數器。
[0057]本發明基于OpenFlow的流量清洗架構,統一實現了流量牽引和流量回注，不必再依據網絡部署場景、路由協議、現網實際業務的不同而采用多種流量牽引和流量回注的方式；而且，異常流量清洗部件由OpenFlow控制器和OpenFlow清洗交換機組成,實現了流量清洗系統的控制和轉發的分離。按照本發明提供的基于OpenFlow的流量清洗架構，當業務需求變化時，僅通過OpenFlow控制器對各種流表進行更新即可，不必重新進行網絡配置、部署及更換硬件設備，從而簡單、靈活地實現了對網絡的重新配置和部署。
[0058]下面結合具體實施例，對本發明的具體實現進行詳細描述。
[0059]圖6為本發明生成清洗流表的實施例的流程示意圖，如圖6所示，包括：
[0060]步驟600 :業務管理平臺依據異常流量探測部件學習到的安全策略基線，將異常流量特征分類并通知異常流量清洗部件中的OpenFlow控制器。
[0061]其中，異常流量探測部件通過學習得到安全策略基線，以及對異常流量特征進行分類的具體實現屬于本領域技術人員的慣用技術手段，并不用于限定本發明的保護范圍，這里不再贅述。
[0062]步驟601 :異常流量清洗部件中的OpenFlow控制器，根據業務管理平臺上報的不同異常流量特征及種類，生成/更新多個不同的流表項以組成流量清洗流表（當流量清洗流表中存在時，就是進行更新)。
[0063]其中，每個流表項代表一類異常流量。流表項由匹配字段（Match Fields)、計數器字段（Counters),以及指令集字段（Instructions)組成。流量清洗流表的最后一個流表項需要顯示地將報文指向流量回注流表。根據流水線的限制，流量回注流表的號碼需要大于清洗流表的號碼。在完成流水線操作后沒有可匹配的流表項時，說明不需要流量清洗，進而需要進行流量回注，因此，清洗流表的最后一個流表項需要將報文指向流量回注流表，以便啟動流量回注操作。OpenFlow交換機中的流表是從O開始順序編號的，由于流水線處理只能向前不能向后，因此流水線處理總是從第一個流表開始按編號由小到大依次進行處理。流表項只能將報文指向比自己流表號碼大的流表。
[0064]步驟602 ：OpenFIow控制器將生成/更新的流量清洗流表通過OpenFlow協議下發/更新至OpenFlow清洗交換機。
[0065]流表的下發通過OpenFlow協議,采用的消息和格式均由OpenFlow本身定義,其具體實現不屬于本發明的保護范圍，也不用于限定本發明的保護范圍。
[0066]圖7為本發明流量牽引方法的實施例的流程示意圖，如圖7所示，包括：
[0067]步驟700 :當攻擊發生時,業務管理平臺向異常流量清洗部件中的OpenFlow控制器通知被攻擊服務器的IP地址及TCP端口。
[0068]步驟701 =OpenFlow控制器將被攻擊服務器的IP地址及TCP端口作為目的IP地址和目的TCP端口生成流表項，與將牽引的流量轉發至OpenFlow清洗交換機的指令一起組成流量牽引流表。
[0069]本步驟中還將流量牽引流表的優先級設置為最高，從而保證了被牽引的流量不會再轉發至其它目的地。
[0070]其中，流量牽引流表項中的匹配字段如表1所示。
rrnvl
【權利要求】
1.一種流量清洗裝置,其特征在于,包括OpenFlow控制器和OpenFlow清洗交換機,其中， OpenFlow控制器，用于根據業務管理平臺上報的不同異常流量特征生成由不同的流表項以形成流量清洗流表，并下發給OpenFlow清洗交換機；將被攻擊服務器的地址作為目的地址組成流表項，與將牽引的流量轉發至OpenFlow清洗交換機的指令一起生成流量牽引流表，并通過OpenFlow協議下發/更新至OpenFlow核心路由器；將被攻擊服務器的地址作為目的地址組成流表項，與將回注的流量轉發至受保護服務器相對應的下一跳的指令一起生成流量回注流表，并下發給OpenFlow清洗交換機； OpenFlow清洗交換機,用于在發生攻擊時,根據流量清洗流表匹配來自OpenFlow核心路由器根據流量牽引流表牽引的被攻擊服務器的流量，以進行流量清洗；按照流量回注流表將清洗后的“干凈”流量轉發至被保護服務器相對應的下一跳地址，以實現流量回注。
2.根據權利要求1所述的流量清洗裝置，其特征在于，所述OpenFlow清洗交換機，還用于將經過所述流量清洗后確定為異常流量的流表項對應的清洗計數器的計數值加一。
3.根據權利要求2所述的流量清洗裝置，其特征在于， 所述OpenFlow控制器，還用于定時查詢所述清洗計數器；在所述流量清洗流表中的流表項記錄對應的清洗計數器的計數值大于預先設置的閾值時，通知所述業務管理平臺清洗停止，刪除所述流量牽引流表和流量回注流表中對應所述所述清洗計數器的流表項。
4.一種核心路由器，其特征在于，支持OpenFlow協議，用于在發生攻擊時，根據異常流量清洗部件中的OpenFlow控制器下發/更新的流量牽引流表，將被攻擊服務器的流量轉發至OpenFlow清洗交換機，以實現流量牽引。
5.一種流量清洗架構，包括異常流量探測部件、業務管理平臺，其特征在于，還包括：基于OpenFlow協議的異常流量清洗部件，以及OpenFlow核心路由器；其中，異常流量清洗部件包括OpenFlow控制器和OpenFlow清洗交換機。
6.一種流量牽引方法，其特征在于，包括：當攻擊發生時，業務管理平臺向異常流量清洗部件中的OpenFlow控制器通知被攻擊服務器的地址信息； OpenFlow控制器將被攻擊服務器的地址作為目的地址組成流表項，與將牽引的流量轉發至OpenFlow清洗交換機的指令一起生成流量牽引流表,并通過OpenFlow協議下發/更新至OpenFlow核心路由器； OpenFlow核心路由器將目的地址為被攻擊服務器的流量轉發至OpenFlow清洗交換機，以實現流量牽引。
7.根據權利要求6所述的流量牽引方法，其特征在于，所述被攻擊服務器的地址包括IP地址和TCP端口 ； 所述目的地址包括目的IP地址和目的TCP端口。
8.一種流量回注方法，其特征在于，OpenFlow清洗交換機根據OpenFlow控制器下發的流量清洗流表，對OpenFlow核心路由器牽引的流量進行匹配，如果不匹配， OpenFlow控制器將被攻擊服務器的地址作為目的地址生成流表項，與將回注的流量轉發至受保護服務器相對應的下一跳指令一起生成流量回注流表，并通過OpenFlow協議下發/更新至OpenFlow清洗交換機； OpenFlow清洗交換機按照流量回注流表，將所述不匹配的流量轉發目的地址，以實現流量回注。
9.根據權利要求8所述的流量回注方法，其特征在于，當所述牽引的流量在所述流量清洗流表中有匹配的流表項時，所述牽引的流量為異常流量；該方法還包括： 丟棄該所述異常流量，同時將對應該異常流量的流量清洗流表中流表項條目的清洗計數器的計數值加一。
10.根據權利要求8或9所述的流量回注方法，其特征在于，所述流量回注表的優先級為最聞。
11.根據權利要求8所述的流量回注方法，其特征在于，所述清洗流表的最后一個流表項需要顯示地將報文指向流量回注流表。
12.根據權利要求9所述的流量回注方法，其特征在于，該方法還包括： 所述OpenFlow控制器定時查詢所述清洗計數器； 在判斷出流量清洗流表中有流表項記錄對應的清洗計數器的計數值大于預先設置的閾值時，通知業務管理平臺清洗停止，同時分別刪除所述流量牽引流表和所述流量回注流表中對應的流表項。
【文檔編號】H04L12/801GK103491095SQ201310445695
【公開日】2014年1月1日 申請日期:2013年9月25日 優先權日:2013年9月25日
【發明者】程瑩, 張云勇, 黃文利, 盧浩洋, 陳清金 申請人:中國聯合網絡通信集團有限公司