[发明专利]防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统

权利要求书

1.一种防御分布式阻断服务DDoS攻击的方法，其特征在于，包括：

服务器对该服务器的运行状态和进入该服务器的网络数据流进行检测，判 断是否有针对该服务器的DDos攻击发生；

如果有针对该服务器的DDos攻击发生，则该服务器通知数据清洗设备对流 向该服务器的网络数据流进行清洗；

其中，所述方法还包括：该服务器向数据清洗设备发送心跳，以便于当 数据清洗设备通过检测心跳发现该服务器已经由于DDos攻击瘫掉时，数据 清洗设备对该服务器进行以下抢救：在数据清洗设备上对流向该服务器的流 量进行限流；检测心跳是否恢复；如果心跳没有恢复，则重新启动该服务器。

2.根据权利要求1所述的方法，其特征在于，所述方法进一步包括：

该服务器对所述经过数据清洗设备处理的网络数据流进行清洗。

3.根据权利要求1所述的方法，其特征在于，在所述服务器对该服务器的 运行状态和进入服务器的网络数据流进行检测的步骤之前进一步包括：

网络侧攻击检测设备对网络数据流进行检测，判断是否有针对该服务器的 DDos攻击发生，如果是，则将流向所述服务器的网络数据流定向到数据清洗设 备中进行清洗。

4.一种网络设备，其特征在于，包括分布式阻断服务DDoS攻击防御 模块，该模块包括：

检测单元，用于在网络设备端对该网络设备的运行状态和进入该网络 设备的网络数据流进行检测，判断是否有针对该网络设备的DDos攻击发生；

通知单元，用于当所述检测单元判断有针对该网络设备的DDos攻击发生 时，通知数据清洗设备对针对该网络设备的网络数据流进行清洗；

心跳发送单元，用于向数据清洗设备发送心跳，以便于当数据清洗设 备通过检测心跳发现该网络设备已经由于DDos攻击瘫掉时，数据清洗设备 对该网络设备进行以下抢救：在数据清洗设备上对流向该网络设备的流量进 行限流；检测心跳是否恢复；如果心跳没有恢复，则重新启动该网络设备。

5.如权利要求4的网络设备，其特征在于，所述DDoS攻击防御模块 进一步包括：

清洗单元，用于对进入该网络设备的网络数据流进行清洗。

6.如权利要求4的网络设备，其特征在于，所述DDoS攻击防御模块 进一步包括：

负载报警单元，用于监控进入该网络设备的网络数据流的流量，当数据 流流量达到预设值时，向所述数据清洗设备发起告警。

7.一种网络系统，其特征在于，包括至少一个网络设备和数据清洗设 备，其中：

所述网络设备，用于接收和处理来自网络侧的网络数据流，其包括： DDoS攻击防御模块，所述DDoS攻击防御模块包括：

检测单元，用于对该网络设备的运行状态和进入该网络设备的网络数据流 进行检测，判断是否有针对该网络设备的DDos攻击发生；

通知单元，用于当所述检测单元判断有针对该网络设备的DDos攻击发生 时，通知数据清洗设备对针对该网络设备的网络数据流进行清洗；

心跳发送单元，用于向数据清洗设备发送心跳，以便于当数据清洗设备 通过检测心跳发现该网络设备已经由于DDos攻击瘫掉时，数据清洗设备对 该网络设备进行以下抢救：在数据清洗设备上对流向该网络设备的流量进行 限流；检测心跳是否恢复；如果心跳没有恢复，则重新启动该网络设备；

数据清洗设备，用于与所述网络设备进行协商，根据协商结果对网络数 据流进行清洗。

8.如权利要求7的网络系统，其特征在于，进一步包括：

攻击检测设备Detector，用于对网络侧的网络数据流进行检测，判断是 否有针对所述网络设备的DDos攻击发生，如果是，则将流向所述网络设备 的网络数据流定向到数据清洗设备中进行清洗。

9.如权利要求7的网络系统，其特征在于，所述网络设备的类型包 括：

计算机、服务器、手机、路由器、交换机或基站。