[发明专利]监控网络流量的方法、装置及服务器

说明书

本申请提供一种监控网络流量的方法、装置及服务器，该方法包括：确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址；如果所述源IP地址为非伪造的IP地址，向所述源IP地址对应的设备发送探测报文；如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文，向所述源IP地址侧对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。在本申请的技术方案可以使源IP地址对应的流量清洗设备对源IP地址发送的网络流量进行近源清洗，实现了按照攻击源的地区下发清洗策略，将攻击在源头进行堵截，减少了攻击目的地的网络拥塞情况，降低了目的地的防御难度和防御带宽成本。

技术领域

本申请涉及网络技术领域，尤其涉及一种监控网络流量的方法、装置及服务器。

背景技术

当互联网数据中心(Internet Data Center，简称为IDC)内部的任意一台服务器遭受大流量分布式拒绝服务(Distributed Denial of Service，简称为DDoS)攻击时，均可能引起互联网服务提供商(Internet Service Provider，简称为ISP)到IDC的网络拥塞，现有技术通常会在ISP网络设备上将流量进行黑洞处理，例如，当IDC内部的服务器A遭受大流量DDoS攻击时，ISP网络设备如果发现网络目的地址为IDC内的服务器A，则将网络流量丢弃，从而使网络流量不会转发到IDC网络设备上，保护了ISP到IDC的带宽。现有技术只是为了保障ISP到IDC的带宽不被拥塞，对于被丢弃的流量完全不可知。

发明内容

有鉴于此，本申请提供一种新的技术方案，可以通过对IDC网络设备丢弃的网络流量进行检测和分析，从而清晰地了解到网络流量的攻击状态，进而在网络流量的源IP地址侧堵住流量攻击，降低防御难度和防御带宽成本。

为实现上述目的，本申请提供技术方案如下：

根据本申请的第一方面，提出了一种监控网络流量的方法，包括：

确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址；

如果所述源IP地址为非伪造的IP地址，向所述源IP地址对应的设备发送探测报文；

如果接收到所述源IP地址对应的设备根据所述探测报文返回的应答报文，向所述源IP地址对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。

根据本申请的第二方面，提出了一种监控网络流量的装置，包括：

第一确定模块，用于确定来自ISP侧的网络设备的网络流量的源IP地址是否为伪造的IP地址；

第一发送模块，用于如果所述第一确定模块确定所述源IP地址为非伪造的IP地址，向所述源IP地址对应的设备发送探测报文；

第二发送模块，用于如果接收到所述源IP地址对应的设备根据所述第一发送模块发送的所述探测报文返回的应答报文，向所述源IP地址对应的第一流量清洗设备发送用于对所述源IP地址的网络流量进行流量清洗的第一通知消息。

根据本申请的第三方面，提出了一种服务器，所述服务器包括：

处理器；用于存储所述处理器可执行指令的存储器；网络接口；

其中，所述网络接口，用于接收来自ISP侧的网络设备的网络流量；

处理器，用于确定所述网络接口接收到的网络流量的源IP地址是否为伪造的IP地址；

所述网络接口，还用于如果所述处理器确定所述源IP地址为非伪造的IP地址，向所述源IP地址对应的设备发送探测报文；