[发明专利]一种数据处理方法、装置及系统

说明书

技术领域

本申请涉及通信技术领域，尤其涉及一种数据处理方法、装置及系统。

背景技术

伴随着科学技术的不断进步，互联网领域迅速发展。用户经常使用互联网访问各大网站。如图1所示，为用户访问网站的网络系统。参见图1，网络系统包括：用于服务用户的终端100、网络设备200、多个设置有安全网关300的网站服务器400。终端100发送数据报文会达到网络设备200，并由网络设备200转发至设置有安全网关300的网站服务器400。

随着网络攻击逐渐增多，访问网站服务器400的既有正常终端又有攻击终端。所以，目标网站服务器400接收的数据报文中，既可能有正常终端发送的正常报文，也可能有攻击终端发送的攻击报文。为了保护目标网站服务器400免于攻击，所以利用安全网关300对数据报文进行处理，以便仅允许正常报文发送至网站服务器400。

目前主流网络攻击为分布式拒绝服务攻击(Distributed Denial of Service，DDoS)。DDoS攻击原理为借助大量傀儡机向网站服务器400发送大量数据报文，目的在于使网站服务器400无资源来处理大量数据报文而崩溃。所以，在网络系统中，当攻击设备欲向网站服务器400发起DDoS攻击时，势必会在网络设备200上聚集有向安全网关300发送的大量数据报文。

但是，由于网站服务器400对应的企业、购买的网络设备200与安全网关300之间的互联网带宽较窄，仅可以承受正常数量的数据报文；攻击终端发起DDoS攻击产生的大量数据报文已经远远超出企业购买的互联网带宽的传输能力。所以，大量数据报文无法传输至安全网关300，也无法被安全网关300进行处理。

因此，当攻击设备发起DDoS攻击时，目前的网络系统无法处理DDoS攻击。所以，现在需要一种新型网络系统，以便在不更改网络设备与安全网关之间互联网带宽的前提下，解决攻击设备向网站服务器发起的DDoS攻击的问题。

发明内容

本申请提供了一种数据处理方法、装置及系统，本申请可以在不更改网络设备与安全网关之间互联网带宽的前提下，解决攻击设备向网站服务器发起的DDoS攻击的问题。

为了实现上述目的，本申请提供以下技术手段：

一种数据处理系统，包括：

终端、网络设备、清洗系统和至少一个设有安全网关的网站服务器；其中，所述终端与所述网络设备相连，所述清洗系统一端连接所述网络设备，另一端连接设有网关的网站服务器；

所述清洗系统，用于接收所述网络设备发送的目标数据报文，对所述目标数据报文进行清洗，并将清洗后的正常报文发送至目标网站服务器。

优选的，所述清洗系统包括多个清洗设备。

一种数据处理方法，包括：

接收网络设备发送的目标数据报文；其中，由网络设备接收终端发送的目标数据报文；并将所述目标数据报文转发至清洗系统；

对所述目标数据报文进行清洗；

将清洗后的正常报文发送至设置有安全网关的目标网站服务器。

优选的，所述目标数据报文包括目标域名；则所述将清洗后的正常报文发送至设置有安全网关的目标网站服务器，包括：

依据域名与IP地址的第一对应关系，查找与所述目标域名对应的目标IP地址；

将所述正常报文发送至与所述目标IP地址对应的目标网站服务器。

优选的，目标域名与目标IP地址的对应关系的构建过程，包括：

在接收所述网络设备发送的数据报文之前，获取所述安全网关发送的配置信息；其中，所述配置信息包括所述目标网站服务器的所述目标域名和所述目标IP地址；

构建所述目标域名与所述目标IP地址的对应关系。

优选的，在对所述目标数据报文进行清洗之后，还包括：

生成攻击防护日志；其中，所述防护日志包括攻击报文的攻击时间和攻击报文数据量。

将所述攻击防护日志发送至所述安全网关。

优选的，还包括：

接收所述目标网站服务器发送的包含终端IP地址的反馈报文；其中，所述反馈报文为所述目标网站服务器对所述数据报文进行处理后获得的；

将所述反馈报文发送至所述网络设备。

一种数据处理方法，包括：

接收终端发送的目标数据报文；

将所述目标数据报文转发至清洗系统；其中，接收网络设备发送的目标数据报文；其中，所述目标数据报文包括目标域名；对所述目标数据报文进行清洗；将清洗后的正常报文发送至设置有安全网关的目标网站服务器。