[发明专利]一种流量的处理方法和路由器

说明书

本说明书提供一种流量的处理方法和路由器，该方法包括：接收客户端发送的第一流量，判断所述第一流量携带的源IP地址是否为可信的IP地址，若不是，则将所述第一流量发送给第二服务器，否则，将所述第一流量发送给第一服务器。通过该方法可以有效的抵御DDoS攻击。

技术领域

本公开涉及通信技术领域，尤其涉及一种流量的处理方法和路由器。

背景技术

DDoS攻击是一种比较有效的针对服务器的攻击，属于危害性比较大网络攻击，很多知名网站比如GitHub、亚马逊等都遭遇过这种攻击，其原理是利用大量肉鸡(傀儡机)针对同一个服务器发起大量的连接，导致服务器资源耗尽无法对正常的连接提供服务。目前针对DDoS攻击的抵御方法比较有效的方法是分布式集群防御，根本原理还是利用高成本的服务器性能和数量，虽然对DDoS攻击有一定的抵御能力，但是会产生大量成本。

发明内容

本公开提供了一种流量的处理方法和路由器，通过该方法，可以有效的抵御DDoS攻击。

本公开提供了一种流量的处理方法，该方法应用于网络设备中，该网络设备分别连接第一服务器和第二服务器，该方法包括：

接收客户端发送的第一流量；

判断所述第一流量携带的源IP地址是否为可信的IP地址；

若不是，则将所述第一流量发送给第二服务器；

否则，将所述第一流量发送给第一服务器；

其中，所述第二服务器用于执行安全校验功能。

可选的，若将所述第一流量发送给第二服务器后，所述方法还包括：

接收到第二服务器发送的通知，若所述通知中包括第一流量的源IP地址，则将所述第一流量发送给第一服务器；

其中，所述通知为第二服务器根据预设的安全规则判断第一流量为可信任流量时，根据第一流量的源IP地址生成的。

可选的，所述安全规则包括：判断发送第一流量的客户端在预设时间内的动作是否满足预设动作，若满足可确定第一流量为可信任的流量，或者判断发送第一流量的客户端执行的动作是否符合DDoS攻击，若不符合则确定第一流量为可信任的流量。

可选的，在所述接收客户端发送的第一流量前，所述方法还包括：使能基于流量源IP的负载均衡功能。

可选的，所述判断所述第一流量携带的源IP地址是否为可信的IP地址，具体包括：

根据自身存储的可信IP地址列表对第一流量的源IP地址进行是否为可信的IP地址判断；

若不是，则根据负载均衡功能将所述第一流量发送给第二服务器；

否则，则根据负载均衡功能将所述第一流量发送给第一服务器。

通过上述方法可以看出，本公开通过置于服务器前的网络设备对目的地址为第一服务器的流量进行源IP地址是否可信的判断，若判断出该流量的源IP地址不是可信的IP地址，则将该流量发送给第二服务器，并通过第二服务器对该流量进行安全校验，当确认安全后在发送给第一服务器，从而可避免第一服务器收到DDoS攻击，由于第二服务器执行安全校验功能，所以即使该流量为攻击流量，那也只针对于第二服务器，而处理业务的第一服务器不受收到攻击影响。

本公开还提供了一种路由器，该路由器分别连接第一服务器和第二服务器，该路由器包括：

接收单元，用于接收客户端发送的第一流量；

处理单元，用于判断所述第一流量携带的源IP地址是否为可信的IP地址；