利索能及
我要发布
收藏
专利号: 202011536065X
申请人: 广东省新一代通信与网络创新研究院
专利类型:发明专利
专利状态:已下证
更新日期:2026-07-01
缴费截止日期: 暂无
联系人

摘要:

权利要求书:

1.一种可扩展的DDoS防御方法,其特征在于,所述方法应用于DDoS防御系统,所述DDoS防御系统包括通过路由控制的接入交换机、核心交换机和清洗服务器,所述方法包括:检测当前是否存在攻击流量;

当存在攻击流量时,基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号;

获取所述攻击流量所对应的被攻击IP,下发所述被攻击IP的SRv6路由至所述核心交换机;

所述核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机;

所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;

所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。

2.根据权利要求1所述的可扩展的DDoS防御方法,其特征在于,所述防御系统还包括硬件清洗机,其中,所述硬件清洗机部署了SRv6,所述核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机,之后还包括:所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;

硬件清洗机根据设置的压缩路由网段将报文发送至所述硬件清洗机对应的端口并对目的IP进行更改;

所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;

所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。

3.根据权利要求2所述的可扩展的DDoS防御方法,其特征在于,所述防御系统还包括硬件清洗机,其中,所述硬件清洗机未部署SRv6,所述核心交换机在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机,之后还包括:所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;

硬件清洗机根据设置的压缩路由网段将报文发送至接入交换机;

所述接入交换机根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;

所述清洗服务器通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。

4.一种可扩展的DDoS防御系统,所述系统包括DDoS防御系统,所述DDoS防御系统包括:通过路由控制的接入交换机、核心交换机和清洗服务器,其特征在于,所述系统还包括:控制模块,用于检测当前是否存在攻击流量,当存在攻击流量时,基于负载均衡算法计算路由与清洗服务器对应的接入交换机端口的sid号,获取所述攻击流量所对应的被攻击IP,下发所述被攻击IP的SRv6路由至所述核心交换机;

所述核心交换机,还用于在报文的二层头后封装IPv6头并设置目的地址,并根据设置的压缩路由网段将报文发送至接入交换机;

所述接入交换机,还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口,并剥掉封装的IPv6头;

所述清洗服务器,用于通过对应的接入交换机端口接收报文进行攻击流量的数据清洗。

5.根据权利要求4所述的可扩展的DDoS防御系统,其特征在于,所述防御系统还包括硬件清洗机,其中,所述硬件清洗机部署了SRv6,所述接入交换机,还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;

硬件清洗机,用于根据设置的压缩路由网段将报文发送至所述硬件清洗机对应的端口并对目的IP进行更改。

6.根据权利要求5所述的可扩展的DDoS防御方法,其特征在于,所述防御系统还包括硬件清洗机,其中,所述硬件清洗机未部署SRv6,所述接入交换机,还用于根据设置的压缩路由网段将报文发送至所述接入交换机对应的端口并对目的IP进行更改;

硬件清洗机,用于根据设置的压缩路由网段将报文发送至接入交换机。

7.可扩展的DDoS防御装置,其特征在于,所述装置包括:存储有可执行程序代码的存储器;

与所述存储器耦合的处理器;

所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-3任一项所述的可扩展的DDoS防御方法。

8.一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1-3任一项所述的可扩展的DDoS防御方法。