本申請涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)流量的處理方法及裝置、清洗設(shè)備、網(wǎng)絡(luò)設(shè)備。

背景技術(shù)：

隨著網(wǎng)絡(luò)的發(fā)展，攻擊流量越來越大，通過與運營商合作，在用戶的出口處進行安全防護，將攻擊分散的消滅在源端，從而減少攻擊時服務(wù)器機房的帶寬壓力?，F(xiàn)有技術(shù)中與運營商進行合作部署的近源端分布式拒絕服務(wù)(distributeddenialofservice，簡稱為ddos)防護系統(tǒng)，有些地區(qū)因為各種原因無法部署，這時候一般采用兩級ddos防護策略，即：一級為部分的和運營商合作的近源端防護系統(tǒng)，一級為云服務(wù)提供商(或idc機房)部署在機房入口的近目的端防護系統(tǒng)。當攻擊目標被攻擊時，近源端防護系統(tǒng)和近目的端防護系統(tǒng)聯(lián)動工作，同時對攻擊流量進行流量清洗，丟棄攻擊流量，放行正常流量。

但是上述防護方法存在如下問題：目的端防護系統(tǒng)流量清洗邊界網(wǎng)關(guān)協(xié)議(bordergatewayprotocol，簡稱為bgp)由于在牽引流量時無法區(qū)分攻擊流量和正常流量，會將全部到達攻擊目標的訪問流量牽引到清洗設(shè)備上進行流量清洗，會使一些通過近源端防護系統(tǒng)清洗后的正常流量到達云服務(wù)提供商的idc機房時仍然會被近目的端防護系統(tǒng)牽引到清洗設(shè)備上進行清洗，從而浪費目的端防護系統(tǒng)的清洗設(shè)備的計算資源以及正常流量的誤清洗。

技術(shù)實現(xiàn)要素：

有鑒于此，本申請?zhí)峁┮环N新的技術(shù)方案，可以避免正常流量到達云服務(wù)提供商的idc機房時不會被近目的端防護系統(tǒng)牽引到清洗設(shè)備上進行清洗，降低目的端防護系統(tǒng)的清洗設(shè)備的計算資源，避免正常流量的誤清洗。

為實現(xiàn)上述目的，本申請?zhí)峁┘夹g(shù)方案如下：

根據(jù)本申請的第一方面，提出了一種網(wǎng)絡(luò)流量的處理方法，應(yīng)用在網(wǎng)絡(luò)流量的源端，包括：

對被牽引的網(wǎng)絡(luò)流量進行流量清洗，得到所述網(wǎng)絡(luò)流量中的正常流量；

對所述正常流量的第一數(shù)據(jù)報文進行隧道封裝，得到封裝后的第二數(shù)據(jù)報文；

將所述第二數(shù)據(jù)報文通過隧道傳輸至目標服務(wù)器。

根據(jù)本申請的第二方面，提出了一種網(wǎng)絡(luò)流量的處理方法，應(yīng)用在網(wǎng)絡(luò)流量的目的端，包括：

接收網(wǎng)絡(luò)流量的數(shù)據(jù)報文；

當所述網(wǎng)絡(luò)流量的數(shù)據(jù)報文為封裝后的第二數(shù)據(jù)報文時，對所述第二數(shù)據(jù)報文進行解封裝，得到所述網(wǎng)絡(luò)流量的第一數(shù)據(jù)報文以及所述第一數(shù)據(jù)報文的目的ip地址；

根據(jù)所述第一數(shù)據(jù)報文的目的ip地址將所述第一數(shù)據(jù)報文轉(zhuǎn)發(fā)至目標服務(wù)器。

根據(jù)本申請的第三方面，提出了一種網(wǎng)絡(luò)流量的處理裝置，應(yīng)用在網(wǎng)絡(luò)流量的源端，包括：

流量清洗模塊，用于對被牽引的網(wǎng)絡(luò)流量進行流量清洗，得到所述網(wǎng)絡(luò)流量中的正常流量；

封裝模塊，用于對所述流量清洗模塊清洗得到的所述正常流量的第一數(shù)據(jù)報文進行隧道封裝，得到封裝后的第二數(shù)據(jù)報文；

發(fā)送模塊，用于將所述封裝模塊封裝后的所述第二數(shù)據(jù)報文通過隧道傳 輸至目標服務(wù)器。

根據(jù)本申請的第四方面，提出了一種網(wǎng)絡(luò)流量的處理裝置，應(yīng)用在網(wǎng)絡(luò)流量的目的端，包括：

接收模塊，用于接收網(wǎng)絡(luò)流量的數(shù)據(jù)報文；

解封裝模塊，用于當所述接收模塊接收到的所述網(wǎng)絡(luò)流量數(shù)據(jù)報文為封裝后的第二數(shù)據(jù)報文時，對所述第二數(shù)據(jù)報文進行解封裝，得到所述網(wǎng)絡(luò)流量的第一數(shù)據(jù)報文以及所述第一數(shù)據(jù)報文的目的ip地址；

轉(zhuǎn)發(fā)模塊，用于根據(jù)所述解封裝模塊解封裝得到的所述第一數(shù)據(jù)報文的目的ip地址將所述第一數(shù)據(jù)報文轉(zhuǎn)發(fā)至目標服務(wù)器。

根據(jù)本申請的第五方面，提出了一種流量清洗設(shè)備，所述清洗設(shè)備包括：

第一處理器；用于存儲所述第一處理器可執(zhí)行指令的第一存儲器；第一網(wǎng)絡(luò)接口；

其中，所述第一處理器，用于對被牽引的網(wǎng)絡(luò)流量進行流量清洗，得到所述網(wǎng)絡(luò)流量中的正常流量；對所述正常流量的第一數(shù)據(jù)報文進行隧道封裝，得到封裝后的第二數(shù)據(jù)報文；

所述第一網(wǎng)絡(luò)接口，用于將所述第一處理器得到的所述第二數(shù)據(jù)報文通過隧道傳輸至目標服務(wù)器。

根據(jù)本申請的第六方面，提出了一種網(wǎng)絡(luò)設(shè)備，所述網(wǎng)絡(luò)設(shè)備包括：

第二處理器；用于存儲所述第二處理器可執(zhí)行指令的第二存儲器；第二網(wǎng)絡(luò)接口；

所述第二網(wǎng)絡(luò)接口，用于接收網(wǎng)絡(luò)流量的數(shù)據(jù)報文；

所述第二處理器，用于當所述第二網(wǎng)絡(luò)接口接收到的所述網(wǎng)絡(luò)流量的數(shù)據(jù)報文為封裝后的第二數(shù)據(jù)報文時，對所述第二數(shù)據(jù)報文進行解封裝，得到所述網(wǎng)絡(luò)流量的第一數(shù)據(jù)報文以及所述第一數(shù)據(jù)報文的目的ip地址；根據(jù)所述第一數(shù)據(jù)報文的目的ip地址將所述第一數(shù)據(jù)報文轉(zhuǎn)發(fā)至目標服務(wù)器。

由以上技術(shù)方案可見，本申請通過對正常流量的第一數(shù)據(jù)報文進行隧道封裝，得到封裝后的第二數(shù)據(jù)報文，將第二數(shù)據(jù)報文通過隧道傳輸至目標服 務(wù)器，可以避免正常流量被目的端的清洗設(shè)備重復清洗，繼而避免對目的端的清洗設(shè)備的計算資源造成浪費，并且還能避免目的端的清洗設(shè)備對正常流量的誤清洗。

附圖說明

圖1a示出了本發(fā)明的示例性實施例所適用的網(wǎng)絡(luò)架構(gòu)圖之一；

圖1b示出了本發(fā)明的示例性實施例所適用的網(wǎng)絡(luò)架構(gòu)圖之二；

圖2a示出了根據(jù)本發(fā)明的示例性實施例一的網(wǎng)絡(luò)流量的處理方法的流程示意圖；

圖2b示出了根據(jù)本發(fā)明的示例性實施例一的gre隧道封裝的報文格式的示意圖；

圖3示出了根據(jù)本發(fā)明的示例性實施例二的網(wǎng)絡(luò)流量的處理方法的流程示意圖；

圖4示出了根據(jù)本發(fā)明的示例性實施例三的網(wǎng)絡(luò)流量的處理方法的流程示意圖；

圖5示出了根據(jù)本發(fā)明的示例性實施例四的網(wǎng)絡(luò)流量的處理方法的流程示意圖；

圖6示出了根據(jù)本發(fā)明的示例性實施例五的網(wǎng)絡(luò)流量的處理方法的流程示意圖；

圖7示出了根據(jù)本發(fā)明的一示例性實施例的清洗設(shè)備的結(jié)構(gòu)示意圖；

圖8示出了根據(jù)本發(fā)明的一示例性實施例的網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖；

圖9示出了根據(jù)本發(fā)明的示例性實施例一的網(wǎng)絡(luò)流量的處理裝置的結(jié)構(gòu)示意圖；

圖10示出了根據(jù)本發(fā)明的示例性實施例二的網(wǎng)絡(luò)流量的處理裝置的結(jié)構(gòu)示意圖；

圖11示出了根據(jù)本發(fā)明的示例性實施例三的網(wǎng)絡(luò)流量的處理裝置的結(jié)構(gòu)示意圖；

圖12示出了根據(jù)本發(fā)明的示例性實施例四的網(wǎng)絡(luò)流量的處理裝置的結(jié)構(gòu)示意圖。

具體實施方式

這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。

在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當理解，本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。

應(yīng)當理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應(yīng)于確定”。

圖1a示出了本發(fā)明的示例性實施例所適用的網(wǎng)絡(luò)架構(gòu)圖之一；以m地區(qū)部署有源端防護系統(tǒng)以及n地區(qū)未部署源端防護系統(tǒng)為例進行示例性說明，如圖1a所示，m地區(qū)源端防護系統(tǒng)在發(fā)現(xiàn)攻擊流量后，第一路由器111將攻擊流量牽引到源端防護系統(tǒng)的第一清洗設(shè)備121中進行流量清洗，通過下述圖2a或圖3所示實施例將攻擊流量中的第一正常流量進行隧道封裝后，得到封裝后的第二數(shù)據(jù)報文，將第二數(shù)據(jù)報文回注到第一路由器111上，其中，隧道封裝后的第二正常流量被封裝起來，封裝后的第二正常流量的外層 的目的ip地址修改為隧道的終結(jié)網(wǎng)關(guān)13的ip地址，該封裝后的第一正常流量被轉(zhuǎn)發(fā)至目的機房的第二路由器112后，由于封裝后的第二數(shù)據(jù)報文的目的ip地址為隧道終點的網(wǎng)關(guān)設(shè)備13的ip地址，因此封裝后的第二數(shù)據(jù)報文不會被目的防護系統(tǒng)牽引到第二清洗設(shè)備122上，而是通過第二路由器112轉(zhuǎn)發(fā)到隧道終點的網(wǎng)關(guān)設(shè)備13，網(wǎng)關(guān)設(shè)備13對封裝后的第二數(shù)據(jù)報文通過下述圖4-圖6任一所示實施例的方法流程進行解封裝，得到第一數(shù)據(jù)報文，將第一數(shù)據(jù)報文轉(zhuǎn)發(fā)到目標服務(wù)器14。n地區(qū)的攻擊流量直接轉(zhuǎn)發(fā)至目的機房的第二路由器112后，目的端防護系統(tǒng)檢測到攻擊后將攻擊流量牽引到第二清洗設(shè)備122上進行流量清洗，并將清洗后的第二正常流量回注給第二路由器112，第二路由器112將第二正常流量轉(zhuǎn)發(fā)給目標服務(wù)器14。

圖1b示出了本發(fā)明的示例性實施例所適用的網(wǎng)絡(luò)架構(gòu)圖之二；以m地區(qū)部署有源端防護系統(tǒng)以及n地區(qū)未部署源端防護系統(tǒng)為例進行示例性說明，如圖1b所示，m地區(qū)對攻擊流量進行清洗以及正常流量封裝的方式參見圖1a的相關(guān)描述，在此不再詳述，當封裝后的第二數(shù)據(jù)報文通過目的端防護系統(tǒng)牽引到第二清洗設(shè)備122后，第二清洗設(shè)備122檢測到牽引流量為封裝后的第二數(shù)據(jù)報文后，第二清洗設(shè)備122對封裝后的第二數(shù)據(jù)報文通過下述圖4-圖6任一所示實施例的方法流程進行解封裝，得到原始的第一數(shù)據(jù)報文，將解封裝后的第一數(shù)據(jù)報文轉(zhuǎn)發(fā)到目標服務(wù)器14。n地區(qū)的攻擊流量的處理方式參見上述圖1a的相關(guān)描述，在此不再詳述。

為對本申請進行進一步說明，提供下列實施例：

圖2a示出了根據(jù)本發(fā)明的示例性實施例一的網(wǎng)絡(luò)流量的處理方法的流程示意圖，圖2b示出了根據(jù)本發(fā)明的示例性實施例一的gre隧道封裝的報文格式的示意圖；本實施例可以在上述圖1a或圖1b所示的第一清洗設(shè)備121上實現(xiàn)，如圖2a所示，包括如下步驟：

步驟201，對被牽引的網(wǎng)絡(luò)流量進行流量清洗，得到網(wǎng)絡(luò)流量中的正常流量。

步驟202，對正常流量的第一數(shù)據(jù)報文進行隧道封裝，得到封裝后的第 二數(shù)據(jù)報文。

步驟203，將第二數(shù)據(jù)報文通過隧道傳輸至目標服務(wù)器。

上述步驟201中對網(wǎng)絡(luò)流量進行流量清洗的方式可以參見現(xiàn)有技術(shù)中的相關(guān)描述，在此不再詳述。上述步驟203中通過隧道傳輸至目標服務(wù)器的方式可以參見現(xiàn)有技術(shù)中的相關(guān)描述，在此不再詳述。

上述步驟202中，隧道封裝的方式可以為gre隧道封裝，還也可以為vxlan隧道封裝等；以gre封裝為例進行示例性說明，如圖2b所示，上述對正常流量的第一數(shù)據(jù)報文進行g(shù)re隧道封裝的處理的過程例如為：按照gre的報文格式將第一數(shù)據(jù)報文內(nèi)層ip頭(inneripheader)設(shè)置第一數(shù)據(jù)報文的目標服務(wù)器的ip地址，負荷(payload)為第一數(shù)據(jù)報文，外層ip頭(outeripheader)和gre頭(greheader)為gre隧道封裝添加的報文，其中，外層ip頭中的目的ip地址(dstip)為gre隧道的終結(jié)網(wǎng)關(guān)的ip地址或者目標服務(wù)器的ip地址。vxlan隧道封裝的方式可以參見上述gre隧道封裝的描述，在此不再詳述。

由上述描述可知，本發(fā)明實施例通過對正常流量的第一數(shù)據(jù)報文進行隧道封裝，得到封裝后的第二數(shù)據(jù)報文，將第二數(shù)據(jù)報文通過隧道傳輸至目標服務(wù)器，可以避免正常流量被目的端的清洗設(shè)備重復清洗，繼而避免對目的端的清洗設(shè)備的計算資源造成浪費，并且還能避免目的端的清洗設(shè)備對正常流量的誤清洗。

圖3示出了根據(jù)本發(fā)明的示例性實施例二的網(wǎng)絡(luò)流量的處理方法的流程示意圖；本實施例結(jié)合圖1a進行示例性說明，如圖3所示，包括如下步驟：

步驟301，對被牽引的網(wǎng)絡(luò)流量進行流量清洗，得到網(wǎng)絡(luò)流量中的正常流量。

步驟302，確定隧道協(xié)議的類型。

步驟303，根據(jù)與隧道協(xié)議的類型相對應(yīng)的報文格式對正常流量的第一數(shù)據(jù)報文進行封裝，得到封裝后的第二數(shù)據(jù)報文。

步驟304，將第二數(shù)據(jù)報文通過隧道傳輸至目標服務(wù)器。

上述步驟301中對網(wǎng)絡(luò)流量進行流量清洗的方式可以參見現(xiàn)有技術(shù)中的相關(guān)描述，在此不再詳述。上述步驟304中通過隧道傳輸至目標服務(wù)器的方式可以參見現(xiàn)有技術(shù)中的相關(guān)描述，在此不再詳述。

上述步驟302中，隧道協(xié)議的類型可以為gre協(xié)議，還也可以為vxlan協(xié)議。在部署源端和目的端的ddos防護系統(tǒng)時，源端和目的端的ddos防護系統(tǒng)可以約定雙方所采用的隧道協(xié)議的類型。

上述步驟303中，在一實施例中，可以確定隧道對應(yīng)的終結(jié)設(shè)備的ip地址，根據(jù)與隧道協(xié)議的類型相對應(yīng)的報文格式將正常流量的第一數(shù)據(jù)報文封裝在內(nèi)層ip頭和負荷對應(yīng)的字段，將終結(jié)設(shè)備的ip地址封裝在外層ip頭對應(yīng)的字段，例如，通過gre協(xié)議的gre隧道封裝可以參見上述圖2a的相關(guān)描述，在此不再詳述。在一實施例中，終結(jié)設(shè)備可以為目標服務(wù)器，在另一實施例中，終結(jié)設(shè)備也可以為隧道的網(wǎng)關(guān)設(shè)備，可以視第二數(shù)據(jù)報文的外層的目的ip地址而定，當?shù)诙?shù)據(jù)報文的外層的目的ip地址為目標服務(wù)器時，則終結(jié)設(shè)備為目標是服務(wù)器，當?shù)诙?shù)據(jù)報文的外層的目的ip地址為隧道的網(wǎng)關(guān)設(shè)備時，終結(jié)設(shè)備為目標是服務(wù)器。

本實施例在具有上述實施例的有益技術(shù)效果的基礎(chǔ)上，根據(jù)與隧道協(xié)議的類型相對應(yīng)的報文格式對正常流量的第一數(shù)據(jù)報文進行封裝，提高了源端的清洗設(shè)備在封裝第一數(shù)據(jù)報文時的靈活性。

圖4示出了根據(jù)本發(fā)明的示例性實施例三的網(wǎng)絡(luò)流量的處理方法的流程示意圖；應(yīng)用在網(wǎng)絡(luò)流量的目的端，如圖4所示，包括如下步驟：

步驟401，接收網(wǎng)絡(luò)流量的數(shù)據(jù)報文。

步驟402，當網(wǎng)絡(luò)流量的數(shù)據(jù)報文為封裝后的第二數(shù)據(jù)報文時，對第二數(shù)據(jù)報文進行解封裝，得到網(wǎng)絡(luò)流量的第一數(shù)據(jù)報文以及第一數(shù)據(jù)報文的目的ip地址。

步驟403，根據(jù)第一數(shù)據(jù)報文的目的ip地址將第一數(shù)據(jù)報文轉(zhuǎn)發(fā)至目標服務(wù)器。

上述步驟401以及步驟403的描述可以參見現(xiàn)有技術(shù)中的相關(guān)描述，在 此不再詳述。

上述步驟402中，以第二數(shù)據(jù)報文通過gre協(xié)議封裝得到為例進行示例性說明，與上述圖2a所示實施例中關(guān)于封裝相反過程，當?shù)诙?shù)據(jù)報文到達圖1a所示的網(wǎng)關(guān)設(shè)備13或者清洗設(shè)備122后，網(wǎng)關(guān)設(shè)備13或者清洗設(shè)備122可以對第二數(shù)據(jù)報文進行解封裝，解封裝的動作為：去除圖2b所示的報文格式中的外層ip頭和gre頭，第二數(shù)據(jù)報文的內(nèi)層ip頭和負荷(inneripheader和payload)即為源端的清洗設(shè)備121進行流量清晰后放行的第一正常流量，該第一數(shù)據(jù)報文可以被網(wǎng)關(guān)設(shè)備13或者清洗設(shè)備122轉(zhuǎn)發(fā)給目標服務(wù)器14。

由上述描述可知，本發(fā)明實施例當?shù)诙?shù)據(jù)報文為封裝后的數(shù)據(jù)報文時，對第二數(shù)據(jù)報文進行解封裝，得到網(wǎng)絡(luò)流量的第一數(shù)據(jù)報文以及第一數(shù)據(jù)報文的目的ip地址，根據(jù)第一數(shù)據(jù)報文的目的ip地址將第一數(shù)據(jù)報文轉(zhuǎn)發(fā)至目標服務(wù)器，從而可以避免正常流量被目的端的清洗設(shè)備重復清洗，繼而避免對目的端的清洗設(shè)備的計算資源造成浪費，并且還能避免目的端的清洗設(shè)備對正常流量的誤清洗。

圖5示出了根據(jù)本發(fā)明的示例性實施例四的網(wǎng)絡(luò)流量的處理方法的流程示意圖；本實施例以在圖1a所示的網(wǎng)關(guān)設(shè)備13上實現(xiàn)解封裝為例進行示例性說明，如圖5所示，包括如下步驟：

步驟501，接收網(wǎng)絡(luò)流量的數(shù)據(jù)報文。

步驟502，當網(wǎng)絡(luò)流量的數(shù)據(jù)報文為封裝后的第二數(shù)據(jù)報文時，確定第二數(shù)據(jù)報文在進行隧道封裝時采用的隧道協(xié)議的類型。

步驟503，根據(jù)與隧道協(xié)議的類型相對應(yīng)的報文格式對第二數(shù)據(jù)報文進行解封裝，得到網(wǎng)絡(luò)流量的第一數(shù)據(jù)報文以及第一數(shù)據(jù)報文的目的ip地址。

步驟504，根據(jù)第一數(shù)據(jù)報文的目的ip地址將第一數(shù)據(jù)報文轉(zhuǎn)發(fā)至目標服務(wù)器。

上述步驟501以及步驟504的描述可以參見現(xiàn)有技術(shù)中的相關(guān)描述，在此不再詳述。

上述步驟502中，在一實施例中，可以通過解析第二數(shù)據(jù)報文，得到第二數(shù)據(jù)報文的外層ip地址，將該外層ip地址分別與目標服務(wù)器14的ip地址、隧道終結(jié)的網(wǎng)關(guān)設(shè)備13的ip地址進行比較來確定是否為封裝后的第二數(shù)據(jù)報文，例如，當檢測到外層ip地址與網(wǎng)關(guān)設(shè)備13的ip地址相同時，則可以確定該網(wǎng)絡(luò)流量為需要轉(zhuǎn)發(fā)至網(wǎng)關(guān)設(shè)備13的數(shù)據(jù)報文，當檢測到外層ip地址與目標服務(wù)器14的ip地址相同時，則可以確定該網(wǎng)絡(luò)流量為需要轉(zhuǎn)發(fā)至第二清洗設(shè)備122的數(shù)據(jù)報文。

上述步驟503中的解封裝的描述可以參見上述圖4所示實施例的相關(guān)描述，在此不再詳述。

本實施例在具有上述實施例的有益技術(shù)效果的基礎(chǔ)上，通過將對第二數(shù)據(jù)報文進行解封裝的流程在網(wǎng)關(guān)設(shè)備上實現(xiàn)，既可以緩解目的端的清洗設(shè)備的流量清洗的壓力，還可以縮短正常流量達到目標服務(wù)器的時間，提升了用戶體驗。

圖6示出了根據(jù)本發(fā)明的示例性實施例五的網(wǎng)絡(luò)流量的處理方法的流程示意圖；本實施例以在圖1b所示的第二流量清洗設(shè)備122上實現(xiàn)解封裝為例進行示例性說明，如圖6所示，包括如下步驟：

步驟601，接收網(wǎng)絡(luò)流量的數(shù)據(jù)報文。

步驟602，檢測網(wǎng)絡(luò)流量的數(shù)據(jù)報文是否為封裝后的第二數(shù)據(jù)報文，當網(wǎng)絡(luò)流量的數(shù)據(jù)報文為封裝后的第二數(shù)據(jù)報文時，執(zhí)行步驟603，當網(wǎng)絡(luò)流量的數(shù)據(jù)報文為攻擊流量時，對網(wǎng)絡(luò)流量進行流量清洗。

步驟603，當?shù)诙?shù)據(jù)報文為封裝后的數(shù)據(jù)報文時，確定第二數(shù)據(jù)報文在進行隧道封裝時采用的隧道協(xié)議的類型。

步驟604，根據(jù)與隧道協(xié)議的類型相對應(yīng)的報文格式對第二數(shù)據(jù)報文進行解封裝，得到網(wǎng)絡(luò)流量的第一數(shù)據(jù)報文以及第一數(shù)據(jù)報文的目的ip地址。

步驟605，根據(jù)第一數(shù)據(jù)報文的目的ip地址將第一數(shù)據(jù)報文轉(zhuǎn)發(fā)至目標服務(wù)器。

上述步驟601以及步驟606的描述可以參見現(xiàn)有技術(shù)中的相關(guān)描述，在 此不再詳述。上述步驟603和步驟604的相關(guān)描述可以參見上述圖5所示實施例的描述，在此不再詳述。

上述步驟602中，可以在封裝后的第二數(shù)據(jù)報文中設(shè)置一個比特位，通過該比特位來表示第二數(shù)據(jù)報文為已封裝的數(shù)據(jù)報文，例如，當該比特位為1時，確定第二數(shù)據(jù)報文為已封裝的數(shù)據(jù)報文。

本實施例在具有上述實施例的有益技術(shù)效果的基礎(chǔ)上，通過將對第二數(shù)據(jù)報文進行解封裝的流程在目的端的清洗設(shè)備上實現(xiàn)，避免了在目的端增加一個專用的隧道終結(jié)的網(wǎng)絡(luò)設(shè)備，節(jié)省用戶在網(wǎng)絡(luò)部署時的硬件成本。

對應(yīng)于上述的網(wǎng)絡(luò)流量的處理方法，本申請還提出了圖7所示的根據(jù)本申請的一示例性實施例的清洗設(shè)備的示意結(jié)構(gòu)圖。請參考圖7，在硬件層面，該清洗設(shè)備包括第一處理器、內(nèi)部總線、第一網(wǎng)絡(luò)接口、內(nèi)存以及非易失性存儲器，當然還可能包括其他業(yè)務(wù)所需要的硬件。第一處理器從非易失性存儲器中讀取對應(yīng)的計算機程序到內(nèi)存中然后運行，在邏輯層面上形成網(wǎng)絡(luò)流量的處理裝置。當然，除了軟件實現(xiàn)方式之外，本申請并不排除其他實現(xiàn)方式，比如邏輯器件抑或軟硬件結(jié)合的方式等等，也就是說以下處理流程的執(zhí)行主體并不限定于各個邏輯單元，也可以是硬件或邏輯器件。

其中，第一處理器，用于對被牽引的網(wǎng)絡(luò)流量進行流量清洗，得到網(wǎng)絡(luò)流量中的正常流量；對正常流量的第一數(shù)據(jù)報文進行隧道封裝，得到封裝后的第二數(shù)據(jù)報文；

第一網(wǎng)絡(luò)接口，用于將第一處理器得到的第二數(shù)據(jù)報文通過隧道傳輸至目標服務(wù)器。

對應(yīng)于上述的網(wǎng)絡(luò)流量的處理方法，本申請還提出了圖8所示的根據(jù)本申請的一示例性實施例的網(wǎng)絡(luò)設(shè)備的示意結(jié)構(gòu)圖。請參考圖8，在硬件層面，該網(wǎng)絡(luò)設(shè)備包括第二處理器、內(nèi)部總線、第二網(wǎng)絡(luò)接口、內(nèi)存以及非易失性存儲器，當然還可能包括其他業(yè)務(wù)所需要的硬件。第二處理器從非易失性存儲器中讀取對應(yīng)的計算機程序到內(nèi)存中然后運行，在邏輯層面上形成網(wǎng)絡(luò)流量的處理裝置。當然，除了軟件實現(xiàn)方式之外，本申請并不排除其他實現(xiàn)方 式，比如邏輯器件抑或軟硬件結(jié)合的方式等等，也就是說以下處理流程的執(zhí)行主體并不限定于各個邏輯單元，也可以是硬件或邏輯器件。

其中，第二網(wǎng)絡(luò)接口，用于接收網(wǎng)絡(luò)流量的數(shù)據(jù)報文；

第二處理器，用于當?shù)诙W(wǎng)絡(luò)接口接收到的網(wǎng)絡(luò)流量的數(shù)據(jù)報文為封裝后的第二數(shù)據(jù)報文時，對第二數(shù)據(jù)報文進行解封裝，得到網(wǎng)絡(luò)流量的第一數(shù)據(jù)報文以及第一數(shù)據(jù)報文的目的ip地址；根據(jù)第一數(shù)據(jù)報文的目的ip地址將第一數(shù)據(jù)報文轉(zhuǎn)發(fā)至目標服務(wù)器。

圖9示出了根據(jù)本發(fā)明的示例性實施例一的網(wǎng)絡(luò)流量的處理裝置的結(jié)構(gòu)示意圖；如圖9所示，該網(wǎng)絡(luò)流量的處理裝置可以應(yīng)用在網(wǎng)絡(luò)流量的源端，包括：流量清洗模塊91、封裝模塊92、發(fā)送模塊93。其中：

流量清洗模塊91，用于對被牽引的網(wǎng)絡(luò)流量進行流量清洗，得到網(wǎng)絡(luò)流量中的正常流量；

封裝模塊92，用于對流量清洗模塊91清洗得到的正常流量的第一數(shù)據(jù)報文進行隧道封裝，得到封裝后的第二數(shù)據(jù)報文；

發(fā)送模塊93，用于將封裝模塊92封裝后的第二數(shù)據(jù)報文通過隧道傳輸至目標服務(wù)器。

圖10示出了根據(jù)本發(fā)明的示例性實施例二的網(wǎng)絡(luò)流量的處理裝置的結(jié)構(gòu)示意圖；如圖10所示，在上述圖9所示實施例的基礎(chǔ)上，在一實施例中，封裝模塊92可包括：

第一確定單元921，用于確定隧道協(xié)議的類型；

封裝單元922，用于根據(jù)與第一確定單元確定的隧道協(xié)議的類型相對應(yīng)的報文格式對正常流量的第一數(shù)據(jù)報文進行封裝。

在一實施例中，封裝單元922可包括：

確定子單元9221，用于確定隧道對應(yīng)的終結(jié)設(shè)備的ip地址；

封裝子單元9222，用于根據(jù)與隧道協(xié)議的類型相對應(yīng)的報文格式將正常流量的第一數(shù)據(jù)報文封裝在內(nèi)層ip頭和負荷對應(yīng)的字段，將確定子單元9221確定的終結(jié)設(shè)備的ip地址封裝在外層ip頭對應(yīng)的字段。

圖11示出了根據(jù)本發(fā)明的示例性實施例三的網(wǎng)絡(luò)流量的處理裝置的結(jié)構(gòu)示意圖；如圖11所示，該網(wǎng)絡(luò)流量的處理裝置可以應(yīng)用在網(wǎng)絡(luò)流量的目的端，包括：接收模塊11、解封裝模塊12、轉(zhuǎn)發(fā)模塊13。其中：

接收模塊11，用于接收網(wǎng)絡(luò)流量的數(shù)據(jù)報文；

解封裝模塊12，用于當接收模塊11接收到的網(wǎng)絡(luò)流量數(shù)據(jù)報文為封裝后的第二數(shù)據(jù)報文時，對第二數(shù)據(jù)報文進行解封裝，得到網(wǎng)絡(luò)流量的第一數(shù)據(jù)報文以及第一數(shù)據(jù)報文的目的ip地址；

轉(zhuǎn)發(fā)模塊13，用于根據(jù)解封裝模塊12解封裝得到的第一數(shù)據(jù)報文的目的ip地址將第一數(shù)據(jù)報文轉(zhuǎn)發(fā)至目標服務(wù)器。

圖12示出了根據(jù)本發(fā)明的示例性實施例四的網(wǎng)絡(luò)流量的處理裝置的結(jié)構(gòu)示意圖；如圖12所示，在上述圖11所示實施例的基礎(chǔ)上，在一實施例中，解封裝模塊12可包括：

第二確定單元1201，用于確定第二數(shù)據(jù)報文在進行隧道封裝時采用的隧道協(xié)議的類型；

解封裝單元1202，用于根據(jù)與第二確定單元1201確定的隧道協(xié)議的類型相對應(yīng)的報文格式對第二數(shù)據(jù)報文進行解封裝。

在一實施例中，裝置還可包括：

檢測模塊14，用于檢測接收模塊11接收到的網(wǎng)絡(luò)流量的第二數(shù)據(jù)報文是否為封裝后的數(shù)據(jù)報文；

當檢測模塊14檢測到第二數(shù)據(jù)報文為封裝后的數(shù)據(jù)報文時，解封裝模塊12執(zhí)行對第二數(shù)據(jù)報文進行解封裝的步驟。

上述實施例可見，本申請通過對正常流量的第一數(shù)據(jù)報文進行隧道封裝，得到封裝后的第二數(shù)據(jù)報文，將第二數(shù)據(jù)報文通過隧道傳輸至目標服務(wù)器，可以避免正常流量被目的端的清洗設(shè)備重復清洗，繼而避免對目的端的清洗設(shè)備的計算資源造成浪費，并且還能避免目的端的清洗設(shè)備對正常流量的誤清洗。

本領(lǐng)域技術(shù)人員在考慮說明書及實踐這里公開的發(fā)明后，將容易想到本 申請的其它實施方案。本申請旨在涵蓋本申請的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本申請的一般性原理并包括本申請未公開的本技術(shù)領(lǐng)域中的公知常識或慣用技術(shù)手段。說明書和實施例僅被視為示例性的，本申請的真正范圍和精神由下面的權(quán)利要求指出。

還需要說明的是，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設(shè)備中還存在另外的相同要素。

以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在本申請保護的范圍之內(nèi)。