在互联网不断发展的同时，黑客技术也在不断发展，利用后门软件的 植入，越来越多的宽带用户PC (Personal Computer,个人电脑)已沦为助 对为虐的傀儡机，傀儡网络越来越庞大；另外一方面，经济利益的引谦、 攻击源的难于追查，使越来越多的黑客铤而走险，把利用傀儡网络发动攻 击当成发财致富的不二法宝。这些因素都导致网络中的DDoS (Distributed Denial of Service,分布式拒绝服务)攻击越来越频繁、少见模越来越大，这 些DDoS攻击不仅造成目标客户服务器、网络的瘫痪，而且还严重威胁到 运营商城域网的安全，并引起全社会的广泛关注。

　　针对这种情况，现有技术中提出了宽带流量清洗解决方案，以精确阻 断DDoS攻击流量，为客户提供城域网和数据中心安全加固。

　　如图1所示，流量清洗可以部署在IDC (Internet Data Center ，互联网 数据中心)中，整个系统由三部分组成异常流量检测平台、异常流量清 洗平台和业务管理平台。当DDoS攻击发生时，异常流量检测平台会自动 发现攻击行为，通过自动或手工方式把攻击流量牵引到异常流量清洗平台 进行清洗；清除掉攻击流量后，异常流量清洗平台再将干净流量交还 给用户。在整个攻击防范的过程中，用户感受不到攻击的存在，正常业务 不会受到任何影响。流量清洗的一个关键技术就是流量牵引。即如何将攻 击服务器的流量牵引到异常流量清洗平台上。

　　现有技术中提出了一种基于策略路由牵引的流量牵引技术，其示意图 如图2所示，在核心交换机上行接口处配置策略路由，通过策略路由将发往服务器的流量的下 一跳改为流量清洗设备，所以核心路由器会将流量直 接转给流量清洗设备。这种牵引技术的优点在于利用策略路由本身的特点， 不需要对设备作特殊定制修改。策略路由配置灵活。

　　该策略路由牵引技术的问题在于，在核心交换设备的上行接口上配置 策略路由会降低整个数据中心系统的转发性能，导致策略路由的转发效率 较低。

　　本发明提供一种流量清洗的方法、系统和设备，用于提高网络系统在 流量清洗过程中的转发性能和转发效率。

　　为达到上述目的，本发明提供一种流量清洗的方法，应用于包括异常 流量检测设备、异常流量清洗设备以及业务管理设备的流量清洗系统中，包

　　对网络设备的攻击流量发生时，所述异常流量清洗设备接收所述业务管 理设备发送的防御策略；

　　所述异常流量清洗设备根据所述防御策略，生成静态地址解析协议ARP 配置并向所述攻击流量经过的交换i殳备发送；，所述静态ARP配置用于将所 述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备；

　　所述异常流量清洗设备将所述清洗后的流量通过所述交换设备回流到所 述网络设备。

　　其中，所述异常流量清洗设备接收所述业务管理设备发送的防御策略前， 还包括

　　所述异常流量检测设备探测到对网络设备的攻击流量时，通知所述业务 管理设备受到攻击的网络设备地址；

　　所述业务管理设备向异常流量清洗设备发送防御策略，所述防御策略中 包括流量清洗策略、以及对所述受到攻击的网络设备地址的流量牵引策略。

　　所述流量清洗设备生成静态ARP配置，所述静态ARP配置的IP地址是 所述受到攻击的网络i史备的IP地址，对应的MAC地址是所述异常流量清洗 设备的MAC地址。

　　其中，所述异常流量清洗设备根据所述防御策略，生成ARP配置并向所 述攻击流量经过的交换设备发送后，还包括

　　所述交换设备接收到发往所述受到攻击的网络设备的IP地址的流量时， 根据所述静态ARP配置，将所述流量通过与所述异常流量清洗设备连接的端 口发送到所述异常流量清洗设备。

　　其中，所述异常流量清洗设备将所述清洗后的流量通过所述交换设备回 流到所述网络设备所述异常流量清洗设备对所述交换设备发送的流量进行清 洗后，还包括

　　所述交换设备将所述清洗后的流量报文发送回流到所述网络设备。 其中，所述异常流量清洗设备对所述交换设备发送的流量进行清洗后，

　　攻击流量停止时，所述异常流量清洗设备接收所述业务管理设备发送的 删除防御策略指示；

　　所述异常流量清洗设备指示所述交换设备删除所述静态ARP配置，停止 将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备。

　　防御策略接收单元，用于在对网络设备的攻击流量发生时，接收业务管 理设备发送的防御策略；

　　ARP配置生成单元，用于根据所述防御策略接收单元接收的防御策略， 生成静态ARP配置；所述静态ARP配置用于将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备；

　　ARP配置发送单元，用于向所述攻击流量经过的交换设备发送所述ARP 配置生成单元生成的静态ARP配置；

　　流量发送单元，用于将所述流量清洗单元清洗后的流量通过所述交换设 备回流到所述网络设备。

　　其中，所述ARP配置生成单元具体为，用于生成静态ARP配置，所述静 态ARP配置的IP地址是所述受到攻击的网络设备的IP地址，对应的MAC 地址是所述异常流量清洗设备的MAC地址。

　　流量发送单元，用于将所述流量清洗单元清洗后的流量净艮文的目的MAC 替换为所述受到攻击的网络设备的MAC地址，并向所述交换设备发送。 其中，还包括

　　ARP配置删除单元，用于接收到所述业务管理设备发送的删除防御策略 指示时，指示所述交换设备删除所述静态ARP配置，停止将所述交换设备上 发往所述网络设备的流量牵引到本设备。

　　防御策略指示单元，用于在攻击流量发生时，向异常流量清洗设备发送 防御策略，所述防御策略中包括流量清洗策略、以及对受到攻击的网络设备 地址的流量牵引策略；

　　防御策略删除单元，用于在攻击流量停止时，向所述异常流量清洗设备 发送删除防御策略的指示。

　　本发明还提供一种流量清洗系统，包括异常流量检测设备、异常流量清 洗设备以及业务管理设备；

　　所述异常流量检测设备，用于在检测到对网络设备的攻击流量发生时， 通知所述业务管理设备；

　　所述业务管理设备，用于在所述异常流量^r测设备;f企测到攻击流量发生 时，向所述常流量清洗设备发送防御策略；所述异常流量清洗设备，用于根据所述业务管理设备发送的防御策略，

　　生成静态ARP配置并向所述攻击流量经过的交换设备发送，所述静态ARP 配置用于将所述交换设备上发往所述网络设备的流量牵引到本设备；并对所 述交换设备发送的流量进行清洗。，并将所述清洗后的流量通过所述交换设备 回流到所述网络设备。

　　对网络设备的攻击流量发生时，所述业务管理设备生成静态ARP配置； 所述业务管理设备将所述静态ARP配置向所述攻击流量经过的交换设备

　　其中，所述业务管理设备生成静态ARP配置前还包括 所述异常流量检测设备探测到攻击流量时，通知所述业务管理设备受到

　　所述流量检测设备生成静态ARP配置，所述静态ARP配置的IP地址是 所述受到攻击的网络设备的IP地址，对应的MAC地址是所述异常流量清洗 设备的MAC地址。

　　其中，所述业务管理设备将所述静态ARP配置向所述攻击流量经过的交 换设备发送后，还包括

　　所述交换设备接收到发往所述受到攻击的网络设备的IP地址的流量时， 根据所述静态ARP配置，将所述流量通过与所述异常流量清洗设备连接的端 口发送到所述异常流量清洗设备；

　　所述异常流量清洗设备将清洗后的流量报文的目的MAC替换为所述受 到攻击的网络设备的MAC地址，并向所述交换设备发送；

　　攻击流量停止时，所述业务管理设备指示所述交换设备删除所述静态 ARP配置，停止将所述交换设备上发往所述网络设备的流量牵引到所述异常 流量清洗设备。

　　ARP配置生成单元，用于在对网络设备的攻击流量发生时，生成静态ARP 配置；

　　ARP配置发送单元，用于将所述静态ARP配置向所述攻击流量经过的交 换设备发送，以将所述交换设备上发往所述网络设备的流量以将所述攻击流 量牵引到所述异常流量清洗设备进行流量清洗。

　　其中，所述ARP配置生成单元具体为，用于生成静态ARP配置，所述静 态ARP配置的IP地址是所述受到攻击的网络设备的IP地址，对应的MAC 地址是所述异常流量清洗设备的MAC地址。

　　ARP配置删除单元，用于当攻击流量停止时，指示所述交换设备删除所 述静态ARP配置，停止将所述交换设备上发往所述网络设备的流量牵引到所 述异常流量清洗设备。

　　本发明所提供的方法与现有技术相比，具有以下优点 在攻击流量发生时，通过生成ARP配置并向攻击流量经过的交换设备 发送，使得交换设备将攻击流量发送到异常流量清洗设备，由异常流量清 洗设备对攻击流量进行清洗，提高了整个系统在流量清洗过程中的转发性 能和转发效率；同时配置筒单灵活，不需要对现有的网络设备进行特殊修 改即可实现。

　　图1为现有技术中流量清洗方法的示意图2为现有技术中策略路由牵引方法的示意图；图3为本发明中流量清洗方法的流程图4为本发明中异常流量检测的流程图5为本发明中业务管理设备的防御策略下发的流程图6为本发明中异常流量清洗设备下发策略流程图7为本发明中核心交换4几更新ARP表流程图8为本发明中流量牵引流程图9为本发明中流量清洗回注流程图IO为本发明中流量清洗恢复流程图11为本发明中流量清洗方法的另一流程图

　　图13为本发明中一种流量清洗系统的结构示意图14为本发明中业务管理设备的结构示意图15为本发明中异常流量清洗设备的结构示意图16为本发明中业务管理设备的另一结构示意图。

　　以下结合附图和实施例，对本发明的实施方式作进一步说明。 本发明提供一种流量清洗的方法，应用于包括异常流量4企测设备、异

　　常流量清洗设备以及业务管理设备的流量清洗系统中，如图3所示，包括 步骤s301、对网络设备的攻击流量发生时，异常流量清洗设备接收业

　　步骤s302、异常流量清洗设备根据所述防御策略，生成静态ARP (Address Resolution Protocol,地址解析协议)配置并向攻击流量经过的

　　步骤s303、异常流量清洗设备对交换设备发送的流量进行清洗。 步骤s304、异常流量清洗设备将清洗后的流量通过交换设备回流到网

　　络设备。具体的，本发明提供的该流量清洗方法中，通过ARP仿冒方法，将向 交换设备上发往受攻击网络设备的攻击流量牵引到异常流量清洗设备上， 由异常流量清洗设备对攻击流量进行清洗。以下对该方法中涉及的各个流 程分别进行详细介绍。

　　本发明的流量清洗方法中，在异常流量检测设备发现针对网络设备(以 下以服务器为例)的攻击流量后，通知业务管理设备受到攻击的服务器IP 地址和MAC (MediumAccess Control,々某体接入控制)地址。该异常流量 检测流程如图4所示，包括以下步骤

　　步骤s402、异常流量检测设备探测分析流量，发现针对服务器A的攻 击流量，获取力l务器A的IP地址和MAC地址。

　　步骤s403、异常流量探测设备通知业务管理设备服务器A受到攻击， 并通知业务管理设备服务器A的IP地址和MAC地址。

　　业务管理设备接收到异常流量检测设备发送的受到攻击的服务器IP 地址和MAC地址后向异常流量清洗设备下发防御策略。该业务管理设备 的防御策略下发流程如图5所示，包括以下步骤

　　步骤s501、业务管理设备生成防御策略。该防御策略除了原有的清洗 策略外，还包括一条流量牵引策略。该流量牵引策略要求异常流量清洗设 备向核心交换机下发一条静态ARP配置。该ARP配置的IP地址是受到攻 击的服务器IP地址，对应的MAC地址是异常流量清洗设备本身的MAC 地址。

　　异常流量清洗设备收到防御策略后，向攻击流量经过的核心交换机下 发策略，如图6所示，包括以下步骤

　　步骤s601、异常流量清洗设备接收业务管理设备发送的防御策略。步骤s602、异常流量清洗设备配置清洗策略。

　　步骤s603、异常流量清洗设备根据流量牵引策略，向核心交换机下发 静态ARP配置。该静态ARP配置中，表项的IP地址是受到攻击的服务器 IP地址，对应的MAC地址是异常流量清洗设备本身的MAC地址。

　　核心交换机接收到该静态ARP配置后，更新本地的ARP表项，如图 7所示，包括以下步骤

　　步骤s702、核心交换机执行该ARP配置后并生成一条静态ARP表项， 该表项的IP地址是受到攻击的服务器IP地址，对应的MAC地址是异常流 量清洗设备的MAC地址。

　　需要说明的是，在生成静态该ARP表项之前，在ARP表中针对IPA 已经存在一条由服务器A的ARP报文生成的动态ARP表项。由于针对同 一 IP地址不能同时存在两条ARP表项，且静态ARP表项的优先级高于动 态生成的ARP表项，所以核心交换机会先删除原本存在的动态ARP表项。 然后生成一条针对IP A的静态ARP表项。

　　另外，由于静态ARP表项的存在，后续服务器A的ARP报文同样无 法生成动态ARP表项。也就是说，在核心交换机上对受到攻击的服务器A 的IP地址IPA进行ARP解析时，会得到异常流量清洗设备B的MAC地 址，异常流量清洗i殳备B的MAC地址在核心交换机上对应的端口是连才妄 异常流量清洗设备的端口 。

　　核心交换机收到发往受攻击服务器的流量后，查找路由会得到 一条直 连路由，然后根据目的IP地址查找ARP表解析目的MAC地址，得到异 常流量清洗设备B的MAC地址。因此将原本直接发给服务器的流量发给 异常流量清洗设备B。该流量牵引流程，如图8所示，包括以下步骤 步骤s801、核心交换机收到发往受攻击服务器A的流量。 步骤s802、根据IPA查找路由，得到一条直连路由，确定出接口。步骤s803、根据目的地址IPA查找ARP表解析目的MAC地址，得到 异常流量清洗设备的MAC地址，出端口是连接异常流量清洗设备的端口。 步骤s804、将原本直接发给服务器A的流量发给异常流量清洗设备B。

　　异常流量清洗设备对流量进行清洗后进行流量清洗回注，该流量清洗 回注流程，如图9所示，包括以下步骤

　　步骤s902、将清洗后的流量才艮文目的MAC替换为ja务器A的MAC 地址，回注到核心交换机。

　　步骤s903、核心交换机根据Vlan和目的MAC将报文直接二层转发给 服务器A。

　　步骤s904、服务器A收到报文后进行响应，缺省网关是核心交换机。 通过核心交换机直接转发出去，不会再经过流量清洗设备。

　　流量回注流程后，若异常流量探测设备发现对服务器的攻击停止时， 则进行流量清洗恢复，该流量清洗恢复流程如图IO所示，包括以下步骤

　　步骤s1001、在异常流量探测设备发现针对服务器的攻击流量停止后， 通知业务管理设备。

　　步骤s1002、业务管理设备向异常流量清洗设备下发防雄卩策略，该防 御策略要求异常流量清洗设备删除之前下发的牵引策略。

　　步骤s1003、异常流量清洗设备根据该策略向核心交换机下发删除静 态ARP的配置。

　　需要说明的是，核心交换机删除静态ARP表项后，服务器A的ARP 净艮文会生成的动态ARP表项。也就是说，在核心交换机上对受到攻击的月良 务器A的IP地址进行ARP解析时，会得到服务器A的MAC地址。

　　上述图3至图IO所描述的各流程中，以攻击流量发生时，业务管理设备向异常流量清洗设备发送防御策略、进而由异常流量清洗设备生成静态

　　ARP配置并向攻击流量经过的交换设备发送为例，说明了本发明中流量清 洗方法的具体实施方式

　　。在实际应用中，上述生成静态ARP配置并向交换 设备发送的主体并不限于异常流量清洗设备，还可以是业务管理设备或流 量探测设备。

　　当由业务管理设备生成静态ARP配置并向交换设备发送时，如图11 所示，本发明还提供了一种流量清洗方法，应用于包括异常流量检测设备、 异常流量清洗设备以及业务管理设备的流量清洗系统中，包括

　　步骤s1101、对网络设备的攻击流量发生时，业务管理设备生成静态 ARP配置。

　　具体的，该攻击流量发生的探测流程参见上述对于图4的相关描述，在 此不再重复介绍。另夕卜，该静态ARP配置的IP地址是所述受到攻击的网络设 备的IP地址，对应的MAC地址是所述异常流量清洗设备的MAC地址，对 应的端口是所述交换设备与所述异常流量清洗设备连接所使用的端口 。

　　步骤s1102、业务管理设备将所述静态ARP配置向所述攻击流量经过 的交换设备发送，以将交换设备上发往网络设备的流量牵引到所述异常流 量清洗设备进行流量清洗。

　　如图12所示，上述步骤sll02后，还可以包括 步骤sl103、所述交换设备解析并存储所述静态ARP配置。 该步骤可以具体参见上述对于图7的相关描述，在此不再重复介绍。 步骤s1104、所述交换设备接收到发往所述受到攻击的网络设备的IP地 址的流量时，纟艮据所述静态ARP配置，将所述流量通过与所述异常流量清洗 设备连接的端口发送到所述异常流量清洗设备。

　　该步骤可以具体参见上述对于图8的相关描述，在此不再重复介绍。 步骤s1105、所述异常流量清洗设备将清洗后的流量报文的目的MAC替 换为所述受到攻击的网络设备的MAC地址，并向所述交换设备发送。 该步骤可以具体参见上述对于图9的相关描述，在此不再重复介绍。 步骤s1106、所述交换设备将所述清洗后的流量报文发送到所述网络设备。

　　步骤s1107、攻击流量停止时，所述业务管理设备指示所述交换设备删 除所述静态ARP配置，停止将所述交换设备上发往所述网络设备的流量牵引 到所述异常流量清洗设备。

　　本发明提供的上述方法中，在攻击流量发生时，通过生成ARP配置并 向攻击流量经过的交换设备发送，使得交换设备将攻击流量发送到异常流 量清洗设备，由异常流量清洗设备对攻击流量进行清洗，提高了整个系统 在流量清洗过程中的转发性能和转发效率；同时配置简单灵活，不需要对 现有的网络设备进行特殊^修改即可实现。

　　本发明还提供一种流量清洗系统，如图13所示，包括异常流量检测设备 10、业务管理设备20、以及异常流量清洗设备30，具体的

　　异常流量检测设备10，用于在检测到攻击流量发生时，通知业务管理设 备20。

　　业务管理设备20，用于在异常流量检测设备IO检测到攻击流量发生时， 向异常流量清洗设备30发送防御策略。

　　异常流量清洗设备30，用于根据业务管理设备20发送的防御策略，生成 静态ARP配置并向攻击流量经过的交换设备发送，该静态ARP配置用于将交 换设备上发往网络设备的流量牵引到本设备；对交换设备发送的流量进行清 洗，并将清洗后的流量通过交换设备回流到网络设备。

　　防御策略指示单元21,用于在攻击流量发生时，向异常流量清洗设备30 发送防御策略，所述防御策略中包括流量清洗策略、以及对受到攻击的网络 设备地址的流量牵引策略。

　　防御策略删除单元22,用于在攻击流量停止时，向异常流量清洗设备30 发送删除防御策略的指示。具体的，如图15所示，上述异常流量清洗设备30进一步包括

　　防御策略接收单元31，用于在对网络设备的攻击流量发生时，接收业务 管理设备20发送的防御策略。

　　ARP配置生成单元32，用于根据防御策略接收单元31接收的防御策略， 生成静态ARP配置，该静态ARP配置用于将交换设备上发往网络设备的流量 牵引到异常流量清洗设备30。该ARP配置生成单元32具体为，用于生成静 态ARP配置，所述静态ARP配置的IP地址是所述受到攻击的网络设备的IP 地址，对应的MAC地址是所述异常流量清洗设备的MAC地址。

　　ARP配置发送单元33，用于向所述攻击流量经过的交换设备发送ARP 配置生成单元32生成的静态ARP配置。

　　流量发送单元35,用于将流量清洗单元34清洗后的流量通过交换设备回 流到所述网络设备。具体为将流量清洗单元34清洗后的流量报文的目的 MAC替换为所述受到攻击的网络设备的MAC地址，并向交换设备发送。

　　ARP配置删除单元36，用于接收到业务管理设备20发送的删除防御策 略指示时，指示所述交换设备删除所述静态ARP配置，停止将交换设备上发 往网络设备的流量牵引到本设备。

　　本发明还提供一种业务管理设备40，用于在攻击流量发生时生成静态 ARP配置并向交换设备发送，如图16所示，包括

　　ARP配置生成单元41，用于在攻击流量发生时，生成静态ARP配置； 该ARP配置生成单元41具体为，用于生成静态ARP配置，所述静态ARP 配置的IP地址是所述受到攻击的网络设备的IP地址，对应的MAC地址是所 述异常流量清洗设备的MAC地址。

　　ARP配置发送单元42，用于将ARP配置生成单元41生成的静态ARP 配置向所述攻击流量经过的交换设备发送，以将所述交换设备上发往所述网 络设备的流量牵引到所述异常流量清洗设备进行流量清洗。另外，该业务管理设备40还包括

　　ARP配置删除单元43，用于当攻击流量停止时，指示所述交换设备删除 所述静态ARP配置，停止将交换设备上发往网络设备的流量牵引到异常流量 清洗设备。

　　本发明提供的上述系统和设备中，在攻击流量发生时，通过生成ARP 配置并向攻击流量经过的交换设备发送，使得交换设备将攻击流量发送到 异常流量清洗设备，由异常流量清洗设备对攻击流量进行清洗，提高了整 个系统在流量清洗过程中的转发性能和转发效率；同时配置简单灵活，不 需要对现有的网络设备进行特殊修改即可实现。

　　通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本 发明可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来 实现基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来， 该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM， U盘， 移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计 算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

　　以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的 普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进 和润饰，这些改进和润饰也应视为本发明的保护范围。

　　1、一种流量清洗方法，应用于包括异常流量检测设备、异常流量清洗设备以及业务管理设备的流量清洗系统中，其特征在于，包括对网络设备的攻击流量发生时，所述异常流量清洗设备接收所述业务管理设备发送的防御策略；所述异常流量清洗设备根据所述防御策略，生成静态地址解析协议ARP配置并向所述攻击流量经过的交换设备发送，所述静态ARP配置用于将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备；所述异常流量清洗设备对所述交换设备发送的流量进行清洗；所述异常流量清洗设备将所述清洗后的流量通过所述交换设备回流到所述网络设备。

　　2、 如权利要求l所述的方法，其特征在于，所述异常流量清洗设备接收 所述业务管理设备发送的防御策略前，还包括所述异常流量检测设备探测到对网络设备的攻击流量时，通知所述业务管理设备受到攻击的网络设备地址；所述业务管理设备向异常流量清洗设备发送防御策略，所述防御策略中 包括流量清洗策略、以及对所述受到攻击的网络设备地址的流量牵引策略。

　　3、 如权利要求2所述的方法，其特征在于，所述异常流量清洗设备根据 所述防御策略，生成静态ARP配置包括所述流量清洗设备生成静态ARP配置，所述静态ARP配置的IP地址是 所述受到攻击的网络设备的IP地址，对应的MAC地址是所述异常流量清洗 设备的MAC地址。

　　4、 如权利要求3所述的方法，其特征在于，所述异常流量清洗设备根据 所述防御策略，生成ARP配置并向所述攻击流量经过的交换设备发送后，还 包括所述交换设备解析并存储所述静态ARP配置；所述交换设备接收到发往所述受到攻击的网络设备的IP地址的流量时， 根据所述静态ARP配置，将所述流量通过与所述异常流量清洗i殳备连接的端口发送到所述异常流量清洗设备。

　　5、 如权利要求1或2所述的方法，其特征在于，所述异常流量清洗设备 将所述清洗后的流量通过所述交换设备回流到所述网络设备包括所述异常流量清洗设备将清洗后的流量^^文的目的MAC替换为所述受 到攻击的网络设备的MAC地址，并向所述交换设备发送；所述交换设备将所述清洗后的流量^^艮文回流到所述网络设备。

　　6、 如权利要求1或2所述的方法，其特征在于，所述异常流量清洗设备 对所述交换设备发送的流量进行清洗后，还包括攻击流量停止时，所述异常流量清洗设备接收所述业务管理设备发送的 删除防^f卸策略指示；所述异常流量清洗设备指示所述交换设备删除所述静态ARP配置，停止 将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清洗设备。

　　7、 一种异常流量清洗设备，其特征在于，包括防御策略接收单元，用于在对网络设备的攻击流量发生时，接收业务管 理设备发送的防御策略；ARP配置生成单元，用于根据所述防御策略接收单元接收的防御策略， 生成静态ARP配置；所述静态ARP配置用于将所述交换设备上发往所述网络 设备的流量牵引到所述异常流量清洗设备；ARP配置发送单元，用于向所述攻击流量经过的交换设备发送所述ARP 配置生成单元生成的静态ARP配置；流量清洗单元，用于对所述交换设备发送的流量进行清洗；流量发送单元，用于将所述流量清洗单元清洗后的流量通过所述交换设 备回流到所述网络设备。

　　8、 如权利要求7所述的设备，其特征在于，所述ARP配置生成单元具 体为，用于生成静态ARP配置，所述静态ARP配置的IP地址是所述受到攻 击的网络设备的IP地址，对应的MAC地址是所述异常流量清洗设备的MAC 地址。

　　9、 如权利要求7所述的设备，其特征在于，所述流量发送单元具体用于 将所述流量清洗单元清洗后的流量报文的目的MAC替换为所述受到攻击的 网络设备的MAC地址，并向所述交换设备发送。

　　10、 如权利要求7所述的设备，其特征在于，还包括ARP配置删除单元，用于接收到所述业务管理设备发送的删除防御策略 指示时，指示所述交换设备删除所述静态ARP配置，停止将所述交换设备上 发往所述网络设备的流量牵引到本设备。

　　11、 一种业务管理设备，其特征在于，包括防御策略指示单元，用于在攻击流量发生时，向异常流量清洗设备发送 防御策略，所述防御策略中包括流量清洗策略、以及对受到攻击的网络设备 地址的流量牵引策略；防御策略删除单元，用于在攻击流量停止时，向所述异常流量清洗设备 发送删除防御策略的指示。

　　12、 一种流量清洗系统，其特征在于，包括异常流量检测设备、异常流 量清洗设备以及业务管理设备；所述异常流量检测设备，用于在检测到对网络设备的攻击流量发生时， 通知所述业务管理设备；所述业务管理设备，用于在所述异常流量检测设备检测到攻击流量发生 时，向所述常流量清洗设备发送防御策略；所述异常流量清洗设备，用于根据所述业务管理设备发送的防御策略， 生成静态ARP配置并向所述攻击流量经过的交换设备发送，所述静态ARP 配置用于将所述交换设备上发往所述网络设备的流量牵引到本设备；对所述 交换设备发送的流量进行清洗，并将所述清洗后的流量通过所述交换设备回 流到所述网络设备。

　　13、 一种流量清洗方法，应用于包括异常流量检测设备、异常流量清洗 设备以及业务管理设备的流量清洗系统中，其特征在于，包括对网络设备的攻击流量发生时，所述业务管理设备生成静态ARP配置；所述业务管理设备将所述静态ARP配置向所述攻击流量经过的交换设备 发送，以将所述交换设备上发往所述网络设备的流量牵引到所述异常流量清 洗设备进行流量清洗。

　　14、 如权利要求13所述的方法，其特征在于，所述业务管理设备生成静 态ARP配置前还包4舌所述异常流量检测设备探测到攻击流量时，通知所述业务管理设备受到 攻击的网络设备地址。

　　15、 如权利要求14所述的方法，其特征在于，所述业务管理设备生成静 态ARP配置包括所述流量检测设备生成静态ARP配置，所述静态ARP配置的IP地址是 所述受到攻击的网络设备的IP地址，对应的MAC地址是所述异常流量清洗 设备的MAC地址。

　　16、 如权利要求14所述的方法，其特征在于，所述业务管理设备将所述 静态ARP配置向所述攻击流量经过的交换设备发送后，还包括所述交换设备解析并存储所述静态ARP配置；所述交换设备接收到发往所述受到攻击的网络设备的IP地址的流量时， 根据所述静态ARP配置，将所述流量通过与所述异常流量清洗设备连接的端 口发送到所述异常流量清洗设备；所述异常流量清洗设备将清洗后的流量报文的目的MAC替换为所述受 到攻击的网络设备的MAC地址，并向所述交换设备发送；所述交换设备将所述清洗后的流量报文发送到所述网络设备。

　　17、 如权利要求14所述的方法，其特征在于，还包括攻击流量停止时，所述业务管理设备指示所述交换设备删除所述静态 ARP配置，停止将所述交换设备上发往所述网络设备的流量牵引到所述异常 流量清洗设备。

　　18、 一种业务管理设备，其特征在于，包括ARP配置生成单元，用于在对网络设备的攻击流量发生时，生成静态ARP配置；ARP配置发送单元，用于将所述静态ARP配置向所述攻击流量经过的交 换设备发送，以将所述交换设备上发往所述网络设备的流量牵引到所述异常 流量清洗设备进行流量清洗。

　　19、 如权利要求18所述的业务管理设备，其特征在于，所述ARP配置 生成单元具体为，用于生成静态ARP配置，所述静态ARP配置的IP地址是 所述受到攻击的网络设备的IP地址，对应的MAC地址是所述异常流量清洗 设备的MAC地址。

　　20、 如权利要求18所述的业务管理设备，其特征在于，还包括ARP配置删除单元，用于当攻击流量停止时，指示所述交换设备删除所 述静态ARP配置，停止将所述交换设备上发往所述网络设备的流量牵引到所 述异常流量清洗设备。

　　本发明公开了一种流量清洗方法、系统和设备。该方法应用于包括异常流量检测设备、异常流量清洗设备以及业务管理设备的流量清洗系统中，本发明通过ARP仿冒方法，将向交换设备上发往受攻击网络设备的攻击流量牵引到异常流量清洗设备上，由异常流量清洗设备对攻击流量进行清洗并回流到网络设备。通过使用本发明，提高了整个系统在流量清洗过程中的转发性能和转发效率；同时配置简单灵活，不需要对现有的网络设备进行特殊修改即可实现。