一种流量回注的方法、装置及电子设备

技术领域

本申请涉及网络安全技术领域，尤其涉及一种流量回注的方法、装置及电子设备。

背景技术

目前抗DDoS(Distributed Denial ofService Attack，分布式拒绝服务攻击)防护市场里，抗DDoS系统设备针对正常流量进行回注处理，回注处理是指将经过抗DDoS的防御设备清洗后的正常流量通过注入接口和注入路由，回注给被访问端。对于正常流量牵引回注的处理方式有GRE(Generic Routing Encapsulation，通用路由封装)注入，GRE注入通过配置GRE隧道，实现正常流量的转发。

然而GRE隧道的流量转发能力需要路由器的支持，同时需要在路由器上执行相关配置。由于GRE隧道会给原始流量执行添加GRE报文头部等操作，很大可能会导致流量MTU(Maximum Transmission Unit，最大传输单元)超过接口MTU限制，从而引起流量分片形成分片报文，而分片报文在网络传递的过程中极易丢失，若分片报文丢失则最终会引起流量回注业务异常。

发明内容

本申请的目的在于提供一种流量回注的方法、装置及电子设备，用以使正常流量更便捷有效的进行回注，提高流量的回注效率。

第一方面，本申请提供了一种流量回注的方法，所述方法包括：

响应于访问端访问目标服务器的业务流量中存在分布式拒绝服务攻击DDoS攻击流量，基于抗DDoS的防御设备对所述业务流量进行清洗，得到回注流量；

获取网际互连协议IP映射关系文件，其中，所述IP映射关系文件包括目标服务器IP、回注IP以及所述目标服务器IP与所述回注IP之间的映射关系，所述回注IP为所述目标服务器IP转换后的IP；

基于所述IP映射关系文件，将所述目标服务器的回注接口的IP配置为所述回注IP；

根据所述回注接口以及所述回注IP对应的回注路由，将所述回注流量发送至所述目标服务器。

该方法通过在防御设备进行流量回注时，将流量的目标服务器IP地址修改为一个由目标服务器地址进行转换后的回注IP地址，使流量回注不需要通过GRE隧道来实现，降低了流量回注时丢失的风险，提高了流量回注有效性，并节约了路由资源。

在一种可能的设计中，在所述响应于访问端访问目标服务器的业务流量中存在分布式拒绝服务攻击DDoS攻击流量，基于抗DDoS的防御设备对所述业务流量进行清洗之前，还包括：建立所述防御设备和连接所述访问端的路由器的边界网关协议BGP邻居关系，以及所述防御设备和所述回注路由的BGP邻居关系，在所述防御设备上配置所述回注接口；并在所述防御设备上提供配置所述IP映射关系文件的配置入口，将用户提供的IP映射关系参数进行解析并存储为所述IP映射关系文件。

在一种可能的设计中，所述获取网际互连协议IP映射关系文件，包括：按照预设周期，获取所述IP映射关系文件；或响应于接收到配置所述IP映射关系文件的配置通知，获取所述IP映射关系文件。

在一种可能的设计中，所述基于所述IP映射关系文件，将所述目标服务器的回注接口的IP配置为所述回注IP，包括：解析所述IP映射关系文件，得到所述目标服务器IP对应的回注IP；将所述目标服务器的回注接口对应的所述目标服务器IP修改为所述回注IP。

在一种可能的设计中，在所述根据所述回注接口以及所述回注IP对应的回注路由，将所述回注流量发送至所述目标服务器之后，包括：根据所述IP映射关系文件，得到所述回注IP对应的所述目标服务器IP；封装所述目标服务器IP的流量数据，将所述流量数据传递给所述访问端。

第二方面，本申请提供了一种流量回注的装置，所述装置包括：

清洗模块，响应于访问端访问目标服务器的业务流量中存在分布式拒绝服务攻击DDoS攻击流量，基于抗DDoS的防御设备对所述业务流量进行清洗，得到回注流量；

获取模块，获取网际互连协议IP映射关系文件，其中，所述IP映射关系文件包括目标服务器IP、回注IP以及所述目标服务器IP与所述回注IP之间的映射关系，所述回注IP为所述目标服务器IP转换后的IP；

配置模块，基于所述IP映射关系文件，将所述目标服务器的回注接口的IP配置为所述回注IP；

发送模块，根据所述回注接口以及所述回注IP对应的回注路由，将所述回注流量发送至所述目标服务器。

在一种可能的设计中，所述装置，还用于：建立所述防御设备和连接所述访问端的路由器的边界网关协议BGP邻居关系，以及所述防御设备和所述回注路由的BGP邻居关系，在所述目标服务器上配置所述回注接口；并在所述防御设备上提供配置所述IP映射关系文件的配置入口。

在一种可能的设计中，所述获取模块，具体用于：按照预设周期，获取所述IP映射关系文件；或响应于接收到配置所述IP映射关系文件的配置通知，获取所述IP映射关系文件。

在一种可能的设计中，所述配置模块，具体用于：解析所述IP映射关系文件，得到所述目标服务器IP对应的回注IP；将所述目标服务器的回注接口对应的所述目标服务器IP修改为所述回注IP。

在一种可能的设计中，所述装置，还用于：根据所述IP映射关系文件，得到所述回注IP对应的所述目标服务器IP；封装所述目标服务器IP的流量数据，将所述流量数据传递给所述访问端。

第三方面，本申请提供了一种电子设备，所述电子设备包括：

存储器，用于存放计算机程序；

处理器，用于执行所述存储器上所存放的计算机程序时，实现上述的一种流量回注的方法步骤。

第四方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述的一种流量回注的方法步骤。

上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明，这里不再重复赘述。

附图说明

图1为本申请提供的一种可能的应用场景的示意图；

图2为本申请提供的一种流量回注方法的流程图；

图3为本申请提供的一种可能的应用场景的示意图；

图4为本申请提供的一种可能的应用场景的示意图；

图5为本申请提供的一种可能的应用场景的示意图；

图6为本申请提供的一种流量回注装置的示意图；

图7为本申请提供的一种电子设备的结构的示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。

在本申请的描述中“多个”理解为“至少两个”。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。A与B连接，可以表示：A与B直接连接和A与B通过C连接这两种情况。另外，在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。

下面对本申请实施例的设计思想进行简要介绍。

目前，抗DDoS(Distributed Denial ofService Attack，分布式拒绝服务攻击)防护市场里，抗DDoS系统设备针对正常流量进行回注处理，回注处理是指将经过抗DDoS的防御设备清洗后的正常流量通过注入接口和注入路由，回注给被访问端。当前防御设备，对于牵引回注流量的处理办法，通常是使用跨接注入，策略路由注入，GRE注入等方式。

跨接注入方案里，流量牵引和流量回注需要单独的路由器设备支持，配置单独用于牵引回注的路由器设备会增加用户的投入，若路由器资源不够，则无法实施跨接方案。

策略路由注入方案需要路由器有支持策略配置的能力，并且需要在路由器上配置相关策略路由命令，若路由器配置权限不够，则无法实施该方案。

GRE注入方案则通过配置GRE隧道来牵引回注流量。参阅图1提供的一种正常防御设备进行流量回注的应用场景，该应用场景中通过配置GRE隧道来牵引流量回注。牵引流量回注的具体过程为：

步骤101：如图1，登录防御设备ADS(Anti-DDoS，抗DDoS系统)，在防御设备ADS和Cisco 3750路由器上分别配置BGP(Border Gateway Protocol，边界网关协议)邻居参数，使防御设备ADS和路由器Cisco 3750建立邻居关系；配置牵引路由参数，实现从用户ClientA来的流量下一跳到10.0.1.1；另外，还需要配置回注接口E4、G1/0/4、F 0/0，以及回注路由；

步骤102：在防御设备ADS上，路由器Cisco 3750、路由器Cisco 2600上分别配置GRE隧道连接参数，使得GRE隧道连接，具体的参数参考各个数通厂商命令；

步骤103：在防御设备上选择步骤1增加的回注接口以及回注路由；

步骤104：等流量经过防御设备ADS清洗后，通过回注接口以及回注路由，回注给GRE隧道对端的路由设备Cisco 2600，再由Cisco 2600进行流量转发至服务器server。

从上述应用场景可以看出，对于GRE注入方案而言，路由器必须支持GRE协议配置，不支持的路由器无法实施该方案。另外，由于GRE隧道会给原始流量执行添加GRE报文头部等操作，很大可能会导致流量MTU(Maximum Transmission Unit，最大传输单元)超过接口MTU限制，从而引起流量分片形成分片报文，而分片报文在网络传递的过程中极易丢失，若分片报文丢失则最终会引起流量回注业务异常。

为了解决上述问题，本申请提供了一种流量回注的方法，该方法在防御设备进行流量回注时，会将流量的目标服务器地址修改为一个由目标服务器地址进行转换后的镜像地址(回注IP)，使流量回注不需要通过GRE隧道来实现，降低了流量回注时丢失的风险，提高了流量回注有效性，并节约了路由资源。

下面结合上述描述的应用场景，参考附图来描述本申请示例性实施方式提供的方法，需要注意的是，上述应用场景仅是为了便于理解本申请的精神和原理而示出，本申请的实施方式在此方面不受任何限制。

参见图2所示，为本申请实施例提供的一种流量回注方法的流程示意图，该方法的具体实施流程如下：

步骤201：响应于访问端访问目标服务器的业务流量中存在分布式拒绝服务攻击DDoS攻击流量，基于抗DDoS的防御设备对业务流量进行清洗，得到回注流量；

在本申请实施例中，首先需要建立防御设备ADS和连接访问端的路由器的BGP邻居关系，以及防御设备和回注路由的BGP邻居关系，在防御设备上配置回注接口；并在防御设备ADS上提供配置IP映射关系文件的配置入口，根据用户提供的IP映射信息，将IP映射关系参数下发给设备解析并存储为IP映射关系文件。其中IP映射关系文件包括目标服务器IP、回注IP以及目标服务器IP与回注IP之间的映射关系，该回注IP为目标服务器IP转换后的IP。

具体来说，用户需要登录防御设备ADS配置ADS和路由器的BGP邻居参数以及牵引参数，通过BGP路由实现流量牵引；在目标服务器上配置回注接口，实现流量回注；另外，防御设备ADS提供一个基于Web(World Wide Web，全球广域网)端的配置入口，通过该配置入口实现IP映射关系文件的配置，使目标服务器IP和回注IP建立一个映射关系。

举例来说，如图3所示，配置ADS和路由器1的BGP邻居参数，ADS和路由器2的BGP邻居参数，以及路由器1和路由器2的牵引参数；在目标服务器上配置连接路由器2的回注接口；在ADS上配置IP映射关系文件，填入访问端进行访问的真实服务器IP和回注IP。

在本申请实施例中，当访问端访问目标服务器的业务流量中存在分布式拒绝服务攻击DDoS攻击流量时，抗DDoS的防御设备会对该业务流量进行清洗，清洗完成后得到回注流量。该回注流量用于回注给目标服务器。

步骤202：获取网际互连协议IP映射关系文件；

在本申请实施例中，IP映射关系文件包括目标服务器IP、回注IP以及目标服务器IP与回注IP之间的映射关系。回注IP为目标服务器IP转换后的IP。

在本申请实施例中，在抗DDoS的防御设备对业务流量完成清洗后，该防御设备后台会启动预先设定的一个引擎，通过该引擎来获取IP映射关系文件。该引擎设计了两种工作机制，所以获取IP映射关系文件的方式包括以下两种。

方式一，按照预设周期，获取IP映射关系文件。具体来讲，按照预设周期，周期性地读取由用户通过Web下发的IP映射关系文件。比如，设定读取周期为30s，则每30s读取一次IP映射关系文件。

方式二，响应于接收到配置IP映射关系文件的配置通知，获取IP映射关系文件。具体来讲，用户通过基于Web端的IP映射关系文件配置入口来配置IP映射关系文件，用户每配置一次IP映射关系文件，该引擎就实时接收到Web下发的IP映射关系文件的配置通知，从而实时同步更新IP映射关系文件。

步骤203：基于IP映射关系文件，将目标服务器的回注接口的IP配置为回注IP；

在本申请实施例中，得到IP映射关系文件后，解析IP映射关系文件，得到目标服务器IP对应的回注IP；将目标服务器IP修改为回注IP。

具体来讲，通过解析IP映射关系文件，得到访问端进行访问的真实服务器IP对应的回注IP数据，并针对防御设备ADS接受的流量同步计算替换真实服务器IP后的checksum(校验和)值，然后将真实服务器IP修改为回注IP。

步骤204：根据回注接口以及回注IP对应的回注路由，将回注流量发送至目标服务器。

在本申请实施例中，回注IP对应的回注路由牵引回注流量流向回注接口，最终回注流量注入目标服务器中。

举例来说，如图3所示，ADS清洗由路由器1转发过来的流量后得到回注流量，然后路由器2牵引回注流量流向回注接口，最终回注流量通过回注接口注入服务器。

进一步，在根据回注接口以及回注IP对应的回注路由，将回注流量发送至目标服务器之后，根据IP映射关系，得到回注IP对应的目标服务器IP；封装目标服务器IP的流量数据，将该流量数据传递给访问端。

具体来说，目标服务器在接收到回注流量时，会将回注IP解析识别为目标服务器IP，并将此目标服务器IP作为目的IP，封装该目的IP相关的流量数据，并将该目的IP相关的流量数据传递给访问端。

举例来讲，如图3所示，服务器在接收到回注流量后，通过IP映射模块解析回注IP，得到目标服务器IP，然后通过web应用程序封装目标服务器IP相关的流量数据，将该流量数据传递给发起访问目标服务器的用户端。

综合上述提供的流量回注方法，通过在防御设备进行流量回注时，将流量的目标服务器IP修改为一个由目标服务器地址进行转换后的回注IP，使流量回注不需要通过GRE隧道来实现，进而降低了流量回注时丢失的风险，提高了流量回注有效性，并节约了路由资源。

基于上述提供的流量回注的方法，下面基于图4提供的一个可能的应用场景对该方法进行详细的阐述。值得说明的是，图4的场景只是本申请提供的方法所能应用的一种情况，本申请提供的方法还能应用于图5提供的场景，图4、图5只是本申请提供的方法的应用场景之一，不代表所有应用场景。

如图4所示，首先，用户需要登录防御设备ADS配置ADS和路由器1的BGP邻居参数，ADS和路由器3的邻居参数，用于建立ADS和路由器1以及路由器3的邻居关系；配置路由器1、路由器2以及路由器3的牵引参数，用于实现流量牵引；在服务器上配置回注接口，用于流量回注；另外，在ADS上提供一个基于web端的配置入口，该配置入口用于配置IP映射关系文件，实现用户端访问的真实的服务器IP和回注IP建立一个映射关系。图4中，真实的服务器IP为101.204.202.211，回注IP为192.168.202.212。

在图4提供的场景中，当用户端访问服务端的业务流量存在异常，即存在DDoS攻击时，业务流量走向为图中虚线箭头走向。业务流量经过防御设备ADS，防御设备ADS对业务流量进行清洗，得到回注流量。在防御设备ADS对业务流量完成清洗后，防御设备ADS后台会启动一个预先设定的引擎，该引擎设计两种工作机制。机制一：该引擎周期性地读取由用户通过web端下发的IP映射关系文件；机制二：该引擎实时接收web端下发的IP映射关系文件配置通知，实时同步加载最新的IP映射关系文件。

在ADS读取到IP映射关系文件后，执行解析操作，通过解析，得到真实的服务器IP对应的回注IP，图4中，真实的服务器IP为101.204.202.211，回注IP为192.168.202.212。然后针对接受的流量同步计算替换真实的服务器IP后的checksum(校验和)值，将服务器的回注接口处的IP修改为192.168.202.212这个回注IP。

该引擎在解析出回注IP后，根据回注接口，以及回注IP对应的路由，基于linux内核提供的网络协议栈将回注流量发送至服务器。服务器在收到回注流量时，会解析回注IP(192.168.202.212)，识别为真实的服务器IP(101.204.202.211)，并将此101.204.202.211作为目的IP，封装目的IP相关的流量发送给用户端，从而实现流量双向正常通信。

值得说明的是，图4所示的应用场景是直接单独部署路由器和目标服务器通信，如果用户受限于路由器不足，也可以使用和传统回注组网相同的组网结构，如图5。

上述的流量回注方法，对于运营商不方便在路由器上进行策略配置，或者路由器没有配置GRE权限的场景，以及客户MTU超过接口MTU限制的场景尤为有效，只需要防御设备端修改目标服务器IP，防御设备端与被保护的目标服务器端即可实现清洗后的正常流量回注。

基于同一发明构思，本申请还提供了一种流量回注的装置，用以使正常流量有效回注，提高流量的转发效率，参见图6，该装置包括：

清洗模块601，响应于访问端访问目标服务器的业务流量中存在分布式拒绝服务攻击DDoS攻击流量，基于抗DDoS的防御设备对所述业务流量进行清洗，得到回注流量；

获取模块602，获取网际互连协议IP映射关系文件，其中，所述IP映射关系文件包括目标服务器IP、回注IP以及所述目标服务器IP与所述回注IP之间的映射关系，所述回注IP为所述目标服务器IP转换后的IP；

配置模块603，基于所述IP映射关系文件，将所述目标服务器的回注接口的IP配置为所述回注IP；

发送模块604，根据所述回注接口以及所述回注IP对应的回注路由，将所述回注流量发送至所述目标服务器。

在一种可能的设计中，所述装置，还用于：建立所述防御设备和连接所述访问端的路由器的边界网关协议BGP邻居关系，以及所述防御设备和所述回注路由的BGP邻居关系，在所述目标服务器上配置所述回注接口；并在所述防御设备上提供配置所述IP映射关系文件的配置入口。

在一种可能的设计中，所述获取模块602，具体用于：按照预设周期，获取所述IP映射关系文件；或响应于接收到配置所述IP映射关系文件的配置通知，获取所述IP映射关系文件。

在一种可能的设计中，所述配置模块603，具体用于：解析所述IP映射关系文件，得到所述目标服务器IP对应的回注IP；将所述目标服务器的回注接口对应的所述目标服务器IP修改为所述回注IP。

在一种可能的设计中，所述装置，还用于：根据所述IP映射关系文件，得到所述回注IP对应的所述目标服务器IP；封装所述目标服务器IP的流量数据，将所述流量数据传递给所述访问端。

基于上述装置，在防御设备进行流量回注时，将流量的目标服务器IP地址修改为一个由目标服务器地址进行转换后的回注IP地址，使流量回注不需要通过GRE隧道来实现，降低了流量回注时丢失的风险，提高了流量回注有效性，并节约了路由资源。

基于同一发明构思，本申请实施例中还提供了一种电子设备，所述电子设备可以实现前述一种流量回注的装置的功能，参考图7，所述电子设备包括：

至少一个处理器701，以及与至少一个处理器701连接的存储器702，本申请实施例中不限定处理器701与存储器702之间的具体连接介质，图7中是以处理器701和存储器702之间通过总线700连接为例。总线700在图7中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线700可以分为地址总线、数据总线、控制总线等，为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。或者，处理器701也可以称为控制器，对于名称不做限制。

在本申请实施例中，存储器702存储有可被至少一个处理器701执行的指令，至少一个处理器701通过执行存储器702存储的指令，可以执行前文论述的生成图像方法。处理器701可以实现图6所示的装置中各个模块的功能。

其中，处理器701是该装置的控制中心，可以利用各种接口和线路连接整个该控制设备的各个部分，通过运行或执行存储在存储器702内的指令以及调用存储在存储器702内的数据，该装置的各种功能和处理数据，从而对该装置进行整体监控。

在一种可能的设计中，处理器701可包括一个或多个处理单元，处理器701可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器701中。在一些实施例中，处理器701和存储器702可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。

处理器701可以是通用处理器，例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的流量回注方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器702作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器702可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory，RAM)、静态随机访问存储器(Static Random Access Memory，SRAM)、可编程只读存储器(Programmable Read Only Memory，PROM)、只读存储器(Read Only Memory，ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性存储器、磁盘、光盘等等。存储器702是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器702还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

通过对处理器701进行设计编程，可以将前述实施例中介绍的流量回注的方法所对应的代码固化到芯片内，从而使芯片在运行时能够执行图2所示的实施例的流量回注的方法的步骤。如何对处理器701进行设计编程为本领域技术人员所公知的技术，这里不再赘述。

基于同一发明构思，本申请实施例还提供一种存储介质，该存储介质存储有计算机指令，当该计算机指令在计算机上运行时，使得计算机执行前文论述生成图像方法。

在一些可能的实施方式中，本申请提供的生成图像方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在装置上运行时，程序代码用于使该控制设备执行本说明书上述描述的根据本申请各种示例性实施方式的生成图像方法中的步骤。

本领域内的技术人员应明白，本申请的实施例可提供为方法、装置/系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。