本發明專利技術提供一種報文轉發方法及裝置,該方法包括:判斷接收的報文是否攜帶流量清洗標記,所述流量清洗標記用于表示當前報文為已經過檢測的正常報文;當所述報文中攜帶流量清洗標記時,轉發所述報文。本發明專利技術可提高正常報文的轉發效率。
【技術實現步驟摘要】
本專利技術涉及網絡通信
,尤其涉及一種報文轉發方法及裝置。
技術介紹
隨著互聯網應用的不斷發展,網絡攻擊造成的后果越來越嚴重。其中,DoS(Denial of service,拒絕服務)/DDos(Distributed Denial of Service,分布式拒絕服務)攻擊(統稱拒絕服務攻擊)由于其隱蔽性及易于實施而成為慣用攻擊手段。目前,針對拒絕服務攻擊比較流行的做法是在最接近攻擊源的設備上下發轉發平面的流量控制策略,例如,FlowSpec(Flow Specification,流說明)流量控制策略,該流量控制策略可精準的匹配攻擊流量,并對攻擊流量進行過濾和控制,從而減少攻擊流量對網絡轉發性能的影響。FlowSpec流量控制策略可通過路由協議攜帶,例如,BGP(Border Gateway Protocol,邊界網關協議),從而在運行BGP協議的網絡設備下發FlowSpec流量控制策略,并對每一個經過的流量(包括正常流量)進行FlowSpec檢測,以識別攻擊流量,這在一定程度上影響正常流量的傳輸效率。
技術實現思路
本專利技術的目的在于提供一種報文轉發方法及裝置,用以降低運營商網絡中各網絡設備對正常流量的檢測次數。為實現上述專利技術目的,本專利技術提供了技術方案:本專利技術提供一種報文轉發方法,應用于運營商網絡中的網絡設備,所述方
法包括:判斷接收的報文是否攜帶流量清洗標記,所述流量清洗標記用于表示當前報文為已經過檢測的正常報文;當所述報文中攜帶流量清洗標記時,轉發所述報文。本專利技術還提供一種報文轉發裝置,應用于運營商網絡中的網絡設備,所述裝置包括:標記判斷單元,用于判斷接收的報文是否攜帶流量清洗標記,所述流量清洗標記用于表示當前報文為已經過檢測的正常報文;報文轉發單元,用于當所述報文中攜帶流量清洗標記時,轉發所述報文。由以上描述可以看出,本專利技術實施例提出一種報文轉發方法,該方法在確認接收的報文中攜帶流量清洗標記時,對報文直接轉發,不進行檢測,從而提高正常報文的轉發效率。附圖說明圖1是本專利技術實施例示出的防攻擊網絡示意圖;圖2是本專利技術實施例示出的報文轉發方法流程圖;圖3是本專利技術實施例示出的IP報文頭格式;圖4A是本專利技術實施例示出的網絡設備的結構示意圖;圖4B是圖4A所示網絡設備的報文轉發裝置的結構示意圖。具體實施方式這里將詳細地對示例性實施例進行說明,其示例表示在附圖中。下面的描述涉及附圖時,除非另有表示,不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本專利技術相一致的所有實施方式。相反,它們僅是與如所附權利要求書中所詳述的、本專利技術的一些方面相一致的裝置和方法的例子。在本專利技術使用的術語是僅僅出于描述特定實施例的目的,而非旨在限制
本專利技術。在本專利技術和所附權利要求書中所使用的單數形式的“一種”、“”和“該”也旨在包括多數形式,除非上下文清楚地表示其他含義。還應當理解,本文中使用的術語“和/或”是指并包含一個或多個相關聯的列出項目的任何或所有可能組合。應當理解,盡管在本專利技術可能采用術語第一、第二、第三等來描述各種信息,但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區分開。例如,在不脫離本專利技術范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”。在具體闡述本專利技術實施例之前,首先簡單介紹一下本專利技術實施例中會涉及到的相關技術。DoS/DDoS攻擊為一種集中流量攻擊技術,攻擊者通過控制成千上萬的攻擊設備對同一個目標(用戶地址或者服務器)同時發起流量攻擊,導致該目的地址的上游接入設備或受攻擊服務器被異常流量擁塞,用戶無法正常使用。該攻擊方式容易實施、隱蔽性強、簡單有效,因此,成為黑客慣用攻擊手段,對網絡安全構成嚴重威脅,給企業和用戶帶來了巨大的經濟損失和影響。目前,針對DoS/DDoS攻擊最有效的防御方式是在最接近攻擊源的設備上下發轉發平面的流量控制策略,對匹配流量控制策略的攻擊流量進行過濾和控制,從而在攻擊源附近對攻擊流量進行限制,降低對用戶網絡的威脅。在IETF(Internet Engineering Task Force,國際互聯網工程任務組)的RFC文檔中,FlowSpec被定義為可應用于IP(Internet Protocol,網際協議)流量的由若干匹配規則組成的n元組,例如,源地址、目的地址、端口、源端口、目的端口、協議類型、ICMP(Internet Control Message Protocol,國際控制報文協議)類型、分片情況、TCP(Transmission Control Protocol,傳輸控制協議)標記、DSCP(Differentiated Services Code Point,差分服務代碼點)值等。因此,可利用FlowSpec技術部署流量控制策略(簡稱FlowSpec流量控制策略),以
達到精準匹配攻擊流量,并對攻擊流量執行多種選擇動作,例如,全部丟棄、限速、流量重定向或者修改IP報文的DSCP值等,從而減輕DoS/DDoS攻擊的影響。BGP(Border Gateway Protocol,邊界網關協議)是用來在AS(Autonomous System,自治系統)之間傳遞選路信息的路徑向量協議,是域間路由協議,著眼于控制路由的傳播和選擇最好的路由。利用BGP協議報文的NLRI(Network Layer Reachability Information,網絡層可達信息)字段可封裝其它協議信息,并傳遞給其他配置了BGP協議的設備,因此,很多協議借助BGP的這種協議擴展能力來傳遞自己需要的各種路由信息。FlowSpec技術同樣可借助BGP的協議擴展能力,將FlowSpec流量控制策略分發到其他配置BGP協議的設備上,并下發到設備的轉發平面。設備根據FlowSpec流量控制策略對經過的流量(包括正常流量)進行FlowSpec檢測,對匹配FlowSpec流量控制策略的攻擊流量進行過濾和控制,從而在攻擊源附近對攻擊流量進行限制,降低對用戶網絡的威脅。但是,該FlowSpec檢測方式會影響正常流量的傳輸效率。本專利技術實施例提出一種報文轉發方法,該方法在確認接收的報文中攜帶流量清洗標記時,對報文直接轉發,不再進行FlowSpec檢測,從而提高正常報文的轉發效率。參見圖1,為本專利技術實施例示出的一種防攻擊網絡示意圖。該防攻擊網絡包括用戶網絡10、用戶網絡20以及運營商網絡30。其中,用戶網絡10包括主機11和網絡設備12;用戶網絡20包括主機21和網絡設備22;運營商網絡30包括網絡設備31~網絡設備33。首先,各網絡設備通過BGP協議建立鄰居關系。當網絡設備(例如,網絡設備12)檢測到攻擊時,生成一條FlowSpec表項(即FlowSpec流量控制策略),并觸發BGP協議生成BGP FlowSpec路由,該BGP FlowSpec路由攜帶FlowSpec表項信息,通過BGP鄰居將該BGP FlowSpec路由通告給其它網絡設備。運營商網絡中的網絡設備(例如,網絡設備31)接收到該BGP本文檔來自技高網...
【技術保護點】
一種報文轉發方法,應用于運營商網絡中的網絡設備,其特征在于,所述方法包括:判斷接收的報文是否攜帶流量清洗標記,所述流量清洗標記用于表示當前報文為已經過檢測的正常報文;當所述報文中攜帶流量清洗標記時,轉發所述報文。
【技術特征摘要】
1.一種報文轉發方法,應用于運營商網絡中的網絡設備,其特征在于,所述方法包括:判斷接收的報文是否攜帶流量清洗標記,所述流量清洗標記用于表示當前報文為已經過檢測的正常報文;當所述報文中攜帶流量清洗標記時,轉發所述報文。2.如權利要求1所述的方法,其特征在于,所述方法還包括:當所述報文中未攜帶流量清洗標記時,判斷所述報文是否為攻擊報文;當所述報文不為攻擊報文時,為所述報文添加流量清洗標記;轉發所述添加流量清洗標記的報文。3.如權利要求2所述的方法,其特征在于,所述判斷所述報文是否為攻擊報文之前,還包括:接收邊界網關協議BGP報文,所述BGP報文攜帶流說明FlowSpec表項,所述FlowSpec表項中記錄了攻擊報文的報文特征;所述判斷所述報文是否為攻擊報文,包括:當所述接收的報文的報文特征與所述FlowSpec表項中記錄的攻擊報文的報文特征相同時,確定所述接收的報文為攻擊報文;否則,確定所述接收的報文不為攻擊報文。4.如權利要求1所述的方法,其特征在于,所述判斷接收的報文中是否攜帶流量清洗標記之前,還包括:判斷所述報文是否來自于運營商網絡內部;當所述報文不是來自于運營商網絡內部時,清除所述報文中的流量清洗標記。5.如權利要求1至4任一所述的方法,其特征在于:所述流量清洗標記攜帶在報文頭中標志字段的第一位Bit。6.一種報文轉發裝置,應用于運營商網絡中的網絡設備,其特征在于,
\t所述裝置包括...
【專利技術屬性】
技術研發人員:余清炎,
申請(專利權)人:杭州華三通信技術有限公司,
類型:發明
國別省市:浙江;33
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。