【技术实现步骤摘要】
一种报文处理方法和装置
本申请涉及通信
,尤其是涉及一种报文处理方法和装置。
技术介绍
SDN(SoftwareDefinedNetwork,软件定义网络)是一种新型网络架构,SDN的核心思想是分离网络设备的控制层面与转发层面,通过SDN控制器对网络流量进行集中和灵活控制,从而为核心网络及应用的创新提供良好的平台。在SDN中,网络设备下挂的主机可以向网络设备发送报文,网络设备接收到该报文后,若该报文匹配miss流表项,则将该报文封装成packet-in消息,并将该packet-in消息发送给SDN控制器。SDN控制器在接收到packet-in消息后,根据packet-in消息生成转发流表项,并将该转发流表项下发给网络设备,网络设备在接收到转发流表项后,根据转发流表项进行报文转发。但是,当网络设备下挂的主机进行攻击时,会发送大量目的地址变化的未知报文,这些未知报文均可以匹配miss流表项,从而导致网络设备向SDN控制器发送大量packet-in消息,并导致SDN控制器在短时间内生成大量转发流表项,消耗SDN控制器的大量CPU(CentralProcessingUnit,中央处理器)资源。而且,网络设备也需要处理大量转发流表项,消耗了网络设备的大量CPU资源。
技术实现思路
本申请提供一种一种报文处理方法,应用于网络设备,所述方法包括:在接收到与默认流表项匹配的第一报文后,向控制器发送控制消息,所述控制消息携带第一报文、预设时间内与默认流表项匹配的所有报文的攻击参数;接收并存储控制器发送的未知丢弃流表项;其中,所述未知丢弃流表项是控制器根据所述攻击参数确定所 ...
【技术保护点】
1.一种报文处理方法,其特征在于,应用于网络设备,所述方法包括:在接收到与默认流表项匹配的第一报文后,向控制器发送控制消息,所述控制消息携带第一报文、预设时间内与默认流表项匹配的所有报文的攻击参数;接收并存储控制器发送的未知丢弃流表项;其中,所述未知丢弃流表项是控制器根据所述攻击参数确定所述网络设备被攻击时发送的,所述未知丢弃流表项用于丢弃源地址为所述第一报文的源地址、目的地址未命中的报文;在接收到与所述未知丢弃流表项匹配的第二报文后,丢弃所述第二报文。
【技术特征摘要】
1.一种报文处理方法,其特征在于,应用于网络设备,所述方法包括:在接收到与默认流表项匹配的第一报文后,向控制器发送控制消息,所述控制消息携带第一报文、预设时间内与默认流表项匹配的所有报文的攻击参数;接收并存储控制器发送的未知丢弃流表项;其中,所述未知丢弃流表项是控制器根据所述攻击参数确定所述网络设备被攻击时发送的,所述未知丢弃流表项用于丢弃源地址为所述第一报文的源地址、目的地址未命中的报文;在接收到与所述未知丢弃流表项匹配的第二报文后,丢弃所述第二报文。2.根据权利要求1所述的方法,其特征在于,在接收到与默认流表项匹配的第一报文之后,在向控制器发送控制消息之前,所述方法还包括:更新所述默认流表项中的攻击参数;从所述默认流表项中读取更新后的攻击参数,生成携带更新后的攻击参数的控制消息;其中,所述攻击参数包括:报文总数量和/或报文实际速率。3.根据权利要求1所述的方法,其特征在于,所述默认流表项还包括最大上送速率;所述向控制器发送控制消息之前,所述方法还包括:判断向控制器发送控制消息的速率是否已经达到所述最大上送速率;如果是,则禁止向所述控制器发送所述控制消息;如果否,则执行向控制器发送控制消息的操作。4.根据权利要求1所述的方法,其特征在于,所述未知丢弃流表项包括第一级子表项和第二级子表项;所述第一级子表项的匹配选项包括所述第一报文的源地址,动作选项包括设置元数据;所述第二级子表项的匹配选项包括所述元数据,动作选项包括丢弃;其中,所述第一级子表项存储在第一级流表,所述第二级子表项存储在第二级流表;所述接收到与所述未知丢弃流表项匹配的第二报文,包括:在接收到第二报文后,通过第二报文的源地址查询所述第一级流表,若命中所述第一级流表中的所述第一级子表项,则为第二报文设置所述元数据;通过第二报文的目的地址查询所述第二级流表,若未命中所述第二级流表中的所有表项,则通过为第二报文设置的元数据查询所述第二级流表,若命中所述第二级流表中的所述第二级子表项,则确定第二报文与所述未知丢弃流表项匹配。5.一种报文处理方法,其特征在于,应用于控制器,所述方法包括:接收网络设备发送的控制消息,所述控制消息携带与所述网络设备的默认流表项匹配的第一报文、预设时间内与默认流表项匹配的所有报文的攻击参数;若根据所述攻击参数确定网络设备被攻击,向网络设备发送未知丢弃流表项,所述未知丢弃流表项用于丢弃源地址为所述第一报文的源地址、目的地址未命中的报文;以使网络设备丢弃与所述未知丢弃流表项匹配的第二报文。6.根据权利要求5所述的方法,其特征在于,所述攻击参数包括:报文总数量和/或报文实际速率;所述根据所述攻击参数确定网络设备被攻击,包括:若所述攻击参数为报文总数量,且所述报文总数量大于第一数量阈值,则确定所述网络设备被攻击;或者,若所述攻击参数为报文实际速率,且所述报文实际速率大于第一速率阈值,则确定所述网络设备被攻击;或者,若所述攻击参数为报文总数量和报文实际速率,且所述报文总数量大于第二数量阈值、所述报文实际速率大于第二速率阈值,则确定所述网络设备被攻击。7.根据权利要求5所述的方法,其特征在于,所述向网络设备发送未知丢弃流表项之前,所述方法还包括:获取预设时间内接收到的与所述网络设备的默认流表项匹配的所有报文的第一数量、所有报文中源地址与所述第一报文的源地址相同的报文的第二数量;若第二数量与第一数量的比例大于比例阈值,则生成所述未知丢弃流表项。8.根据权利要求5或7所述的方法,其特征在于,所述未知丢弃流表项包括第一级子表项和第二级子表项;所述第一级子表项的匹配选项包括所述第一报文的源地址,动作选项包括设置元数据;...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。