【技术实现步骤摘要】
本专利技术涉及网络通信
,尤其涉及一种报文转发方法及装置。
技术介绍
随着互联网应用的不断发展,网络攻击造成的后果越来越严重。其中,DoS(Denial of service,拒绝服务)/DDos(Distributed Denial of Service,分布式拒绝服务)攻击(统称拒绝服务攻击)由于其隐蔽性及易于实施而成为惯用攻击手段。目前,针对拒绝服务攻击比较流行的做法是在最接近攻击源的设备上下发转发平面的流量控制策略,例如,FlowSpec(Flow Specification,流说明)流量控制策略,该流量控制策略可精准的匹配攻击流量,并对攻击流量进行过滤和控制,从而减少攻击流量对网络转发性能的影响。FlowSpec流量控制策略可通过路由协议携带,例如,BGP(Border Gateway Protocol,边界网关协议),从而在运行BGP协议的网络设备下发FlowSpec流量控制策略,并对每一个经过的流量(包括正常流量)进行FlowSpec检测,以识别攻击流量,这在一定程度上影响正常流量的传输效率。
技术实现思路
本专利技术的目的在于提供一种报文转发方...
【技术保护点】
一种报文转发方法,应用于运营商网络中的网络设备,其特征在于,所述方法包括:判断接收的报文是否携带流量清洗标记,所述流量清洗标记用于表示当前报文为已经过检测的正常报文;当所述报文中携带流量清洗标记时,转发所述报文。
【技术特征摘要】
1.一种报文转发方法,应用于运营商网络中的网络设备,其特征在于,所述方法包括:判断接收的报文是否携带流量清洗标记,所述流量清洗标记用于表示当前报文为已经过检测的正常报文;当所述报文中携带流量清洗标记时,转发所述报文。2.如权利要求1所述的方法,其特征在于,所述方法还包括:当所述报文中未携带流量清洗标记时,判断所述报文是否为攻击报文;当所述报文不为攻击报文时,为所述报文添加流量清洗标记;转发所述添加流量清洗标记的报文。3.如权利要求2所述的方法,其特征在于,所述判断所述报文是否为攻击报文之前,还包括:接收边界网关协议BGP报文,所述BGP报文携带流说明FlowSpec表项,所述FlowSpec表项中记录了攻击报文的报文特征;所述判断所述报文是否为攻击报文,包括:当所述接收的报文的报文特征与所述FlowSpec表项中记录的攻击报文的报文特征相同时,确定所述接收的报文为攻击报文;否则,确定所述接收的报文不为攻击报文。4.如权利要求1所述的方法,其特征在于,所述判断接收的报文中是否携带流量清洗标记之前,还包括:判断所述报文是否来自于运营商网络内部;当所述报文不是来自于运营商网络内部时,清除所述报文中的流量清洗标记。5.如权利要求1至4任一所述的方法,其特征在于:所述流量清洗标记携带在报文头中标志字段的第一位Bit。6.一种报文转发装置,应用于运营商网络中的网络设备,其特征在于,
\t所述装置包括...
【专利技术属性】
技术研发人员:余清炎,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。