一種報文轉(zhuǎn)發(fā)方法及裝置的制造方法
【專利摘要】本發(fā)明提供一種報文轉(zhuǎn)發(fā)方法及裝置,該方法包括:判斷接收的報文是否攜帶流量清洗標(biāo)記���,所述流量清洗標(biāo)記用于表示當(dāng)前報文為已經(jīng)過檢測的正常報文��;當(dāng)所述報文中攜帶流量清洗標(biāo)記時��,轉(zhuǎn)發(fā)所述報文�。本發(fā)明可提高正常報文的轉(zhuǎn)發(fā)效率���。
【專利說明】
一種報文轉(zhuǎn)發(fā)方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域���,尤其涉及一種報文轉(zhuǎn)發(fā)方法及裝置����?!颈尘凹夹g(shù)】
[0002]隨著互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展,網(wǎng)絡(luò)攻擊造成的后果越來越嚴(yán)重����。其中,DoS(Denial of service���,拒絕服務(wù))/DDos(Distributed Denial of Service�,分布式拒絕服務(wù))攻擊 (統(tǒng)稱拒絕服務(wù)攻擊)由于其隱蔽性及易于實施而成為慣用攻擊手段�。
[0003]目前,針對拒絕服務(wù)攻擊比較流行的做法是在最接近攻擊源的設(shè)備上下發(fā)轉(zhuǎn)發(fā)平面的流量控制策略�,例如,F(xiàn)l〇wSpeC(Fl〇W Specificat1n���,流說明)流量控制策略����,該流量控制策略可精準(zhǔn)的匹配攻擊流量����,并對攻擊流量進(jìn)行過濾和控制��,從而減少攻擊流量對網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能的影響。
[0004]FlowSpec流量控制策略可通過路由協(xié)議攜帶����,例如,BGP (Border Gateway Protocol�����,邊界網(wǎng)關(guān)協(xié)議)����,從而在運(yùn)行BGP協(xié)議的網(wǎng)絡(luò)設(shè)備下發(fā)FlowSpec流量控制策略,并對每一個經(jīng)過的流量(包括正常流量)進(jìn)行FlowSpec檢測����,以識別攻擊流量,這在一定程度上影響正常流量的傳輸效率�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于提供一種報文轉(zhuǎn)發(fā)方法及裝置,用以降低運(yùn)營商網(wǎng)絡(luò)中各網(wǎng)絡(luò)設(shè)備對正常流量的檢測次數(shù)�。
[0006]為實現(xiàn)上述發(fā)明目的,本發(fā)明提供了技術(shù)方案:
[0007]本發(fā)明提供一種報文轉(zhuǎn)發(fā)方法���,應(yīng)用于運(yùn)營商網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備��,所述方法包括:
[0008]判斷接收的報文是否攜帶流量清洗標(biāo)記�,所述流量清洗標(biāo)記用于表示當(dāng)前報文為已經(jīng)過檢測的正常報文;
[0009]當(dāng)所述報文中攜帶流量清洗標(biāo)記時���,轉(zhuǎn)發(fā)所述報文�。
[0010]本發(fā)明還提供一種報文轉(zhuǎn)發(fā)裝置�����,應(yīng)用于運(yùn)營商網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備����,所述裝置包括:
[0011]標(biāo)記判斷單元,用于判斷接收的報文是否攜帶流量清洗標(biāo)記�����,所述流量清洗標(biāo)記用于表示當(dāng)前報文為已經(jīng)過檢測的正常報文��;
[0012]報文轉(zhuǎn)發(fā)單元�,用于當(dāng)所述報文中攜帶流量清洗標(biāo)記時,轉(zhuǎn)發(fā)所述報文�����。
[0013]由以上描述可以看出,本發(fā)明實施例提出一種報文轉(zhuǎn)發(fā)方法��,該方法在確認(rèn)接收的報文中攜帶流量清洗標(biāo)記時��,對報文直接轉(zhuǎn)發(fā)����,不進(jìn)行檢測���,從而提高正常報文的轉(zhuǎn)發(fā)效率��?����!靖綀D說明】
[0014]圖1是本發(fā)明實施例示出的防攻擊網(wǎng)絡(luò)示意圖���;
[0015]圖2是本發(fā)明實施例示出的報文轉(zhuǎn)發(fā)方法流程圖;
[0016]圖3是本發(fā)明實施例示出的IP報文頭格式�;
[0017]圖4A是本發(fā)明實施例示出的網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖;
[0018]圖4B是圖4A所示網(wǎng)絡(luò)設(shè)備的報文轉(zhuǎn)發(fā)裝置的結(jié)構(gòu)示意圖��。【具體實施方式】
[0019]這里將詳細(xì)地對示例性實施例進(jìn)行說明�����,其示例表示在附圖中����。下面的描述涉及附圖時,除非另有表示�����,不同附圖中的相同數(shù)字表示相同或相似的要素����。以下示例性實施例中所描述的實施方式并不代表與本發(fā)明相一致的所有實施方式。相反���,它們僅是與如所附權(quán)利要求書中所詳述的����、本發(fā)明的一些方面相一致的裝置和方法的例子����。
[0020]在本發(fā)明使用的術(shù)語是僅僅出于描述特定實施例的目的��,而非旨在限制本發(fā)明����。 在本發(fā)明和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”���、“”和“該”也旨在包括多數(shù)形式����,除非上下文清楚地表示其他含義�����。還應(yīng)當(dāng)理解����,本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。
[0021]應(yīng)當(dāng)理解��,盡管在本發(fā)明可能采用術(shù)語第一�、第二、第三等來描述各種信息�����,但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開���。例如����,在不脫離本發(fā)明范圍的情況下��,第一信息也可以被稱為第二信息�����,類似地�,第二信息也可以被稱為第一信息。取決于語境���,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)…… 時”或“響應(yīng)于確定”���。
[0022]在具體闡述本發(fā)明實施例之前,首先簡單介紹一下本發(fā)明實施例中會涉及到的相關(guān)技術(shù)�����。[〇〇23] DoS/DDoS攻擊為一種集中流量攻擊技術(shù),攻擊者通過控制成千上萬的攻擊設(shè)備對同一個目標(biāo)(用戶地址或者服務(wù)器)同時發(fā)起流量攻擊����,導(dǎo)致該目的地址的上游接入設(shè)備或受攻擊服務(wù)器被異常流量擁塞,用戶無法正常使用�。該攻擊方式容易實施、隱蔽性強(qiáng)����、簡單有效,因此�����,成為黑客慣用攻擊手段�����,對網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅�,給企業(yè)和用戶帶來了巨大的經(jīng)濟(jì)損失和影響�����。[〇〇24]目前���,針對DoS/DDoS攻擊最有效的防御方式是在最接近攻擊源的設(shè)備上下發(fā)轉(zhuǎn)發(fā)平面的流量控制策略���,對匹配流量控制策略的攻擊流量進(jìn)行過濾和控制����,從而在攻擊源附近對攻擊流量進(jìn)行限制�����,降低對用戶網(wǎng)絡(luò)的威脅�。
[0025]在IETF(Internet Engineering Task Force,國際互聯(lián)網(wǎng)工程任務(wù)組)的RFC文檔中�����,F(xiàn)lowSpec被定義為可應(yīng)用于IP(Internet Protocol��,網(wǎng)際協(xié)議)流量的由若干匹配規(guī)則組成的n元組���,例如����,源地址�、目的地址���、端口、源端口��、目的端口����、協(xié)議類型、ICMPdnternet Control Message Protocol����,國際控制報文協(xié)議)類型、分片情況����、TCP (Transmiss1n Control Protocol,傳輸控制協(xié)議)標(biāo)記����、DSCP(Differentiated Services Code Point,差分服務(wù)代碼點)值等��。因此����,可利用FlowSpec技術(shù)部署流量控制策略(簡稱FlowSpec流量控制策略),以達(dá)到精準(zhǔn)匹配攻擊流量����,并對攻擊流量執(zhí)行多種選擇動作,例如����,全部丟棄、限速���、流量重定向或者修改IP報文的DSCP值等����,從而減輕DoS/DDoS攻擊的影響���。
[0026] BGP (Border Gateway Protocol��,邊界網(wǎng)關(guān)協(xié)議)是用來在 AS (Autonomous System���,自治系統(tǒng))之間傳遞選路信息的路徑向量協(xié)議,是域間路由協(xié)議�����,著眼于控制路由的傳播和選擇最好的路由。利用BGP協(xié)議報文的NLRI (Network Layer Reachabi 1 ityInformat1n���,網(wǎng)絡(luò)層可達(dá)信息)字段可封裝其它協(xié)議信息��,并傳遞給其他配置了 BGP協(xié)議的設(shè)備��,因此���,很多協(xié)議借助BGP的這種協(xié)議擴(kuò)展能力來傳遞自己需要的各種路由信息。
[0027]FlowSpec技術(shù)同樣可借助BGP的協(xié)議擴(kuò)展能力���,將FlowSpec流量控制策略分發(fā)到其他配置BGP協(xié)議的設(shè)備上�,并下發(fā)到設(shè)備的轉(zhuǎn)發(fā)平面�。設(shè)備根據(jù)FlowSpec流量控制策略對經(jīng)過的流量(包括正常流量)進(jìn)行FlowSpec檢測,對匹配FlowSpec流量控制策略的攻擊流量進(jìn)行過濾和控制���,從而在攻擊源附近對攻擊流量進(jìn)行限制���,降低對用戶網(wǎng)絡(luò)的威脅。但是�, 該FlowSpec檢測方式會影響正常流量的傳輸效率。
[0028]本發(fā)明實施例提出一種報文轉(zhuǎn)發(fā)方法�����,該方法在確認(rèn)接收的報文中攜帶流量清洗標(biāo)記時����,對報文直接轉(zhuǎn)發(fā),不再進(jìn)行FlowSpec檢測�����,從而提高正常報文的轉(zhuǎn)發(fā)效率����。
[0029]參見圖1,為本發(fā)明實施例示出的一種防攻擊網(wǎng)絡(luò)示意圖����。該防攻擊網(wǎng)絡(luò)包括用戶網(wǎng)絡(luò)10、用戶網(wǎng)絡(luò)20以及運(yùn)營商網(wǎng)絡(luò)30���。其中�����,用戶網(wǎng)絡(luò)10包括主機(jī)11和網(wǎng)絡(luò)設(shè)備12;用戶網(wǎng)絡(luò)20包括王機(jī)21和網(wǎng)絡(luò)設(shè)備22;運(yùn)宮商網(wǎng)絡(luò)30包括網(wǎng)絡(luò)設(shè)備31?網(wǎng)絡(luò)設(shè)備33����。
[0030]首先,各網(wǎng)絡(luò)設(shè)備通過BGP協(xié)議建立鄰居關(guān)系���。當(dāng)網(wǎng)絡(luò)設(shè)備(例如����,網(wǎng)絡(luò)設(shè)備12)檢測到攻擊時���,生成一條FlowSpec表項(即FlowSpec流量控制策略)�����,并觸發(fā)BGP協(xié)議生成BGP FlowSpec路由��,該BGP FlowSpec路由攜帶FlowSpec表項信息�,通過BGP鄰居將該BGP FlowSpec路由通告給其它網(wǎng)絡(luò)設(shè)備���。[〇〇31] 運(yùn)營商網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備(例如�,網(wǎng)絡(luò)設(shè)備31)接收到該BGP FlowSpec路由后����,將該BGP FlowSpec路由下發(fā)到轉(zhuǎn)發(fā)平面���,生成FlowSpec表項,后續(xù)根據(jù)該FlowSpec表項匹配接收的報文進(jìn)行FlowSpec檢測���,從而確定接收的報文是否為攻擊報文,進(jìn)而采取相應(yīng)措施 (例如��,過濾或限流)�����。
[0032]參見圖2,為本發(fā)明報文轉(zhuǎn)發(fā)方法的一個實施例流程圖�����,該實施例對報文轉(zhuǎn)發(fā)過程進(jìn)行描述�。
[0033]在以下描述中,將未作限定的網(wǎng)絡(luò)設(shè)備默認(rèn)為運(yùn)營商網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備�。[0〇34]步驟201,判斷接收的報文是否攜帶流量清洗標(biāo)記���。[〇〇35]本發(fā)明實施例中的流量清洗標(biāo)記用于表示當(dāng)前報文已進(jìn)行過FlowSpec檢測��,且檢測結(jié)果為正常報文���。[〇〇36]步驟202���,當(dāng)所述報文中攜帶流量清洗標(biāo)記時,轉(zhuǎn)發(fā)所述報文���。
[0037]當(dāng)網(wǎng)絡(luò)設(shè)備接收到攜帶流量清洗標(biāo)記的報文時��,說明當(dāng)前報文是已經(jīng)被其它網(wǎng)絡(luò)設(shè)備檢測過的正常報文��,因此�,不再對該報文執(zhí)行FlowSpec檢測����,直接進(jìn)行轉(zhuǎn)發(fā),從而減少對正常報文的檢測次數(shù)��,提高正常報文的轉(zhuǎn)發(fā)效率�。
[0038]當(dāng)根據(jù)步驟201的判斷結(jié)果,確認(rèn)報文中未攜帶流量清洗標(biāo)記時���,對接收的報文執(zhí)行FlowSpec檢測�����,即根據(jù)網(wǎng)絡(luò)設(shè)備中已下發(fā)的FlowSpec表項(如前所述FlowSpec表項通過 BGP協(xié)議攜帶并分發(fā)�,該FlowSpec表項記錄了攻擊報文的報文特征,即攻擊報文的n元組信息)判斷當(dāng)前報文是否為攻擊報文����。
[0039]當(dāng)接收的報文的報文特征與FlowSpec表項中記錄的攻擊報文的報文特征相同時, 確定接收的報文為攻擊報文�����;否則�����,不為攻擊報文��。當(dāng)接收的報文不為攻擊報文時�����,網(wǎng)絡(luò)設(shè)備為該報文添加流量清洗標(biāo)記后轉(zhuǎn)發(fā)�,以提示后續(xù)接收到該報文的網(wǎng)絡(luò)設(shè)備該報文為經(jīng)過檢測的正常報文���,無需再執(zhí)行FlowSpec檢測��。
[0040]在一種較優(yōu)的實施方式中�����,網(wǎng)絡(luò)設(shè)備可在現(xiàn)有IP報文的報文頭中攜帶流量清洗標(biāo)記�����,以表示當(dāng)前報文為經(jīng)過檢測的正常報文�。具體地,可在圖3所示IP報文頭的標(biāo)志字段 (3Bit)攜帶�����,該標(biāo)志字段包括3位(Bit)��,其中���,第一位未被使用�����;第二位為DF(Don’t Fragment��,禁止分片)位����,只有當(dāng)DF位為0時才允許分片;第三位為MF(More Fragment�,多分片)位,當(dāng)MF位為1時表示后面還有分片報文��,為0時表示最后一個分片�。本發(fā)明實施例利用標(biāo)志字段中未被使用的第一位作為清洗標(biāo)記位,攜帶流量清洗標(biāo)記�。例如,當(dāng)檢測當(dāng)前報文為正常報文時���,設(shè)置清洗標(biāo)記位為1。當(dāng)其他網(wǎng)絡(luò)設(shè)備接收到該報文時����,通過識別該清洗標(biāo)記位確認(rèn)當(dāng)前報文為正常報文,進(jìn)而不再執(zhí)行FlowSpec檢測����,直接轉(zhuǎn)發(fā)。[〇〇411當(dāng)網(wǎng)絡(luò)設(shè)備通過FlowSpec檢測確認(rèn)報文為攻擊報文時����,丟棄該報文�,從而實現(xiàn)對攻擊報文的攔截����,屏蔽了對用戶網(wǎng)絡(luò)的影響。
[0042]此外�,為了防止攻擊者獲知本發(fā)明的防御策略,而在攻擊報文中攜帶流量清洗標(biāo)記�,進(jìn)而規(guī)避FlowSpec檢測,本發(fā)明實施例對接收的報文首先進(jìn)行網(wǎng)絡(luò)來源的檢測�,即判斷接收的報文是否來自運(yùn)營商網(wǎng)絡(luò)內(nèi)部,對于來自運(yùn)營商網(wǎng)絡(luò)內(nèi)部的報文執(zhí)行前述步驟201 和步驟202的處理;對于不是來自運(yùn)營商網(wǎng)絡(luò)內(nèi)部的報文�����,例如�����,來自用戶網(wǎng)絡(luò)的報文��,則清除報文中的流量清洗標(biāo)記��,再執(zhí)行步驟201和步驟202的處理�,即對從用戶網(wǎng)絡(luò)進(jìn)入運(yùn)營商網(wǎng)絡(luò)的報文強(qiáng)制執(zhí)行FlowSpec檢測����。
[0043]現(xiàn)仍以圖1為例�����,詳細(xì)介紹報文轉(zhuǎn)發(fā)過程�����。
[0044]假設(shè)����,主機(jī)21向主機(jī)11發(fā)送IP報文,該IP報文經(jīng)過網(wǎng)絡(luò)設(shè)備22轉(zhuǎn)發(fā)后進(jìn)入運(yùn)營商網(wǎng)絡(luò)30����。
[0045]網(wǎng)絡(luò)設(shè)備33接收網(wǎng)絡(luò)設(shè)備22轉(zhuǎn)發(fā)的IP報文���,根據(jù)接收該IP報文的接口�����,確定與該接口連接的設(shè)備(運(yùn)營商網(wǎng)絡(luò)30外部的設(shè)備或運(yùn)營商網(wǎng)絡(luò)30內(nèi)部的設(shè)備)�,進(jìn)而確定該IP報文是來自運(yùn)營商網(wǎng)絡(luò)30內(nèi)部的報文,還是來自運(yùn)營商網(wǎng)絡(luò)30外部網(wǎng)絡(luò)的報文�����。當(dāng)確認(rèn)該IP 報文來自運(yùn)營商網(wǎng)絡(luò)30外部時�,強(qiáng)制清除IP報文中的流量清洗標(biāo)記(如前所述,可設(shè)置IP報文中標(biāo)志字段的第一位為0)�����。[〇〇46]網(wǎng)絡(luò)設(shè)備33對接收的IP報文執(zhí)行FlowSpec檢測��,當(dāng)檢測該IP報文為攻擊報文(本實施例默認(rèn)網(wǎng)絡(luò)設(shè)備33中已存在該IP報文對應(yīng)的FlowSpec表項)時��,將該IP報文丟棄�����,不再向網(wǎng)絡(luò)設(shè)備32轉(zhuǎn)發(fā);當(dāng)檢測該IP報文為正常報文時�,在該IP報文中添加流量清洗標(biāo)記(設(shè)置 IP報文中標(biāo)志字段的第一位為1),并轉(zhuǎn)發(fā)給網(wǎng)絡(luò)設(shè)備32���。[〇〇47]網(wǎng)絡(luò)設(shè)備32確認(rèn)接收的IP報文來自運(yùn)營商網(wǎng)絡(luò)30內(nèi)部���,并確認(rèn)該IP報文攜帶流量清洗標(biāo)記����,則不再執(zhí)行FlowSpec檢測���,直接轉(zhuǎn)發(fā)給網(wǎng)絡(luò)設(shè)備31����。[〇〇48]同理�,網(wǎng)絡(luò)設(shè)備31在確認(rèn)接收的IP報文來自運(yùn)營商網(wǎng)絡(luò)30內(nèi)部,且該IP報文攜帶流量清洗標(biāo)記時���,不執(zhí)行FlowSpec檢測����,直接轉(zhuǎn)發(fā)給網(wǎng)絡(luò)設(shè)備12���。[〇〇49]網(wǎng)絡(luò)設(shè)備12將IP報文轉(zhuǎn)發(fā)給主機(jī)11�����。[〇〇5〇]由本實施例可以看出,在運(yùn)營商網(wǎng)絡(luò)中��,正常報文只執(zhí)行了一個FlowSpec檢測,大大提高了正常報文的轉(zhuǎn)發(fā)效率��。
[0051]與前述報文轉(zhuǎn)發(fā)方法的實施例相對應(yīng)����,本發(fā)明還提供了報文轉(zhuǎn)發(fā)裝置的實施例。 [〇〇52]本發(fā)明報文轉(zhuǎn)發(fā)裝置400的實施例可以應(yīng)用在網(wǎng)絡(luò)設(shè)備上�。裝置實施例可以通過軟件實現(xiàn),也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)���。以軟件實現(xiàn)為例�,作為一個邏輯意義上的裝置�,是通過其所在設(shè)備的處理器運(yùn)行存儲器中對應(yīng)的計算機(jī)程序指令形成的。從硬件層面而言����,如圖4A所示,為本發(fā)明報文轉(zhuǎn)發(fā)裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖�����,除了圖4A所示的處理器以及非易失性存儲器之外�����,實施例中裝置所在的設(shè)備通常根據(jù)該設(shè)備的實際功能,還可以包括其他硬件�,對此不再贅述。
[0053]請參考圖4B���,為本發(fā)明一個實施例中的報文轉(zhuǎn)發(fā)裝置400的結(jié)構(gòu)示意圖��。該報文轉(zhuǎn)發(fā)裝置400包括標(biāo)記判斷單元401和報文轉(zhuǎn)發(fā)單元402,其中:
[0054]標(biāo)記判斷單元401���,用于判斷接收的報文是否攜帶流量清洗標(biāo)記,所述流量清洗標(biāo)記用于表示當(dāng)前報文為已經(jīng)過檢測的正常報文�����;[〇〇55]報文轉(zhuǎn)發(fā)單元402,用于當(dāng)所述報文中攜帶流量清洗標(biāo)記時��,轉(zhuǎn)發(fā)所述報文�����。[〇〇56] 進(jìn)一步地��,所述裝置400還包括:
[0057]報文判斷單元����,用于當(dāng)所述報文中未攜帶流量清洗標(biāo)記時,判斷所述報文是否為攻擊報文��;
[0058]標(biāo)記添加單元��,用于當(dāng)所述報文不為攻擊報文時����,為所述報文添加流量清洗標(biāo)記;
[0059]所述報文轉(zhuǎn)發(fā)單元402,還用于轉(zhuǎn)發(fā)所述添加流量清洗標(biāo)記的報文�����。
[0060]進(jìn)一步地��,所述裝置400還包括:[〇〇61]報文接收單元��,用于在所述報文判斷單元判斷所述報文是否為攻擊報文之前��,接收邊界網(wǎng)關(guān)協(xié)議BGP報文���,所述BGP報文攜帶流說明FlowSpec表項���,所述FlowSpec表項中記錄了攻擊報文的報文特征����;[0〇62]所述報文判斷單元���,具體用于當(dāng)所述接收的報文的報文特征與所述FlowSpec表項中記錄的攻擊報文的報文特征相同時��,確定所述接收的報文為攻擊報文;否則�����,確定所述接收的報文不為攻擊報文����。[〇〇63] 進(jìn)一步地����,所述裝置400還包括:
[0064]標(biāo)記清除單元,用于在所述標(biāo)記判斷單元401判斷接收的報文中是否攜帶流量清洗標(biāo)記之前���,判斷所述報文是否來自于運(yùn)營商網(wǎng)絡(luò)內(nèi)部��;當(dāng)所述報文不是來自于運(yùn)營商網(wǎng)絡(luò)內(nèi)部時���,清除所述報文中的流量清洗標(biāo)記����。
[0065]進(jìn)一步地�����,[〇〇66]所述流量清洗標(biāo)記攜帶在報文頭中標(biāo)志字段的第一位Bit��。
[0067]上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實現(xiàn)過程�����,在此不再贅述�����。
[0068]對于裝置實施例而言�����,由于其基本對應(yīng)于方法實施例���,所以相關(guān)之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的���,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的�,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方��,或者也可以分布到多個網(wǎng)絡(luò)單元上�����?���?梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本發(fā)明方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下��,即可以理解并實施�。
[0069]以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明���,凡在本發(fā)明的精神和原則之內(nèi)���,所做的任何修改、等同替換����、改進(jìn)等����,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)��。
【主權(quán)項】
1.一種報文轉(zhuǎn)發(fā)方法��,應(yīng)用于運(yùn)營商網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備�,其特征在于,所述方法包括: 判斷接收的報文是否攜帶流量清洗標(biāo)記����,所述流量清洗標(biāo)記用于表示當(dāng)前報文為已經(jīng)過檢測的正常報文�����;當(dāng)所述報文中攜帶流量清洗標(biāo)記時�,轉(zhuǎn)發(fā)所述報文。2.如權(quán)利要求1所述的方法��,其特征在于��,所述方法還包括:當(dāng)所述報文中未攜帶流量清洗標(biāo)記時���,判斷所述報文是否為攻擊報文���;當(dāng)所述報文不為攻擊報文時���,為所述報文添加流量清洗標(biāo)記;轉(zhuǎn)發(fā)所述添加流量清洗標(biāo)記的報文�����。3.如權(quán)利要求2所述的方法�����,其特征在于���,所述判斷所述報文是否為攻擊報文之前����,還 包括:接收邊界網(wǎng)關(guān)協(xié)議BGP報文���,所述BGP報文攜帶流說明FlowSpec表項,所述FlowSpec表 項中記錄了攻擊報文的報文特征��;所述判斷所述報文是否為攻擊報文,包括:當(dāng)所述接收的報文的報文特征與所述FlowSpec表項中記錄的攻擊報文的報文特征相 同時��,確定所述接收的報文為攻擊報文;否則�,確定所述接收的報文不為攻擊報文。4.如權(quán)利要求1所述的方法����,其特征在于,所述判斷接收的報文中是否攜帶流量清洗標(biāo) 記之前�����,還包括:判斷所述報文是否來自于運(yùn)營商網(wǎng)絡(luò)內(nèi)部��;當(dāng)所述報文不是來自于運(yùn)營商網(wǎng)絡(luò)內(nèi)部時����,清除所述報文中的流量清洗標(biāo)記�����。5.如權(quán)利要求1至4任一所述的方法��,其特征在于:所述流量清洗標(biāo)記攜帶在報文頭中標(biāo)志字段的第一位Bit�。6.—種報文轉(zhuǎn)發(fā)裝置,應(yīng)用于運(yùn)營商網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備�,其特征在于����,所述裝置包括: 標(biāo)記判斷單元���,用于判斷接收的報文是否攜帶流量清洗標(biāo)記�,所述流量清洗標(biāo)記用于表示當(dāng)前報文為已經(jīng)過檢測的正常報文��;報文轉(zhuǎn)發(fā)單元��,用于當(dāng)所述報文中攜帶流量清洗標(biāo)記時���,轉(zhuǎn)發(fā)所述報文���。7.如權(quán)利要求6所述的裝置,其特征在于�,所述裝置還包括:報文判斷單元,用于當(dāng)所述報文中未攜帶流量清洗標(biāo)記時�,判斷所述報文是否為攻擊 報文;標(biāo)記添加單元���,用于當(dāng)所述報文不為攻擊報文時�����,為所述報文添加流量清洗標(biāo)記��;所述報文轉(zhuǎn)發(fā)單元����,還用于轉(zhuǎn)發(fā)所述添加流量清洗標(biāo)記的報文。8.如權(quán)利要求7所述的裝置��,其特征在于�,所述裝置還包括:報文接收單元,用于在所述報文判斷單元判斷所述報文是否為攻擊報文之前����,接收邊 界網(wǎng)關(guān)協(xié)議BGP報文,所述BGP報文攜帶流說明FlowSpec表項����,所述FlowSpec表項中記錄了 攻擊報文的報文特征���;所述報文判斷單元�����,具體用于當(dāng)所述接收的報文的報文特征與所述FlowSpec表項中記 錄的攻擊報文的報文特征相同時�����,確定所述接收的報文為攻擊報文;否則����,確定所述接收的 報文不為攻擊報文。9.如權(quán)利要求6所述的裝置�,其特征在于,所述裝置還包括:標(biāo)記清除單元�,用于在所述標(biāo)記判斷單元判斷接收的報文中是否攜帶流量清洗標(biāo)記之前,判斷所述報文是否來自于運(yùn)營商網(wǎng)絡(luò)內(nèi)部�;當(dāng)所述報文不是來自于運(yùn)營商網(wǎng)絡(luò)內(nèi)部時, 清除所述報文中的流量清洗標(biāo)記�。10.如權(quán)利要求6至9任一所述的裝置,其特征在于:所述流量清洗標(biāo)記攜帶在報文頭中標(biāo)志字段的第一位Bit���。
【文檔編號】H04L12/801GK106059939SQ201610339071
【公開日】2016年10月26日
【申請日】2016年5月19日
【發(fā)明人】余清炎
【申請人】杭州華三通信技術(shù)有限公司