[发明专利]一种流量控制策略处理方法及装置

说明书

本发明提供一种流量控制策略处理方法及装置，用于解决路由设备在平滑重启过程中，FlowSpec流量控制策略失效，使得路由设备对攻击流量的过滤和控制中断的技术问题。方案为：接收BGP协议发送的进入平滑重启的通知消息，为来自BGP的所有FlowSpec路由标记第一标记；接收BGP发送的新学习到的FlowSpec路由，并比较新接收到的FlowSpec路由和原有FlowSpec路由是否相同，若相同则清除对应的FlowSpec路由的第一标记；接收BGP发送的平滑重启结束消息，删除所有还标记有第一标记的FlowSpec路由。本发明实现了在路由设备平滑重启期间转发平面攻击流量的过滤和控制不中断，提升了设备的可靠性和稳定性，避免由于主备倒换期间DoS/DDoS攻击给客户带来的不可预期的损失。

技术领域

本发明涉及无线通信技术领域，尤其涉及一种流量控制策略处理方法及装置。

背景技术

拒绝服务(Denial of service，DoS)和分布式拒绝服务(Distributed Denial ofservice，DDoS)攻击(以下统称为拒绝服务攻击)因其容易实施、隐蔽性强、简单有效等特点而成为黑客惯用攻击手段，对网络安全构成严重威胁，给企业和用户带来了巨大的经济损失和影响。DoS/DDoS攻击者通过控制成千上万的攻击设备对同一个目标(用户地址或者服务器)同时发起流量攻击，导致该目的地址的上游接入设备或受攻击服务器被异常流量拥塞，用户无法正常使用。

从目前DoS/DDoS攻击防御的经验来看，针对攻击流量的特点制定流量策略，并在最接近攻击源的设备上下发转发平面的流量控制策略，以此来限制发起DoS/DDoS攻击源的流量。

边界网关协议(Border Gateway Protocol，BGP)是用来在自治系统(AutonomousSystem，AS)之间传递选路信息的路径向量协议，是唯一运行在INTERNET上的域间路由协议。与OSPF、RIP等内部路由协议不同，BGP着眼点不在于发现和计算路由，而在于控制路由的传播和选择最好的路由。BGP的网络层可达信息(Network Layer ReachabilityInformation，NLRI)封装在MP_REACH_NLRI和MP_UREACH_NLRI两个多协议扩展属性当中，这两个属性很容易进行扩展，可将各种协议信息封装起来传递到其他设备。因此很多协议都会借助BGP的这种协议扩展能力来传递自己需要的各种路由信息。

在IETF的RFC文档中，Flow Specification(以下简称FlowSpec)被定义为可应用于网际协议(Internet Protocol，IP)流量的由若干匹配规则(例如：源地址、目的地址、端口、源端口、目的端口、协议类型、ICMP类型、ICMP code、分片情况、TCP标记、DSCP值等)组成的n元组。通过利用BGP的协议扩展能力携带FlowSpec可实现在大量的BGP对等路由器中快速的部署和扩散过滤和监控功能，通过FlowSpec部署的流量控制策略可以精准的匹配攻击流量，同时对攻击流量有多种选择动作：全部丢弃、限速、流量重定向或者修改IP报文的差分服务代码点(Differentiated Services Code Point，DSCP)值等，从而可以减轻DDos攻击的影响。

借助BGP的多协议扩展能力，FlowSpec流量控制策略可以很容易的分发到其他配置了BGP协议的设备上，并下发为转发平面的流量控制策略，限制发起拒绝服务攻击源的流量。BGP支持在自治系统域内和跨自治系统域分发路由，可实现在最接近攻击源的设备上对攻击流量的过滤和控制，最大程度的减少攻击流量对网络转发性能的影响。