[发明专利]一种报文处理方法和装置

说明书

本申请提供一种报文处理方法和装置，该方法包括：在接收到与默认流表项匹配的第一报文后，向控制器发送控制消息，所述控制消息携带第一报文、预设时间内与默认流表项匹配的所有报文的攻击参数；接收并存储控制器发送的未知丢弃流表项；其中，所述未知丢弃流表项是控制器根据所述攻击参数确定所述网络设备被攻击时发送的，所述未知丢弃流表项用于丢弃源地址为所述第一报文的源地址、目的地址未命中的报文；在接收到与所述未知丢弃流表项匹配的第二报文后，丢弃所述第二报文。通过本申请的技术方案，避免控制器在短时间内生成大量流表项，从而节约了控制器的CPU资源和网络设备的CPU资源，减轻网络设备和控制器的负担，提升了网络的可靠性和稳定性。

技术领域

本申请涉及通信技术领域，尤其是涉及一种报文处理方法和装置。

背景技术

SDN(Software Defined Network，软件定义网络)是一种新型网络架构，SDN的核心思想是分离网络设备的控制层面与转发层面，通过SDN控制器对网络流量进行集中和灵活控制，从而为核心网络及应用的创新提供良好的平台。

在SDN中，网络设备下挂的主机可以向网络设备发送报文，网络设备接收到该报文后，若该报文匹配miss流表项，则将该报文封装成packet-in消息，并将该packet-in消息发送给SDN控制器。SDN控制器在接收到packet-in消息后，根据packet-in消息生成转发流表项，并将该转发流表项下发给网络设备，网络设备在接收到转发流表项后，根据转发流表项进行报文转发。

但是，当网络设备下挂的主机进行攻击时，会发送大量目的地址变化的未知报文，这些未知报文均可以匹配miss流表项，从而导致网络设备向SDN控制器发送大量packet-in消息，并导致SDN控制器在短时间内生成大量转发流表项，消耗SDN控制器的大量CPU(Central Processing Unit，中央处理器)资源。而且，网络设备也需要处理大量转发流表项，消耗了网络设备的大量CPU资源。

发明内容

本申请提供一种一种报文处理方法，应用于网络设备，所述方法包括：

在接收到与默认流表项匹配的第一报文后，向控制器发送控制消息，所述控制消息携带第一报文、预设时间内与默认流表项匹配的所有报文的攻击参数；

接收并存储控制器发送的未知丢弃流表项；其中，所述未知丢弃流表项是控制器根据所述攻击参数确定所述网络设备被攻击时发送的，所述未知丢弃流表项用于丢弃源地址为所述第一报文的源地址、目的地址未命中的报文；

在接收到与所述未知丢弃流表项匹配的第二报文后，丢弃所述第二报文。

本申请提供一种报文处理方法，应用于控制器，所述方法包括：

接收网络设备发送的控制消息，所述控制消息携带与所述网络设备的默认流表项匹配的第一报文、预设时间内与默认流表项匹配的所有报文的攻击参数；

若根据所述攻击参数确定网络设备被攻击，向网络设备发送未知丢弃流表项，所述未知丢弃流表项用于丢弃源地址为所述第一报文的源地址、目的地址未命中的报文；以使网络设备丢弃与所述未知丢弃流表项匹配的第二报文。

本申请提供一种报文处理装置，应用于网络设备，所述装置包括：

发送模块，用于在接收到与默认流表项匹配的第一报文后，向控制器发送控制消息，所述控制消息携带第一报文、预设时间内与默认流表项匹配的所有报文的攻击参数；

接收模块，用于接收并存储控制器发送的未知丢弃流表项；所述未知丢弃流表项是控制器根据所述攻击参数确定网络设备被攻击时发送的，所述未知丢弃流表项用于丢弃源地址为所述第一报文的源地址、目的地址未命中的报文；

所述接收模块，还用于接收到与所述未知丢弃流表项匹配的第二报文；

处理模块，用于丢弃所述第二报文。