本发明专利技术提供一种基于网络处理芯片实现IP分片包同源同宿的系统及方法。其中,一级设备收到IP分片包,若是正常分片(首片先到),记录首片的分片信息以及转发动作,后续片根据首片记录的信息跟首片转发到同一二级服务器;若是乱序分片(后续片先到),设备缓存后续片,首片一到及时提取缓存的后续片,将后续片按原始链路顺序转发到同一二级服务器。依据此方案,同一会话的IP分片包将转发到同一二级服务器,保证了IP分片包同源同宿。
【技术实现步骤摘要】
一种基于网络处理芯片实现IP分片包同源同宿的系统及方法
本专利技术涉及网络安全
,具体涉及在一级网络设备上基于网络处理芯片实现IP分片包同源同宿的系统。本专利技术同时涉及在一级网络设备上基于网络处理芯片实现IP分片包同源同宿的方法。
技术介绍
在网络链路中,如果传输的IP报文超过了最大传输单元(MTU),为了适应不同物理网的不同MTU长度,需要将此类报文进行分片。串接网络设备连接在路由器之间,需要对之间传输的流量进行相应的处理后,转发到二级服务器。一级网络设备串接在路由器之间,将网络中的流量转发到二级服务器群进行数据分析,二级服务器群收到一级网络设备转发的流量,会对同一会话的报文进行完整的分析处理。考虑到网络中负载均衡以及路由不对称等情况,网络链路中传输的分片报文可能存在分片乱序以及多链路情形,如果一级设备不进行相应的处理,同一会话的分片报文会被转发到多个二级服务器,导致二级服务器无法对同一会话的分片报文进行完整准确的数据分析处理。为了保证对IP分片包进行完整准确的分析处理,需解决如何将同一会话的多份IP分片包输出到同一二级服务器进行分析使IP分片包同源同宿的问题。故,需要一种新的技术方案以解决上述问题。
技术实现思路
本专利技术的目的在于:提供一种基于网络处理芯片实现IP分片包同源同宿的系统,用以解决在报文乱序分片的情况下如何使同一会话的多份IP分片包的分流同源同宿的问题。本专利技术同时提供一种基于网络处理芯片实现IP分片包同源同宿的方法,用以解决在报文乱序分片的情况下如何使同一会话的多份IP分片包的分流同源同宿的问题。为达到上述目的,本专利技术基于网络处理芯片实现IP分片包同源同宿的系统可采用如下技术方案:一种基于网络处理芯片实现IP分片包同源同宿的系统,包括:分片学习模块,用以提取标识同一会话分片报文的信息,同一会话分片报文中的首片和后续片的信息一致;并包含有预设的分片表,通过首片实现分片表的学习,分片表存储键值与结果的映射关系,键值为上述标识同一会话分片报文的信息,结果为首片的输出动作;分片缓存模块,用以将后续片缓存,并设置分片缓存表,将后续片的缓存信息记录在分片缓存表里;分片提取模块,用以将先到的后续片缓存起来,首片到达后即通过所述同一会话分片报文的信息查找分片缓存表,根据分片缓存表存储的缓存地址按序提取缓存中的后续片,跟首片转发到同一设备。有益效果:本专利技术通过同一会话分片报文的信息来唯一标识同一会话的分片报文,进行相应的分片学习,分片缓存以及分片提取,达到同源同宿的目的。进一步的,所述同一会话分片报文的信息为四元组信息,包括源IP、目的IP、协议、分片ID。进一步的,分片学习模块中不区分正常分片还是乱序分片,首片到达即学习分片表;后续片到达即匹配分片表,且后续片与首片走相同动作,不进行分片缓存。进一步的,所述分片缓存表中的缓存信息包括后续片数量、缓存地址、以及分片偏移。本专利技术提供的一种基于网络处理芯片实现IP分片包同源同宿的方法,可以采用以下技术方案,包括以下步骤:(1)、提取标识同一会话分片报文的信息,同一会话分片报文中的首片和后续片的信息一致;并包含有预设的分片表,通过首片实现分片表的学习,分片表存储键值与结果的映射关系,键值为上述标识同一会话分片报文的信息,结果为首片的输出动作;(2)、将后续片缓存,并设置分片缓存表,将后续片的缓存信息记录在分片缓存表里;(3)、将先到的后续片缓存起来,首片到达后即通过所述同一会话分片报文的信息查找分片缓存表,根据分片缓存表存储的缓存地址按序提取缓存中的后续片,跟首片转发到同一设备。有益效果:本专利技术通过同一会话分片报文的信息来唯一标识同一会话的分片报文,进行相应的分片学习,分片缓存以及分片提取,达到同源同宿的目的。本专利技术提供的一种基于网络处理芯片实现IP分片包同源同宿的方法,还可以采用以下技术方案,包括以下步骤:步骤S1:链路侧IP分片流量输入一级串接网络设备,设备进行IP分片报文解析,判断是首片还是后续片;步骤S2:根据步骤S1设备解析IP分片类型,IP分片为首片,进行分片表匹配处理,键值为四元组信息,若匹配分片表,不进行分片表学习;若未匹配分片表,则学习分片表;步骤S3:IP分片报文的首片查找分片缓存表,键值为四元组信息;步骤S4:根据步骤S3分片缓存表匹配结果,若分片缓存表未匹配,输出首片;步骤S5:根据步骤S3分片缓存表匹配结果,若分片缓存表匹配,根据分片缓存表记录的缓存信息及时按序提取缓存的后续片;步骤S6:因步骤S5已将缓存后续片提取出来,无需记录后续片的缓存信息,及时进行销毁;步骤S7:根据步骤S5提取出来的后续片按原始链路顺序跟首片转发到同一二级服务器;步骤S8:根据步骤S1设备解析IP分片类型,IP分片为后续片,匹配分片表,键值为四元组信息;步骤S9:根据步骤S8分片表匹配结果,若匹配,表示首片已到,则跟首片走同一动作输出;步骤S10:根据步骤S8分片表匹配结果,若未匹配,设备分配缓存地址进行分片缓存处理;步骤S11:根据步骤S10分片缓存的处理,设备需记录后续片的缓存信息,保证后续片的成功提取以及按序输出。有益效果:本专利技术通过同一会话分片报文的信息来唯一标识同一会话的分片报文,进行相应的分片学习,分片缓存以及分片提取,达到同源同宿的目的。进一步的,步骤S10中,考虑到网络设备本身存在的一些局限性,比如存储容量的限制,通过灵活的配置对于IP分片流量作一些相应的处理,配置分片缓存老化时间Tmax,分片报文缓存容量Nmax以及同一会话报文最大分片数量Smax;b1.乱序分片情形下,后续片先到进行缓存,若超过分片缓存容量Nmax,设备将后续片丢弃或送回原始链路;b2.若首片未到,缓存后续片一直缓存,为了释放缓存空间,以便缓存其它会话分片报文,根据设备配置的老化时间Tmax一到,设备自行及时提取缓存的后续片,进行丢弃或送回原始链路;b3.灵活配置同一会话分片报文缓存的最大分片数量Smax,若超过Smax,设备将后续片丢弃或送回原始链路;b4.由于网络中存在重传机制,设备将重传的同一会话偏移相同的后续片不缓存,送回原始链路。附图说明图1为本专利技术的基于网络处理芯片实现IP分片包同源同宿的处理流程图。具体实施方式实施例一本实施例提供一种基于网络处理芯片实现IP分片包同源同宿的系统,包括:分片学习模块,用以提取标识同一会话分片报文的信息,同一会话分片报文中的首片和后续片的信息一致;并包含有预设的分片表,通过首片实现分片表的学习,分片表存储键值与结果的映射关系,键值为上述标识同一会话分片报文的信息,结果为首片的输出动作。在该实施例中,所述同一会话分片报文的信息为四元组信息,包括源IP、目的IP、协议、分片ID,同样也可以选择其他能够标示为同一会话分片报文中的首片和后续片的信息,以能够在接下来的步骤中通过该信息提取同一会话的分片。并且,在该分片学习模块中不区分正常分片还是乱序分片,首片到达即学习分片表;后续片到达即匹配分片表,且后续片与首片走相同动作,不进行分片缓存。分片缓存模块,用以将后续片缓存,并设置分片缓存表,将后续片的缓存信息记录在分片缓存表里。所述分片缓存表中的缓存信息包括后续片数量、缓存地址、以及分片偏移。分片提取模块,用以将先到的后续片缓存起本文档来自技高网...
【技术保护点】
1.一种基于网络处理芯片实现IP分片包同源同宿的系统,其特征在于,包括:分片学习模块,用以提取标识同一会话分片报文的信息,同一会话分片报文中的首片和后续片的信息一致;并包含有预设的分片表,通过首片实现分片表的学习,分片表存储键值与结果的映射关系,键值为上述标识同一会话分片报文的信息,结果为首片的输出动作;分片缓存模块,用以将后续片缓存,并设置分片缓存表,将后续片的缓存信息记录在分片缓存表里;分片提取模块,用以将先到的后续片缓存起来,首片到达后即通过所述同一会话分片报文的信息查找分片缓存表,根据分片缓存表存储的缓存地址按序提取缓存中的后续片,跟首片转发到同一设备。
【技术特征摘要】
1.一种基于网络处理芯片实现IP分片包同源同宿的系统,其特征在于,包括:分片学习模块,用以提取标识同一会话分片报文的信息,同一会话分片报文中的首片和后续片的信息一致;并包含有预设的分片表,通过首片实现分片表的学习,分片表存储键值与结果的映射关系,键值为上述标识同一会话分片报文的信息,结果为首片的输出动作;分片缓存模块,用以将后续片缓存,并设置分片缓存表,将后续片的缓存信息记录在分片缓存表里;分片提取模块,用以将先到的后续片缓存起来,首片到达后即通过所述同一会话分片报文的信息查找分片缓存表,根据分片缓存表存储的缓存地址按序提取缓存中的后续片,跟首片转发到同一设备。2.根据权利要求1所述的系统,其特征在于:所述同一会话分片报文的信息为四元组信息,包括源IP、目的IP、协议、分片ID。3.根据权利要求1或2所述的系统,其特征在于:分片学习模块中不区分正常分片还是乱序分片,首片到达即学习分片表;后续片到达即匹配分片表,且后续片与首片走相同动作,不进行分片缓存。4.根据权利要求3所述的系统,其特征在于:在分片缓存模块中,所述分片缓存表中的缓存信息包括后续片数量、缓存地址、以及分片偏移。5.一种基于网络处理芯片实现IP分片包同源同宿的方法,其特征在于,包括以下步骤:(1)、提取标识同一会话分片报文的信息,同一会话分片报文中的首片和后续片的信息一致;并包含有预设的分片表,通过首片实现分片表的学习,分片表存储键值与结果的映射关系,键值为上述标识同一会话分片报文的信息,结果为首片的输出动作;(2)、将后续片缓存,并设置分片缓存表,将后续片的缓存信息记录在分片缓存表里;(3)、将先到的后续片缓存起来,首片到达后即通过所述同一会话分片报文的信息查找分片缓存表,根据分片缓存表存储的缓存地址按序提取缓存中的后续片,跟首片转发到同一设备。6.根据权利要求5所述的方法,其特征在于:所述同一会话分片报文的信息为四元组信息,包括源IP、目的IP、协议、分片ID。7.根据权利要求5或6所述的方法,其特征在于:分片学习模块中不区分正常分片还是乱序分片,首片到达即学习分片表;后续片到达即匹配分片表,且后续片与首片走相同动作,不进行分片缓存。8.根据权...
【专利技术属性】
技术研发人员:张家琦,邹昕,李果,贾有春,韩志前,李高超,颜靖华,王维晟,
申请(专利权)人:国家计算机网络与信息安全管理中心,南京中新赛克科技有限责任公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。